5.2.2編制檢查表

審核人員的一項重要工作應是預先準備好審核工作文件。其中，最重要的工作文件是檢查表。審核人員需要預先編制好正確的審核檢查表，備審核中使用。檢查表應針對IS()/IEC 27001: 2005標準要求（“shall”要求）。即每一個要求，需要有至少一個審核檢查題，以證實其符合與否。

5 -1給出過程要求符合性檢查表格式。審核人員在實際使用中，可以進行適當裁剪。

　　(1)標準的要求。IS()/IEC 27001：2005的第4～8章，相關條款規定的“shall”要求，如：“4.2.1建立ISMS”條款的“a）定義ISMS的范圍”等。

(2)審核檢查題。針對每一個要求，進行調查。所提出的檢查題可有一個或多個。通過這些檢查題應能確定該要求的符合程度。

(3)答案記錄。此欄是審核的結果記錄。該要求是否符合（或滿足）?有兩個可能的回答：“是”和“否”。

a)是：這意味著組織的ISMS完全符合（或滿足）該要求。

b)否：這意味著組織的ISMS完全不符合該要求，即指在相應的點上，沒有相應于標準要求的ISMS過程。或者只是部分符合該要求，即指在相應的點上，有一個ISMS過程，但不完全滿足該標準的要求。

這個審核的結果應屬于不符合項，一般應該開出不符合項報告，要求組織采取糾正措施。

c)理由：對于“否”的答案，應說明理由。

(4)注釋與指南。由于ISMS審核員只有透徹地了解ISO/IEC 27001：2005的要求（“shall”要求，即強制性要求）后，才能有效地進行符合性審核。因此，在這里，我們對標準所規定的要求（“shall”要求）、某些關鍵點和難疑點，用通俗易懂的語言，做出一定詳細的解釋，提供指南。審核人員在實際工作中應以此思路，有所創新地開發ISMS審核技能。