在進行 ISO27001 審核時，企業(yè)需要注意以下方面：

一、審核前準備

熟悉標準要求

企業(yè)內(nèi)部相關(guān)人員，尤其是負責信息安全管理體系的團隊，應深入理解 ISO27001 標準的各項條款和要求。確保清楚知道信息安全方針、目標、風險評估與處理、控制措施等方面的具體內(nèi)容。

例如，組織信息安全培訓，讓員工了解標準中與自己工作相關(guān)的部分，提高全員對信息安全的重視程度。

整理文件資料

準備好完整的信息安全管理體系文件，包括信息安全管理手冊、程序文件、作業(yè)指導書、記錄表單等。確保文件內(nèi)容符合標準要求，且與企業(yè)實際信息安全管理情況一致。

例如，檢查文件的版本控制、審批流程是否規(guī)范，文件之間的關(guān)聯(lián)性和一致性是否良好。

自查自糾

在審核前進行內(nèi)部自查，對照 ISO27001 標準檢查信息安全管理體系的運行情況。重點關(guān)注以往內(nèi)部審核和管理評審中發(fā)現(xiàn)的問題是否得到有效整改。

例如，對信息資產(chǎn)進行重新梳理和分類，檢查訪問控制措施是否嚴格執(zhí)行，安全事件處理記錄是否完整等。

確定審核陪同人員

挑選熟悉企業(yè)信息安全管理體系和業(yè)務流程的人員作為審核陪同人員。陪同人員應具備良好的溝通能力和應變能力，能夠及時解答審核員的問題，并準確提供相關(guān)資料。

例如，選擇信息安全負責人、各部門關(guān)鍵崗位人員等組成陪同團隊，提前進行培訓，明確各自的職責和任務。

二、審核過程中

積極配合審核員

審核期間，企業(yè)應積極配合審核員的工作，及時提供所需的文件資料和信息。確保審核員能夠順利了解企業(yè)信息安全管理體系的實際運行情況。

例如，當審核員要求查看某個信息系統(tǒng)的安全配置時，相關(guān)技術(shù)人員應迅速提供準確的信息，并進行必要的解釋說明。

誠實回答問題

企業(yè)人員在接受審核員詢問時，應誠實、準確地回答問題。不要隱瞞或夸大實際情況，以免影響審核結(jié)果。

例如，如果企業(yè)在某個控制措施上存在一定的不足，應如實告知審核員，并說明已經(jīng)采取或計劃采取的改進措施。

做好記錄

企業(yè)陪同人員應做好審核過程中的記錄，包括審核員提出的問題、企業(yè)的回答以及審核員的意見和建議等。這些記錄將有助于企業(yè)在審核后進行整改和持續(xù)改進。

例如，使用筆記本或電子設備記錄審核過程中的重要信息，以便后續(xù)整理和分析。

及時溝通協(xié)調(diào)

如果審核過程中出現(xiàn)問題或爭議，企業(yè)應及時與審核員進行溝通協(xié)調(diào)。通過合理的解釋和說明，爭取審核員的理解和認可。

例如，對于審核員提出的不符合項，企業(yè)可以提供相關(guān)的證據(jù)和解釋，說明實際情況與標準要求的差異，并提出整改計劃。

三、審核后整改

認真分析不符合項

審核結(jié)束后，企業(yè)應認真分析審核報告中的不符合項。深入理解不符合項的具體內(nèi)容和標準要求，確定問題的根源和影響范圍。

例如，對于 “信息安全培訓記錄不完整” 的不符合項，分析是培訓執(zhí)行不到位還是記錄管理不善導致的問題。

制定整改計劃

根據(jù)不符合項的情況，制定詳細的整改計劃。整改計劃應明確責任部門、責任人、整改措施和完成時間等。確保整改措施具有針對性和可操作性。

例如，針對上述不符合項，可以制定加強信息安全培訓管理的整改計劃，包括完善培訓記錄模板、明確記錄保存要求、定期檢查培訓記錄等措施。

落實整改措施

按照整改計劃的要求，認真落實各項整改措施。確保整改工作按時完成，并達到預期的效果。

例如，組織相關(guān)人員進行信息安全培訓，嚴格按照規(guī)定記錄培訓情況，并對記錄進行定期檢查和審核。

跟蹤驗證整改效果

整改完成后，企業(yè)應進行內(nèi)部跟蹤驗證，確保不符合項得到有效整改?？梢酝ㄟ^內(nèi)部審核、管理評審等方式對整改效果進行評估。

例如，對整改后的信息安全培訓記錄進行抽查，檢查記錄的完整性和準確性，確保問題不再重復出現(xiàn)。

持續(xù)改進信息安全管理體系

以審核為契機，企業(yè)應不斷經(jīng)驗教訓，持續(xù)改進信息安全管理體系。定期進行內(nèi)部審核和管理評審，及時發(fā)現(xiàn)和解決體系運行中存在的問題。

例如，根據(jù)審核結(jié)果和實際運行情況，對信息安全管理手冊和程序文件進行修訂和完善，提高信息安全管理水平。