ISO 27001审核流程
内部审核员
1、基本概念
审核含义：对信息安全相关的审核证据进行客观评价，以确定满足信息安全审核准则的程度所进行的系统、独立并形成文件的过程。
审核准则：安全管理方针、SOA、风险评估报告及管理计划、法规要求、合同要求、内部安全规范要求扥；
审核证据:与审核准则有关并且能够证实的记录、事实陈述及其他信息。
审核类型：第一方审核（内审）、第二方审核（顾客），第三方审核；
审核阶段：第一阶段为文件审查，第二阶段为对ISMS实施结果审查。
基本程序：策划与准备、实施、报告、跟踪。
2、审核策划与准备
——年度审核策划：时间及方式
——审核准备：目的及范围、特别要求、成员、时间资源、计划、检查表、审核前沟通
——编制ISMS审核实施计划：目的及范围、准则、成员、详细日程安排（会议时间、人员分配、受审部门时间、主要审核点）、特别说明（临时权限及业务影响）、批准人签字、通知的对象部门
——编制审核检查表：（备忘录，应该反映实际的业务过程）审核准则、部门、检查要点、验证方法、抽样数、审核时间、验证结果。
——审核前沟通：特别事项、提前通知、组内会议。
3、审核实施
——首次会议
——现场审核：
基本原则（行规）：进入审核区域、自我介绍（由陪同人员介绍）、解释希望看什么、进行适当深度调查、如无问题继续审核计划、切记为了问题而审核。
提问方式：开放式提问了解活动，封闭式提问用于确认。
审核技巧：抽样、验证、询问；
——不合格报告：
分类：严重不合格、一般不合格、观察意见；
不合格判断：足够事实？孤立的问题？频繁？严重程度?纠正措施？对受审方的帮助？违反ISO哪一条规则？
不合格描述：客观判断、地点、事实、原因、职位、专业术语、可追溯、改进。得到责任人的许可。
报告：准确清晰的描述不合格事实、问题性质、违反规定条款，纠正措施计划及责任部门
——审核组会议
——末次会议
4、审核报告、纠正及跟踪
——审核报告
——纠正措施计划及执行：补救措施、预防措施
——纠正措施跟踪
——审核档案管理：审核实施计划、审核检查表、现场审核记录、审核不合格报告、审核报告、纠正预防措施计划、纠正措施实施证据、措施验证记录。
以上就是ISO 27001审核所需要注意点