5.2.2編制檢查表

審核人員的一項(xiàng)重要工作應(yīng)是預(yù)先準(zhǔn)備好審核工作文件。其中，最重要的工作文件是檢查表。審核人員需要預(yù)先編制好正確的審核檢查表，備審核中使用。檢查表應(yīng)針對(duì)IS()/IEC 27001: 2005標(biāo)準(zhǔn)要求（“shall”要求）。即每一個(gè)要求，需要有至少一個(gè)審核檢查題，以證實(shí)其符合與否。

5 -1給出過程要求符合性檢查表格式。審核人員在實(shí)際使用中，可以進(jìn)行適當(dāng)裁剪。

　　(1)標(biāo)準(zhǔn)的要求。IS()/IEC 27001：2005的第4～8章，相關(guān)條款規(guī)定的“shall”要求，如：“4.2.1建立ISMS”條款的“a）定義ISMS的范圍”等。

(2)審核檢查題。針對(duì)每一個(gè)要求，進(jìn)行調(diào)查。所提出的檢查題可有一個(gè)或多個(gè)。通過這些檢查題應(yīng)能確定該要求的符合程度。

(3)答案記錄。此欄是審核的結(jié)果記錄。該要求是否符合（或滿足）?有兩個(gè)可能的回答：“是”和“否”。

a)是：這意味著組織的ISMS完全符合（或滿足）該要求。

b)否：這意味著組織的ISMS完全不符合該要求，即指在相應(yīng)的點(diǎn)上，沒有相應(yīng)于標(biāo)準(zhǔn)要求的ISMS過程。或者只是部分符合該要求，即指在相應(yīng)的點(diǎn)上，有一個(gè)ISMS過程，但不完全滿足該標(biāo)準(zhǔn)的要求。

這個(gè)審核的結(jié)果應(yīng)屬于不符合項(xiàng)，一般應(yīng)該開出不符合項(xiàng)報(bào)告，要求組織采取糾正措施。

c)理由：對(duì)于“否”的答案，應(yīng)說明理由。

(4)注釋與指南。由于ISMS審核員只有透徹地了解ISO/IEC 27001：2005的要求（“shall”要求，即強(qiáng)制性要求）后，才能有效地進(jìn)行符合性審核。因此，在這里，我們對(duì)標(biāo)準(zhǔn)所規(guī)定的要求（“shall”要求）、某些關(guān)鍵點(diǎn)和難疑點(diǎn)，用通俗易懂的語言，做出一定詳細(xì)的解釋，提供指南。審核人員在實(shí)際工作中應(yīng)以此思路，有所創(chuàng)新地開發(fā)ISMS審核技能。