4.1 文件審核（第一階段審核）

在現場審核活動前應當評審受審核方的文件，以確定文件所述的體系與審核準則的符合性。文件可包括相關的管理體系文件和記錄及以前的審核報告。

實際上，第一階段審核主要是文件評審，包括（但不僅限于）獲得ISMS文件、評審ISMS文件和編寫審核報告等活動。嚴格來講，第一階段審核的范疇要大于文件審核。但是在實際外部審核的操作中，“文件審核”與“第一階段審核”往往被認為是同義的。

而在ISO/IEC 27001: 2005標準規定的ISMS內部審核中，卻沒有出現“第一階段審核”這個術語（參見ISO/IEC 27001: 2005的第6章“內部ISMS審核”）。因此，在實施內部審核時，不應使用“第一階段審核”這個術語來代替“文件審核”。

事實上，“第一階段審核”和“第二階段審核”術語，一般只用于外部審核中。 針對ISMS審核活動中文件評審需要特別注意：

(1)文件體系的完整性；

(2)風險評估程序與風險評估報告的一致性；

(3)風險處置程序與風險處置計劃的一致性；

(4)適用性聲明的完備性和合理性。

ISMS文件按照對標準是否是必須的，可以分為強制文件和自選文件。

強制文件的主要依據是ISO/IEC 27001: 2005的4.3.1條款（見表4-1）。