5.2.2編制檢查表

審核人員的一項重要工作應(yīng)是預(yù)先準(zhǔn)備好審核工作文件。其中，最重要的工作文件是檢查表。審核人員需要預(yù)先編制好正確的審核檢查表，備審核中使用。檢查表應(yīng)針對IS()/IEC 27001: 2005標(biāo)準(zhǔn)要求（“shall”要求）。即每一個要求，需要有至少一個審核檢查題，以證實其符合與否。

5 -1給出過程要求符合性檢查表格式。審核人員在實際使用中，可以進行適當(dāng)裁剪。

　　(1)標(biāo)準(zhǔn)的要求。IS()/IEC 27001：2005的第4～8章，相關(guān)條款規(guī)定的“shall”要求，如：“4.2.1建立ISMS”條款的“a）定義ISMS的范圍”等。

(2)審核檢查題。針對每一個要求，進行調(diào)查。所提出的檢查題可有一個或多個。通過這些檢查題應(yīng)能確定該要求的符合程度。

(3)答案記錄。此欄是審核的結(jié)果記錄。該要求是否符合（或滿足）?有兩個可能的回答：“是”和“否”。

a)是：這意味著組織的ISMS完全符合（或滿足）該要求。

b)否：這意味著組織的ISMS完全不符合該要求，即指在相應(yīng)的點上，沒有相應(yīng)于標(biāo)準(zhǔn)要求的ISMS過程。或者只是部分符合該要求，即指在相應(yīng)的點上，有一個ISMS過程，但不完全滿足該標(biāo)準(zhǔn)的要求。

這個審核的結(jié)果應(yīng)屬于不符合項，一般應(yīng)該開出不符合項報告，要求組織采取糾正措施。

c)理由：對于“否”的答案，應(yīng)說明理由。

(4)注釋與指南。由于ISMS審核員只有透徹地了解ISO/IEC 27001：2005的要求（“shall”要求，即強制性要求）后，才能有效地進行符合性審核。因此，在這里，我們對標(biāo)準(zhǔn)所規(guī)定的要求（“shall”要求）、某些關(guān)鍵點和難疑點，用通俗易懂的語言，做出一定詳細的解釋，提供指南。審核人員在實際工作中應(yīng)以此思路，有所創(chuàng)新地開發(fā)ISMS審核技能。