审核方法之过程审核

5.2 审核方法

5. 2.1 过程审核

ISO/IEC 27001: 2005的要求是过程要求。

有些ISMS过程要通过形成文件的程序（documented procedures，通常称程序文件） 加以控制，如“文件控制程序”、“记录控制程序”、“ISMS内部审核程序”和“纠正措施和预防措施控制程序”等。有些过程不一定要用程序文件进行控制。凡标准要求要有的过程，组织要有相应的过程。审核人员应按标准要求进行过程审核。对过程的审核可从两方面人手：

(1)过程是否到位。对于IS()/IEC 27001的相关条款的关键点上所要求的过程，组织实际建立的ISMS必须要有相应的过程。

(2)过程是否符合要求。IS()/IEC 27001标准对每个ISMS过程，都有具体的和明确的要求（“shall”要求）。组织的ISMS必须满足这些要求。

主要方法是将组织的ISMS与IS()/IEC 27001: 2005的第4～8章规定的要求进行比较和分析。