审核方法之编制检查表

5.2.2编制检查表

审核人员的一项重要工作应是预先准备好审核工作文件。其中，最重要的工作文件是检查表。审核人员需要预先编制好正确的审核检查表，备审核中使用。检查表应针对IS()/IEC 27001: 2005标准要求（“shall”要求）。即每一个要求，需要有至少一个审核检查题，以证实其符合与否。

5 -1给出过程要求符合性检查表格式。审核人员在实际使用中，可以进行适当裁剪。

　　(1)标准的要求。IS()/IEC 27001：2005的第4～8章，相关条款规定的“shall”要求，如：“4.2.1建立ISMS”条款的“a）定义ISMS的范围”等。

(2)审核检查题。针对每一个要求，进行调查。所提出的检查题可有一个或多个。通过这些检查题应能确定该要求的符合程度。

(3)答案记录。此栏是审核的结果记录。该要求是否符合（或满足）?有两个可能的回答：“是”和“否”。

a)是：这意味着组织的ISMS完全符合（或满足）该要求。

b)否：这意味着组织的ISMS完全不符合该要求，即指在相应的点上，没有相应于标准要求的ISMS过程。或者只是部分符合该要求，即指在相应的点上，有一个ISMS过程，但不完全满足该标准的要求。

这个审核的结果应属于不符合项，一般应该开出不符合项报告，要求组织采取纠正措施。

c)理由：对于“否”的答案，应说明理由。

(4)注释与指南。由于ISMS审核员只有透彻地了解ISO/IEC 27001：2005的要求（“shall”要求，即强制性要求）后，才能有效地进行符合性审核。因此，在这里，我们对标准所规定的要求（“shall”要求）、某些关键点和难疑点，用通俗易懂的语言，做出一定详细的解释，提供指南。审核人员在实际工作中应以此思路，有所创新地开发ISMS审核技能。