4.1 文件审核(第一阶段审核)
在现场审核活动前应当评审受审核方的文件,以确定文件所述的体系与审核准则的符合性。文件可包括相关的管理体系文件和记录及以前的审核报告。
实际上,第一阶段审核主要是文件评审,包括(但不仅限于)获得ISMS文件、评审ISMS文件和编写审核报告等活动。严格来讲,第一阶段审核的范畴要大于文件审核。但是在实际外部审核的操作中,“文件审核”与“第一阶段审核”往往被认为是同义的。
而在ISO/IEC 27001: 2005标准规定的ISMS内部审核中,却没有出现“第一阶段审核”这个术语(参见ISO/IEC 27001: 2005的第6章“内部ISMS审核”)。因此,在实施内部审核时,不应使用“第一阶段审核”这个术语来代替“文件审核”。
事实上,“第一阶段审核”和“第二阶段审核”术语,一般只用于外部审核中。 针对ISMS审核活动中文件评审需要特别注意:
(1)文件体系的完整性;
(2)风险评估程序与风险评估报告的一致性;
(3)风险处置程序与风险处置计划的一致性;
(4)适用性声明的完备性和合理性。
ISMS文件按照对标准是否是必须的,可以分为强制文件和自选文件。
强制文件的主要依据是ISO/IEC 27001: 2005的4.3.1条款(见表4-1)。