ISO27001简介
1、来源：
BS7799-1:1995《信息安全管理实施细则》——ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》——ISO/IEC 17799:2005（内容提升）——ISO/IEC 27002:2005
BS7799-2:1998《信息安全管理体系规范》——BS7799-2:2002（加PDCA）——ISO/IEC 27001:2005
GB/T19716:2005《信息安全管理实用规则》参考ISO17799:2002——GB/T22081-2008.
2、ISMS 文件体系通常是由四个层次构成的：
信息安全手册:对信息安全管理体系框架的整体描述;
一级文件:全组织范围内的信息安全方针，以及下属各个方面的策略方针等;
二级文件：各类程序文件;
三级文件：具体的作业指导书;
四级文件：各种记录文件，包括实施各项流程的记录成果。
3、认证过程：
第一步：建立ISMS,可由外部组织；
第二步：提出申请；
第三步：认证审核：预审、书面审核、现场审核；
第四步：获得证书，半年或一年用户复审，三年期满重审。
4、ISO2001与ISO17799:
ISO/IEC 27001的附录中有ISO/IEC 17799中的5到15章的全部内容，也就是说在进行ISMS建设以及27001认证时， ISO/IEC 17799中11个方面，39个控制点，以及133个控制措施都作为重要的参考点，进行差距分析时，这些内容都是重要的依据。
17799重点关注的是实施细则,27001重点关注的是建设体系的要求，并且有认证机制。

内部审核员
1、基本概念
审核含义：对信息安全相关的审核证据进行客观评价，以确定满足信息安全审核准则的程度所进行的系统、独立并形成文件的过程。
审核准则：安全管理方针、SOA、风险评估报告及管理计划、法规要求、合同要求、内部安全规范要求扥；
审核证据:与审核准则有关并且能够证实的记录、事实陈述及其他信息。
审核类型：第一方审核（内审）、第二方审核（顾客），第三方审核；
审核阶段：第一阶段为文件审查，第二阶段为对ISMS实施结果审查。
基本程序：策划与准备、实施、报告、跟踪。
2、审核策划与准备
——年度审核策划：时间及方式
——审核准备：目的及范围、特别要求、成员、时间资源、计划、检查表、审核前沟通
——编制ISMS审核实施计划：目的及范围、准则、成员、详细日程安排（会议时间、人员分配、受审部门时间、主要审核点）、特别说明（临时权限及业务影响）、批准人签字、通知的对象部门
——编制审核检查表：（备忘录，应该反映实际的业务过程）审核准则、部门、检查要点、验证方法、抽样数、审核时间、验证结果。
——审核前沟通：特别事项、提前通知、组内会议。
3、审核实施
——首次会议
——现场审核：
基本原则（行规）：进入审核区域、自我介绍（由陪同人员介绍）、解释希望看什么、进行适当深度调查、如无问题继续审核计划、切记为了问题而审核。
提问方式：开放式提问了解活动，封闭式提问用于确认。
审核技巧：抽样、验证、询问；
——不合格报告：
分类：严重不合格、一般不合格、观察意见；
不合格判断：足够事实？孤立的问题？频繁？严重程度?纠正措施？对受审方的帮助？违反ISO哪一条规则？
不合格描述：客观判断、地点、事实、原因、职位、专业术语、可追溯、改进。得到责任人的许可。
报告：准确清晰的描述不合格事实、问题性质、违反规定条款，纠正措施计划及责任部门
——审核组会议
——末次会议
4、审核报告、纠正及跟踪
——审核报告
——纠正措施计划及执行：补救措施、预防措施
——纠正措施跟踪
——审核档案管理：审核实施计划、审核检查表、现场审核记录、审核不合格报告、审核报告、纠正预防措施计划、纠正措施实施证据、措施验证记录。