安全合规/ISO--9--ISO 27001审计历程

一、综述

在完成认证前的所有准备工作之后，就可以开展正式审计工作了，正式审计工作在流程上相对咨询实施工作来讲非常简洁，但工作量和工作难度也不小。

具体流程是：遴选审计方、签订审计合同、首付款、现场审计、不合规问题整改、获取证书、尾付款。

二、遴选、签合同、首付款

咨询方和审计方必须是相互独立的，这个毋庸置疑。

如果咨询方和审计方是完全独立的，这里的完全独立是指私下关系上也是独立的，则需要按确定咨询方的那一套流程再走一遍，最终和审计方达成合作关系。

如果将ISO 27001项目打包，则咨询方会直接找好审计方（私下肯定是有关系的），此时只需要和审计方签订合同、体系认证申请书、属实承诺书等即可，遴选以及首付款都忽略。

ISO的审计安排是三年一重审，一年一监审。因此审计合同和咨询合同有一处很大的不同，咨询合同是只签一次，下年度就可以换人或不签了，但审计合同按照规定是一次签三年，因此你要想换掉审计方，要等三年合同到期后才可以。

三、现场审计

与咨询方不同，审计方必须到现场审计，不可远程审计，因此需要提前商定好现场审计的排期。

这里首先要做的一个事情是审计方人员的勤务安排，根据行业惯例和合同约定，咨询及审计产生的差旅费用由甲方报销。勤务包括：行程预定、酒店预定、费用预定、会议室预定及布置等。这些都要留有发票，以便于最后实施报销。

现场审计时，会有首次会议、中途审计、末次会议三大部分组成，如果是首次认证，整个过程一般会持续10个人日左右，如果是年度监审，则一般会持续首次认证的三分之一个人日，即3-4个人日。

首次会议没有太多内容，主要是宣读一下认证的计划、目的、期望等等，重要的是大家的签到。

中途实施过程中，干的事情就比较多了。例如：

1、各种合同以及协议提供。
2、各部门面谈以及部门职能清单（咨询后期的话术同步就用在这里）。
3、文档体系进一步审计（文审），以及中存在的问题修改。
4、现场检查办公终端、布线、摄像头、机房等物理区域。
5、现场检查服务器日志、配置、备份、IP分段等。
6、现场检查各种安全管控措施实施，并提供各种安全管控措施的描述。
7、人员入职、离职、调岗统计以及相关文件审计。
8、……

实际上审计是按照ISO 27001规范来进行审计的，审计的内容也更多，很多涉及到公司机密，此处就不再多讲了。审计时一般都会提出不合规项，这些不合规项需要填写原因分析以及纠正措施等内容。

末次会议则是总结公司做的好的地方以及不好的地方，并宣读提出的不合规项等等，同样的，重要的是大家的签到。

四、不合规问题整改

在审计的过程中，审计方肯定会开出一些不合规项，这些不合规项除了作为第二年监审时的重点，在本年度要先整改完成才能获取证书。

在整改这些不合规项时，如果时间及进度允许，建议在审计方离场时就整改完，这样的好处是审计方在场，他们能告诉你具体该怎么整改，还能现场完成取证，并能在整改过程中得知整改存在的困难，给予一定的通融。如果审计方离场后再整改，则存在诸多不便。

整改完不合规项并经过审计方确认后，审计的主体工作就完成了。

五、获取证书

在完成审计的主体工作之后，需要准备相关的申请材料，这些材料审计方会帮你准备好，挺厚的一踏，需要在相关的地方签字盖章即可。

之后，将这些材料邮寄到审计方的公司，审计方公司的阅卷部门会进行阅卷，在阅卷通过后，会将证书邮寄过来，就能拿到证书了

六、尾付款

拿到证书后，进行尾款打款，这个就没啥了。付完尾款，整个项目就结束了。

七、总结

审计不是咨询，他们只管你有没有做好，没做好就开不符合项就完事了，因此审计人员并不会像咨询人员那样帮你解决问题，这是本分。但审计的体验具体取决于审计人员的脾性，如果审计人员的脾性好，他会热心的指导你该怎么做不该怎么做，并适当的通融一些很难处理的问题，这是情分。

大家都喜欢讲情分的审计方，因此在遇上一个只本分的审计方时，就在三年合同到期后替换掉它吧！