文件审核也称桌面审核,是体系认证的起点,文件审核的目的主要是检查组织所建立的文件化体系是否符合标准的要求。文件审核可能要求组织解释或修正组织所提供的部分文件。通常文件审核的内容包括:
¨ 信息安全方针文件;
¨ 认证范围声明;
¨ IT-环境文件(如网络结构拓扑图);
¨ 风险评估文件;
¨ 风险处理计划;
¨ 控制概要;
¨ 业务持续性管理计划;
¨ 信息安全管理手册;
¨ 程序文件。
