ISO27001审核都要查哪些现场？ISO9001认证

在 ISO27001 审核中，可能会审核以下现场： **一、办公场所** 1. 工作区域   -检查员工工作区域的物理安全措施，如门禁系统是否有效控制人员进出；是否有明确的标识区分不同安全级别的区域；是否有防止未经授权的人员窥视敏感信息的措施，如屏风、隐私膜等。  - 观察员工对信息安全的日常遵守情况，如是否妥善保管个人工作设备、是否在离开工位时锁定电脑屏幕等。 2. 会议室  -查看会议室在使用过程中的信息安全控制，例如是否在会议结束后清理敏感资料；是否有防止会议内容被窃听的措施，如采用隔音设备或禁止携带未经授权的录音设备。**二、数据中心/机房** 1. 物理环境   -评估机房的门禁控制、监控系统、消防设施等物理安全措施是否完备。检查温度、湿度控制设备是否正常运行，以确保服务器和网络设备的稳定运行。  - 确认机房的电力供应是否有冗余备份，如 UPS（不间断电源）和备用发电机等。 2. 设备管理   -审查服务器、网络设备、存储设备等的摆放是否合理，是否便于维护和管理。检查设备的标识是否清晰，以便在出现问题时能够快速定位。  - 核实设备的维护记录，包括定期巡检、故障处理等情况，确保设备的可靠性和安全性。 **三、研发区域** 1. 项目管理  -检查研发项目的信息安全管理流程，包括需求分析、设计、编码、测试等阶段的安全控制措施。例如，是否对敏感的研发数据进行加密存储和传输；是否有严格的版本控制和访问权限管理。  - 观察研发人员在使用开发工具和技术时是否遵循信息安全规范，如避免使用未经授权的软件和插件。 2. 知识产权保护  -评估企业对研发成果的知识产权保护措施，如专利申请、版权登记等。审查是否有防止研发成果被窃取或泄露的措施，如签订保密协议、限制访问研发文档等。**四、仓库/档案室** 1. 存储管理   -检查存储敏感信息或重要资产的仓库或档案室的物理安全措施，如门锁、监控、防火设施等。确认存储物品的分类和标识是否清晰，便于管理和查找。  - 核实库存管理系统是否能够准确记录物品的进出情况，防止资产丢失或被盗。 2. 文档管理   -审查纸质文档的存储和管理情况，如是否存放在防火、防潮的文件柜中；是否有定期的文档清理和销毁制度，以防止敏感信息泄露。**五、网络运维中心** 1. 网络监控   -查看网络运维中心的监控系统，了解网络流量、设备状态等的实时监测情况。确认是否有异常报警机制，以便及时发现和处理网络安全事件。  - 检查网络拓扑图和设备清单，确保对网络架构和设备配置有清晰的了解。 2. 安全设备管理   -审查防火墙、入侵检测系统、VPN 等安全设备的配置和管理情况。核实安全策略是否及时更新，以应对不断变化的安全威胁。   -观察网络运维人员对安全设备的日常维护和管理操作，如日志审查、设备升级等。