应根据风险和控制目标对审计证据进行分类、归档和审查。

有时，分析可能会发现证据中的差距或表明需要进行更多的审计测试，这将涉及进一步的现场测试。

5. ISO 27001审核报告

审计过程的这一重要组成部分通常包括：

说明所执行工作的范围、目标、时间和范围的介绍；

显示主要发现的执行摘要、简要分析和结论；

预期的报告接收者，以及分类和分发指南（如适用）；

详细的调查结果和分析；

结论和建议；和

审计师详细说明建议或范围限制的声明。

审计报告草稿应提交给管理层并与管理层讨论，可能需要进一步审查和修订，因为终报告通常涉及管理层对行动计划的承诺。

 ISO/IEC 27001 是一项标准，旨在建立、维护和持续改进企业信息安全管理系统 (ISMS)，以保护企业数据，它由化组织

 ISO 27001 合规性、审核或认证是否是强制性

不同于国家颁布的法律法规，ISO14000环境认证，如GDPR欧盟或NYDFS在纽约的状态下，ISO

27001合规性和认证不是强制性的，然而，对于大型组织和实体的供应商而言，该标准已成为普遍的先决条件，他们现在需要强制性的 ISO

27001 认证或来自承包商和供应商的 SOC 2 报告，进贤认证，以降低第三方风险并大限度地减少供应链攻击的影响。

许多组织将通过外部审计认证的强制性 ISO 27001 合规性纳入其第三方风险管理计划 (TPRM)

中，除其他外，可能会通过合同强制要求每年提交外部审计报告、定期现场检查，甚至对未的人处以罚款不符合标准，反复违反合同规定可能导致粗心的供应商终止合同和失去业务。

 适用性 –在实施 ISMS 时，您需要确定任何不适用于您的公司或业务的信息安全控制措施。ISO 27001

通过需要进行风险评估来确定需要哪些信息安全控制来解决这个问题，ISO 27002

规定了信息安全控制目标，提供了实现这些目标的佳实践方法。因此，ISO45000认证，ISO 27002 是对 ISO 27001

的补充，对于确定适用于贵组织的每项控制措施，OHSAS18001认证，ISO 27002 都将提供必要的实施指南。

应该使用哪个标准

如果您想在您的组织内建立一个强大的信息安全框架，ISO 27001 将以您需要达到的要求的形式提供标准；标准定义了如何运行系统，在 ISO 27001:2013 的情况下，ISMS 是管理标准。

如果没有ISO 27002 中提供的细节，就无法实施 ISO 27001，但是，ISO 27001 的管理框架将始终与 ISO 27002 不同。

作为一项咨询标准，ISO/IEC 27002 旨在根据其特定的信息安全风险对所有类型和规模的组织进行解释和应用，这种灵活性提供了大量机会以您的组织独有的方式采用ISO 27001 信息安全控制。

ISO14000环境认证-进贤认证-森诺技术服务经验足由南昌森诺技术服务有限公司提供。“iso认证,高新技术企业认定,iso9001质量认证”选择南昌森诺技术服务有限公司，公司位于：江西省南昌市西湖区井冈山大道1338号汇盛大厦8层801，多年来，森诺技术服务坚持为客户提供好的服务，联系人：谢经理。欢迎广大新老客户来电，来函，亲临指导，洽谈业务。森诺技术服务期待成为您的长期合作伙伴！