ISO27001認證體系信息業(yè)務連續(xù)性審核示便供參考。 ISO27001認證體系業(yè)務連續(xù)性審核目的 1）組織是否進行了關鍵業(yè)務分析; 2）組織是否分析了關鍵業(yè)務對信息資產的依賴程度; 3）組織是否建立了業(yè)務連續(xù)性框架; 4）組織確定的業(yè)務連續(xù)性信息管理方面的管理流程是否完整; 5）組織是否針對關鍵業(yè)務分別制定了業(yè)務連續(xù)性計劃; 6）組織是否針對與關鍵業(yè)務密切相關的高風險信息資產制定了完整的信息業(yè)務連續(xù)性計劃; 7）組織是否針對業(yè)務連續(xù)性計劃制定了演練計劃; 8）組織是否針對信息業(yè)務連續(xù)性計劃制定了演練計劃; 9）組織是否組織了業(yè)務連續(xù)性演練; 10）組織是否組織了信息業(yè)務連續(xù)性演練; 11）組織進行的信息業(yè)務連續(xù)性演練是否滿足三年全覆蓋要求; 12）組織是否進行了業(yè)務連續(xù)性演練分析; 13）組織是否進行了信息業(yè)務連續(xù)性分析; 14）組織是否依據(jù)信息業(yè)務連續(xù)性分析結果，對信息業(yè)務連續(xù)性演練計劃、信息業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性信息管理方面的管理流程進行適當?shù)恼{整; 15）組織是杏出現(xiàn)過引起關鍵業(yè)務中斷的信息事件;如出現(xiàn)，是否依據(jù)信息、業(yè)務連續(xù)性計劃實現(xiàn)了關鍵業(yè)務的恢復目標，特別是有沒有關聯(lián)信息資產影響恢復目標實現(xiàn) 上述內容既是ISO27001認證機構審核的目的，也應是企業(yè)實施ISO27001認證體系及內審參考。以下審核步驟 1.ISO27001認證體系業(yè)務連續(xù)性程序檢查 a) 業(yè)務連續(xù)性管理程序完整性; b) 關鍵業(yè)務分析報告、業(yè)務連續(xù)性計劃、業(yè)務連續(xù)性演練計劃等的發(fā)布與控制 2.ISO27001認證體系業(yè)務連續(xù)性報告檢查 a) 關鍵業(yè)務進行了分析; b) 關鍵業(yè)務對信息與信息系統(tǒng)的依賴程度分析; c) 信息對關鍵業(yè)務的連續(xù)性影響因素分析; d) 對所有影響因素制定了可操作的具體業(yè)務連續(xù)性保證計劃; c)各種演練記錄完整性; f) 各種演練分析報告完整性合理抽樣審 3.ISO27001認證體系業(yè)務連續(xù)性演練檢查 a) 演練計劃; b) 演練方式; c) 演練內容; d) 演練記錄; e) 演練分析 4.ISO27001認證體系業(yè)務連續(xù)性事件檢查 a) 事件記錄； b) 事件處理方式; c)事件影響分析: d) 業(yè)務連續(xù)性恢復記錄

堅持機構認可原則 針對申請認證組織的審核范圍，首先確認是否在本機構的認可范圍內，如果在機構認可范圍內，可予以受理；如果不在機構認可范 圍內，則不予以受理，本著對機構負責的原則，不越紅線并堅守認證底線來初步確定能否受理申請認證組織的審核范圍為首要原則 。 堅持法人實體原則 基于上述審核范圍的表述，且在認證機構認可的范圍內，同時申請認證組織還必須是一個能夠承擔法律責任的實體，即具有法人資 格的企事業(yè)單位。 堅持許可資質原則 結合申請認證組織提供的營業(yè)執(zhí)照或許可資質/環(huán)評驗收材料/相關職業(yè)危險性評價等有效資質，來確定申請認證組織的審 核范圍，即以申請認證組織的營業(yè)執(zhí)照給予的業(yè)務范圍為前提條件，當涉及資質時，結合資質與申請組織的實際運行情況進行確定 審核范圍，但一定不能超過營業(yè)執(zhí)照/許可資質的范圍，根據(jù)申請認證組織提供的相應產品/服務范圍所執(zhí)行的標準，特別是對其工 藝流程進根據(jù)行判斷，據(jù)此分析申請認證組織的產品或服務是什么；與其進行必要的溝通達成一致后，終確定申請認證組織的審 核范圍，并為專業(yè)小類代碼的給定和專業(yè)技術人員的支持提供依據(jù)和參考。 堅持先“評”后“簽”原則 即受理評審后才能簽訂認證合同的原則：審核范圍一經確定并完成合同評審的流程后，才能與申請認證組織簽訂認證合同，并為后 續(xù)審核策劃、審核委派以及后續(xù)審核提供中心線索，并奠定良好的審核基礎。 堅持關系證明原則 關系說明主要是指建立一套管理體系的多名稱、多場所的評審界定，包括但不限于出資情況說明、公司章程、驗資報告、法人及管 理層等具體相互關聯(lián)的證明性的文件說明，以確認實施合同評審相關工作，并按《多場所認證機構認可規(guī)則》的相關規(guī)定進行受理 評審。 對申請認證組織審核范圍的界定示例 示例1：聚乙烯吹塑薄膜包裝袋的生產（產品僅限出口） 此申請認證組織實際生產的產品不在國內進行銷售，也就是說在國內進行生產，而此組織執(zhí)行的是出口國的相關法律法規(guī)及顧客要 求及相關標準，直接定向銷往國外。這種情況下，企業(yè)不需要國內的相關資質，同時在審核范圍的后面加上限定（產品僅限出 口），也就是說，企業(yè)按這個范圍內生產的產品不能在國內進行銷售；同時，申請認證組織還應提供《對外貿易經營者備案登記表 》。 示例2：電線電纜（涉及許可要求的按全國工業(yè)產品生產許可證、 強制性產品認證為準）的生產 此申請認證組織實際生產的電線電纜產品品種較多，且也都取得了相應的許可證和CCC，那么在這種情況下，考慮到后續(xù)認證證 書的打印，在無法全部列明的條件下，應采用限定的條件進行審核范圍內的界定，同時規(guī)避機構的風險。 示例3：汽車零部件（涉及 生產許可要求及CCC認證要求的產品除外）的生產 申請認證組織生產的汽車零部件不在CCC認證范圍內，且也不生產CCC認證范圍內的汽車零部件的產品，不涉及許可證的產品，為規(guī) 避認證風險，故進行此范圍的限定。 示例4：石油化工產品（不含危險化學品、易燃易爆品及劇毒品）的生產 申請認證組織生產的化工產品主要應用在石油行業(yè)且不在危險化學品名錄，同時也不需要取得危險化學品生產許可證的，以此方法 來進行明示告知；由于化工產品本身具有危險性，或與其他物質組合具有燃爆的風險，為避免發(fā)生危險，需要采取明示的方式對審 核范圍進行限定，以控制機構的風險。 示例5：電梯的安裝和維修（特種設備許可資質范圍內） 企業(yè)的特種設備許可證資質中給定的范圍為：乘客電梯、載貨電梯、雜物電梯、自動扶梯、觀光電梯、自動人行道、無機房電梯； 之所以加括號范圍內的限定，是因為企業(yè)的營業(yè)執(zhí)照上比資質上的范圍要大，如：比資質中多了液壓電梯，故對申請認證組織的審 核范圍進行限定。 圖片 審核范圍確定好后為后續(xù)認證流程中的各階段提供方向 圖片 從審核方案策劃及審核委派活動來看，以確定好的審核范圍為出發(fā)點，策劃此申請認證組織周期內的具有特定目標的一組（一次或 多次）審核的安排。根據(jù)此審核策劃方案確定每一次的審核委派具有專業(yè)性，特別是對多名稱、多場所的申請認證組織的審核方案 的策劃過程中，要結合申請認證組織的審核范圍情況策劃出初審/再認證、監(jiān)督審核的抽樣方案進行一一策劃，以滿足多場所組織審 核策劃的實施相關要求。 從現(xiàn)場審核活動看，專業(yè)審核員對現(xiàn)場審核范圍進行審核把控，并從其專業(yè)性的角度，結合標準條款進行專業(yè)過程的審核，可 做到審核、專業(yè)、有效。 從認證評定角度來看，相關專業(yè)的審定評議老師對審核案卷進行審定，并圍繞審核范圍以及專業(yè)過程，對審核范圍的審核是否 進行回卷后的把控， 從專業(yè)評議老師的角度，根據(jù)已審核的范圍及審核結論確定并批準終的認證范圍，即能否授予 認證的過程。由此可以看出，雖然審核范圍和認證范圍是不同的兩個概念，但是兩者具有密切的聯(lián)系，審核范圍是依據(jù)認證機 構的認證范圍來確定的，而認證范圍又是根據(jù)審核范圍和終的認證結論而確定的。 可以說，審核范圍終要轉化為認證范圍，認證范圍是申請認證組織持續(xù)改進的方向。申請認證組織所設過程或者部門職責都是以 此為主旨的認證范圍中的產品或者服務進行服務的。如以下圖所示QMS標準條款，來分析申請認證組織的審核范圍，申請認證組織所 設的各部門都是圍繞審核范圍且與標準條款完全融合來進行的。 圖片 獲取充分、有效的審核證據(jù)可以得出合理的審核結論，并終來支撐此審核范圍的適宜、充分、有效。 管理體系是一個持續(xù)發(fā)展的動態(tài)系統(tǒng)。申請認證組織即使通過合同評審，可能還會在現(xiàn)場審核過程以及監(jiān)督、再認證審核過程中都 會發(fā)生變化，如：申請范圍調整描述，或擴大、縮小、變更等情況的發(fā)生，這就要求重新進行審核范圍的評審界定，或者在審核前 調整合同評審及審核策劃方案，以保證以審核范圍為主線的審核案卷符合認證審核的相關要求。