ISO27001二阶段审核流程如下： **一、审核启动** 1. 确定审核组成员及任务分工。审核组通常由具备专业知识和经验的审核员组成，根据审核范围和重点进行任务分配。 2. 与被审核方召开首次会议。介绍审核目的、范围、流程和时间安排等，确认被审核方的配合事项和沟通渠道。 **二、文件审查** 1. 进一步审查信息安全管理体系文件，包括管理手册、程序文件、作业指导书等，确保文件的完整性、符合性和有效性。 2. 检查文件与 ISO27001 标准的符合程度，以及文件之间的协调性和一致性。 **三、现场审核** 1. 对被审核方的各个部门、场所进行实地走访，观察信息安全管理措施的实际执行情况。   - 与部门负责人和员工进行面谈，了解他们对信息安全政策、程序的理解和执行情况。   - 查看信息系统的运行状态、安全设备的配置和使用情况。   - 检查物理安全措施，如门禁系统、监控设施等。 2. 抽样检查相关记录和文档，验证信息安全管理活动的真实性和有效性。   - 检查风险评估记录，确认风险识别、分析和处置的合理性。   - 查看访问控制记录，核实用户权限管理是否严格。   - 审查安全事件处理记录，评估应急响应能力。 **四、审核组内部沟通与讨论** 1. 审核员在审核过程中定期进行内部沟通，分享审核发现和问题。 2. 对疑难问题进行讨论，统一审核尺度和判断标准。 **五、形成审核结论** 1. 汇总审核发现，包括符合项和不符合项。 2. 根据审核发现，对被审核方的信息安全管理体系进行综合评价。 3. 确定审核结论，判断被审核方的信息安全管理体系是否符合 ISO27001 标准要求。 **六、末次会议** 1. 与被审核方召开末次会议，通报审核结果。 2. 说明审核发现的符合项和不符合项，提出整改要求和建议。 3. 听取被审核方的意见和反馈。 **七、审核报告编写与发布** 1. 审核组根据审核结果编写审核报告，内容包括审核目的、范围、过程、发现、结论等。 2. 审核报告经审核组长审核和认证机构批准后，正式发布给被审核方。