ISO 27001 着重审核以下几个方面：

一、信息安全管理体系文件

1. 完整性

• 审核是否有明确的信息安全方针、目标，以及涵盖各个方面的管理手册、程序文件和作业指导书等。

• 确保文件体系能够全面指导企业的信息安全管理工作。

2. 适宜性

• 检查文件是否与企业的实际情况相适应，包括组织架构、业务流程、信息系统等。

• 确认文件中的规定能够切实可行地在企业内部得到执行。

3. 有效性

• 评估文件在实际运行中的效果，看是否能够有效地降低信息安全风险，保障信息资产的安全。

二、信息安全风险管理

1. 风险评估

• 审核企业是否进行了全面的信息安全风险评估，包括识别信息资产、分析威胁和脆弱性、评估风险的可能性和影响程度等。

• 确认风险评估的方法是否科学合理，评估结果是否准确。

2. 风险处理

• 检查企业针对风险评估结果所采取的风险处理措施是否得当，包括风险降低、风险转移、风险接受等。

• 评估风险处理措施的实施效果，看是否有效地降低了风险。

三、信息安全控制措施

1. 技术控制

• 审核企业在信息系统方面采取的技术控制措施，如访问控制、加密、备份与恢复等。

• 确认技术控制措施是否能够有效地保护信息资产的安全。

2. 管理控制

• 检查企业在人员管理、物理安全、业务连续性等方面采取的管理控制措施。

• 评估管理控制措施是否能够有效地规范员工的行为，保障信息安全。

四、内部审核与管理评审

1. 内部审核

• 审核企业是否定期进行内部审核，以检查信息安全管理体系的运行情况。

• 确认内部审核的过程是否规范，审核结果是否得到有效处理。

2. 管理评审

• 检查企业是否定期进行管理评审，以评估信息安全管理体系的适宜性、充分性和有效性。

• 确认管理评审的结果是否得到有效落实，是否推动了信息安全管理体系的持续改进。

五、人员培训与意识提升

1. 培训计划

• 审核企业是否制定了信息安全培训计划，明确了培训的内容、对象、时间和方式等。

• 确认培训计划是否得到有效实施，员工是否具备了必要的信息安全意识和技能。

2. 意识提升

• 检查企业是否采取了有效的措施来提升员工的信息安全意识，如宣传海报、内部培训、安全提醒等。

• 评估员工的信息安全意识水平，看是否能够自觉遵守企业的信息安全规定。