企业在 ISO 27001 审核前需要进行以下准备工作：

一、文件资料准备

1. 信息安全管理体系文件

• 确保信息安全管理手册、程序文件、作业指导书等体系文件完整、准确且为现行有效版本。

• 检查文件的审批、发放、修订等记录是否齐全。

2. 记录表单

• 整理各类与信息安全管理相关的记录表单，如风险评估记录、内部审核记录、管理评审记录、培训记录、安全事件处理记录等。

• 确认记录的填写规范、完整，可追溯性强。

3. 法律法规及其他要求清单

• 梳理与企业信息安全相关的法律法规、行业标准及客户要求等，形成清单。

• 检查企业对这些要求的遵守情况，并有相应的证据支持。

二、人员准备

1. 确定审核陪同人员

• 挑选熟悉企业信息安全管理体系和业务流程的人员作为审核陪同人员。

• 对陪同人员进行审核前的培训，使其了解审核流程、注意事项及应对技巧。

2. 员工培训与意识提升

• 对全体员工进行 ISO 27001 标准及企业信息安全管理体系的再培训，强化员工的信息安全意识。

• 确保员工了解自己在信息安全管理中的职责和义务，能够正确回答审核员的问题。

三、现场准备

1. 信息安全设施检查

• 检查企业的信息安全设施，如防火墙、入侵检测系统、加密设备等是否正常运行。

• 确保物理安全措施到位，如门禁系统、监控设备、机房环境等符合要求。

2. 标识与警示

• 在关键信息资产区域设置明显的标识和警示，提醒员工注意信息安全。

• 确保安全警示标语、操作规程等张贴在显眼位置。

四、沟通协调准备

1. 与审核机构沟通

• 提前与审核机构确认审核时间、审核组成员、审核范围等信息。

• 了解审核的具体流程和要求，以便企业做好相应的准备。

2. 内部沟通协调

• 建立内部沟通协调机制，确保各部门在审核期间能够密切配合，及时提供所需的资料和信息。

• 明确各部门在审核中的职责和任务，避免出现推诿扯皮的情况。