ISO27001认证是关于信息安全管理体系认证，能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

        ISO27001认证信息安全管理体系文件审核的目的是评价组织是否按GB/T22080—2008/ISO/IEC27001：2005的要求建立了文件化的信息安全管理体系；所建立的信息安全管理体系文件对组织的ISMS是否充分和适宜，是否符合ISO27001标准的要求，并进行了有效的发布和分发控制；组织是否有效地进行了体系文件培训，相关人员是否真正理解和贯彻了体系文件的要求。尽管体系文件全面描述了组织的ISMS体系，基于体系文件的审核几乎涉及标准要求的全部内容，还需要另外三条脉络作为补充。

        检查是否按GB/T22080—2008/ISO/IEC27001：2005要求，特别是4.3.1中的要求建立了体系文件；是否有规范的记录格式和记录 要求；是否按文件控制要求正式发布了相关文件等。要注意纸质文件和电子文件控制要求的差异，以及电子文件是否存在不同的文件控制系统。实际上，文件控制检 查的关键是判断文件的完整性是否在文件生成、发布、修订、再发布中得到了保持。另外，表明文件发布、使用状态的文件发布控制清单通常是必须的。

        对组织按照GB/T22080—2008/ISO/IEC27001：2005条款4.3.1建立的文件的内容进行检查，对其实施情况进行追踪。审核员需要 先理解这些文件的内容，进而验证其实施情况，特别是那些能够体现ISMS运行效果的证据，以便评价文件的可用性、充分性、适宜性，这也是体系文件审核的重 点。需要重点关注的文件包括：

        检查是否建立了ISMS安全职责分配表，是否定义了信息安全管理体系建立、实施、运行、监视、评审、保持和改进所需的信息安全职责，是否将所有职责落实到具体岗位和人员身上。