检查表

　　检查表有可能失去其价值，如果只是：

　　对错打钩清单

　　对错回答问题单

　　检查表应该是一份备忘录！

　　检查表应反映实际的业务过程！

　　检查表编制

　　输入信息

　　风险评估报告及管理计划

　　SOA

　　信息安全方针手册

　　ISMS 体系文件（程序、指引、安全规范）

　　法律和法规

　　上次审核发现问题

　　已知的安全漏洞

　　重大的安全事件

　　管理层关注重点

　　客户和相关方关注点

　　检查表编制

　　输出信息

　　审核要点 — 看什么？

　　验证方法 — 找哪些客观证据？

　　抽样数量

　　审核思路