文件审核（第一阶段审核）

4.1 文件审核（第一阶段审核）

在现场审核活动前应当评审受审核方的文件，以确定文件所述的体系与审核准则的符合性。文件可包括相关的管理体系文件和记录及以前的审核报告。

实际上，第一阶段审核主要是文件评审，包括（但不仅限于）获得ISMS文件、评审ISMS文件和编写审核报告等活动。严格来讲，第一阶段审核的范畴要大于文件审核。但是在实际外部审核的操作中，“文件审核”与“第一阶段审核”往往被认为是同义的。

而在ISO/IEC 27001: 2005标准规定的ISMS内部审核中，却没有出现“第一阶段审核”这个术语（参见ISO/IEC 27001: 2005的第6章“内部ISMS审核”）。因此，在实施内部审核时，不应使用“第一阶段审核”这个术语来代替“文件审核”。

事实上，“第一阶段审核”和“第二阶段审核”术语，一般只用于外部审核中。 针对ISMS审核活动中文件评审需要特别注意：

(1)文件体系的完整性；

(2)风险评估程序与风险评估报告的一致性；

(3)风险处置程序与风险处置计划的一致性；

(4)适用性声明的完备性和合理性。

ISMS文件按照对标准是否是必须的，可以分为强制文件和自选文件。

强制文件的主要依据是ISO/IEC 27001: 2005的4.3.1条款（见表4-1）。