ISO13485质量管理体系具有文件化管理的特征。编制体系文件是组织实施ISO13485质量管理体系标准，建立与保持ISO13485质量管理体系并保证其有效运行的重要基础工?作，也是组织达到预定的目标，评价与改进体系，实现持续改进和风险控制必不可少的依据和见证。体系文件还需要在体系运行过程中定期、不定期的评审和修改，以保证它的完善和持续有效。

体系试运行与正式运行无本质区别，都是按所建立的ISO13485质量管理体系手册、程序文件及作业规程等文件的要求，整体协调地运行。试运行的目的是要在实践中检验体系的充分性、适用性和有效性。组织应加强运作力度，并努力发挥体系本身具有各项功能，及时发现问题，找出问题的根源，纠正不符合并对体系给予修订，以尽快渡过磨合期。

　ISO13485质量管理体系的内部审核是体系运行必不可少的环节。体系经过一段时间的试运行，组织应当具备了检验ISO13485质量管理体系是否符合标准要求的条件，应开展内部审核。管理者代表应亲自组织内审。内审员应经过专门知识的培训。如果需要，组织可聘请外部专家叁与或主持审核。内审员在文件预审时，应重点关注和判断体系文件的完整性、符合性及一致性；在现场审核时，应重点关注体系功能的适用性和有效性，检查是否按体系文件要求去运作.

国际标准化组织（ISO）是一个全球性机构，负责收集和管理针对不同学科的各种标准，在当今世界上，如今有许多行业依赖于互联网和数字网络，因此越来越多的重点放在ISO标准的技术部分上。特别是，ISO 27001标准旨在用作组织的信息安全管理系统（ISMS）的框架，这包括与如何控制和使用数据有关的所有策略和过程。

如何获得ISO 27001认证

获得ISO 27001认证通常是一个多年过程，需要内部和外部利益相关者的大力参与，这并不像填写清单并将其提交批准那样简单，甚至在考虑申请认证之前，您必须确保ISMS完全成熟并涵盖所有潜在的技术风险领域。

ISO 27001认证过程通常分为三个阶段：

1.该组织聘请认证机构，然后对ISMS进行基本审核，以查找主要的文档形式。

2.认证机构进行了更深入的审核，其中根据组织的ISMS对ISO 27001的各个组成部分进行了检查，必须提供证据表明政策和程序已得到适当遵守，首席审核员负责确定是否获得认证。

3.计划在认证机构和组织之间安排后续审核，以确保对合规性进行检查。

ISO 27001标准

在着手进行ISO 27001认证之前，组织内的所有主要利益相关者应非常熟悉标准的安排和使用方式。ISO 27001分为12个单独的部分：

1.简介–介绍什么是信息安全以及组织为什么应管理风险。

2.范围–涵盖ISMS适用于所有类型或组织的高级要求。

3.规范性引用文件–解释了ISO 27000和27001标准之间的关系。

4.组织的背景–解释了哪些利益相关者应参与ISMS的创建和维护。

5.领导力–描述组织内的领导者应如何遵守ISMS政策和程序。

6.规划–概述了如何在整个组织中规划风险管理。

7.支持–描述如何提高对信息安全的认识并分配职责。

8.操作–涵盖应如何管理风险以及应如何执行文档以满足审核标准。

ISO 27001审核控制

ISO 27001的文档将最佳做法分为14个单独的控件。认证审核将涵盖合规性检查期间每一项的控制，以下是标准各部分的简要摘要，以及如何将其转化为实际审核：

信息安全策略–涵盖应如何在ISMS中编写策略以及如何审查策略的合规性，审核员将寻求定期记录和审查您的程序。

信息安全组织–描述组织的哪些部分应对哪些任务和行动负责，审计师将期望看到清晰的组织结构图，并根据角色承担高级职责。

人力资源安全–涵盖了在上任，离职或换岗时应如何告知员工网络安全，在信息安全方面，审计师将希望看到定义明确的入职和离职程序。

资产管理–描述管理数据资产的过程以及应如何保护它们，审核员将检查您的组织如何跟踪硬件，软件和数据库。证据应包括您用来确保数据完整性的任何常用工具或方法。