第二阶段审核计划
2018-04-16 11:07:51 | 来源:中培企业IT培训网
3.5.5 第二阶段审核计划
第二阶段审核计划制定需考虑:
(1)影响进入第二阶段审核的问题(主要为信息安全法规风险、文件、策划、内审、 管评的问题)均已得到整改后方可进入第二阶段。
(2)审核组长必须根据第一阶段的审核发现制定第二阶段的审核计划。
(3)如在第一阶段现场审核时发现受审核方规模、人数严重超出申请材料中填报的规模、人数时,制定第二阶段审核计划前应与项目管理人员沟通。
(4)审核计划应覆盖受审核组织的全部部门和要素(除了那些在第一阶段审核中已经进行了充分而成功的审核的要素)。
(5)各部门应涉及的要素有:
a)主控要素;
b)与部门有关的;
c)合理安排共性要素的审核,如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7条款等。如共性要素在相关部门计划中没有具体写出,审核组长应在审核前的沟通会议上给予适当的安排。
(6)对于多场所的审核计划:
a)应对每一现场进行审核,或根据第一阶段现场审核的结果和多场所抽样原则确定抽样方案;
b)多现场抽样原则:具有相似性的现场可以抽样;不具相似性的现场不能抽样,必须进行审核。
c)抽样量(每次审核至少必须覆盖的场所数量):
低信息安全风险行业的样本量y≥石(_为分场所数量的平方根,下同),上人成整数;高信息安全风险行业的样本量y≥1.4 vG,上入成整数;
d)对于在第一阶段审核中已经进行了充分而成功审核的分场(不包括一类信息安全风险的组织),在第二阶段审核时可不安排。
- 上一篇:预审核计划(如适用)和第一阶段审核计划
- 下一篇:监督审核计划