监督审核计划
2018-04-16 11:08:34 | 来源:中培企业IT培训网
3.5.6监督审核计划
监督审核计划需注意:
(1)审核应覆盖所有的要素,但并不要求覆盖所有要素的主控部门和过程。可在相关部门获取证据,如IS()/IEC 27001: 2005中的4.1、5、6、7等;
(2)监督审核每次不必覆盖所有的部门、区域、活动,但必须在证书有效期内覆盖所有的部门、活动、区域;
(3)每次监督审核必检查的部门/岗位:管理者代表、信息安全管理体系策划部门(包括证书和标志的使用管理部门)、信息安全管理部门(如有)、计算机房、网络设施操作岗位、物理及环境安全管理归口部门,必要时信息安全涉及的使用部门和分包方场所;
(4)再认证可以取代/扩展一次定期监督审核;
(5)多场所抽样:
a)考虑的风险、抽样方法同第二阶段;
b)抽样量:
低信息安全风险行业的样本量y≥0.6v,上入成整数;
高信息安全风险行业的样本量y≥o.9 v,上人成整数; 总部在每次审核时都应被检查。