3.选择审核组
当已明确审核可行时,应当选择审核组,同时考虑实现审核目的所需的能力。当只有一名审核员时,审核员应当承担审核组长全部适用的职责。
当决定审核组的规模和组成时,应当考虑下列因素:
(1)审核目的、范围、准则和申请评审时确定的审核时间(但实习审核员和技术专家的审核活动不计入审核人天数)以及审核方案要求;
(2)结合审核或联合审核所需的要求;
(3)为达到审核目的,审核组所需的整体能力;
(4)适用时,法律法规、合同和认证认可的特殊要求;
(5)确保审核组独立于受审核的活动并避免利益冲突的要求(审核组每一成员在最近两年内都应未参与过受审核方相关管理体系的认证咨询和影响公正性的其他相关活动);
(6)审核组成员与受审核方的有效协作能力以及审核组成员之间共同工作的能力要求;
(7)受审核方工作语言及社会和文化特点对审核员技能或素质的要求;
(8)审核一个以电子化(“e-based”)过程和文件为主的管理体系时审核员需要的能力。
(9)审核组组长应符合以下要求,并应通过在指导和监督下进行的审核得到证实:
a)具备管理认证审核过程的知识和素质;
b)已经至少作为审核员实施过3次完整ISMS审核;
c)具备有效的口头和书面沟通能力。
d)当为特定认证审核选择指派审核组时,应确保审核组实施各项工作的技能是适宜的。
审核组应:
a)针对拟认证的ISMS范围内的特定活动,具备适当的技术知识,以及(适宜时) 与这些活动相关的规程和其潜在的信息安全风险方面的技术知识(非审核员的技术专家可以履行此项职责);
b)充分理解客户组织,以便对(管理客户组织活动、产品和服务的信息安全的) ISMS进行可靠的认证审核;
c)适当地理解适用于客户.组织的ISMS的法规要求。
)需要时,审核组的能力可以通过技术专家予以补充,这些技术专家应能够证实具备与受审核方活动相应的技术领域的特定能力。技术专家不能作为ISMS审核员,但可就受审核方管理体系中技术充分性事宜为审核员提供建议。
在审核计划制定之后,审核委托方和受审核方可依据合理的理由申请更换审核组的具体成员。合理的理由包括利益冲突(例如:审核组成员是受审核方的前雇员或曾经向受审核方提供过咨询服务)和以前缺乏职业道德的行为等。这些理由应当与审核组长和负责管理审核方案的人员沟通,在决定更换审核组成员之前,他们应当与审核委托方和受审核方一起解决有关问题。