企业新闻

第二阶段审核计划

2018-04-16 11:07:51 | 来源:中培企业IT培训网

3.5.5 第二阶段审核计划

第二阶段审核计划制定需考虑:

(1)影响进入第二阶段审核的问题(主要为信息安全法规风险、文件、策划、内审、 管评的问题)均已得到整改后方可进入第二阶段。

(2)审核组长必须根据第一阶段的审核发现制定第二阶段的审核计划。

(3)如在第一阶段现场审核时发现受审核方规模、人数严重超出申请材料中填报的规模、人数时,制定第二阶段审核计划前应与项目管理人员沟通。

(4)审核计划应覆盖受审核组织的全部部门和要素(除了那些在第一阶段审核中已经进行了充分而成功的审核的要素)。

(5)各部门应涉及的要素有:

a)主控要素;

b)与部门有关的;

c)合理安排共性要素的审核,如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7条款等。如共性要素在相关部门计划中没有具体写出,审核组长应在审核前的沟通会议上给予适当的安排。

(6)对于多场所的审核计划:

a)应对每一现场进行审核,或根据第一阶段现场审核的结果和多场所抽样原则确定抽样方案;

b)多现场抽样原则:具有相似性的现场可以抽样;不具相似性的现场不能抽样,必须进行审核。

c)抽样量(每次审核至少必须覆盖的场所数量):

低信息安全风险行业的样本量y≥石(_为分场所数量的平方根,下同),上人成整数;高信息安全风险行业的样本量y≥1.4 vG,上入成整数;

d)对于在第一阶段审核中已经进行了充分而成功审核的分场(不包括一类信息安全风险的组织),在第二阶段审核时可不安排。

标签: 第二阶段审核

猜你喜欢