3.5.3 预审核计划(如适用)
预审核计划制定时需考虑:
(1)预审核是一种非强制要求,是在正式审核之前的非正式综合审核;
(2)涉及的要素应包括IS()/IEC 27001:2005中的所有要素,并且应覆盖受审核组织的全部部门。
3.5.4 第一阶段审核计划
第一阶段审核计划制定需考虑:
(1)第一阶段现场审核计划的制定与第一阶段审核目的和第一阶段审核至少应获取的信息相适宜。
(2)涉及的要素(并不涉及要素的所有要求),如ISO/IEC 27001: 2005中的4.1, 4.2. 1~4.2.3,4.3.1,5.1,5.2,6,7;涉及的重点部门包括管理者代表、体系策划的归口部门、信息安全重点部门及保护部门,这些部门时间应充分。
(3)应安排集中现场察看的时间,大企业还可安排集中座谈的时间,以利于审核组高效、全面地了解企业与信息安全管理有关的基本情况。
(4)第一阶段现场审核的首、末次会议形式,可以不同于第二阶段现场审核的首次会议。首次会议可以见面会的形式将第一阶段审核的目的、范围、日程安排等事项与主要领导和策划归口部门交换意见;末次会议可与受审核方高层交流会一并进行。
(5)最高管理者可安排一次审核。如第一阶段不安排对最高管理者的审核,可通过与管理者代表交谈、查阅有关资料了解相关情况。
(6)第一阶段多现场的审核计划
a)第一阶段对于多现场的审核重点应放在总部,以全面了解情况,确保同一信息安全管理体系应用于所有现场,并为第二阶段审核确定抽样方案,总部时间应充分;
b)第一阶段对于分现场审核的样本数应充分考虑信息安全风险及组织的复杂程度, 项目管理人员先按一般规定的人日数口头通知审核组长,审核组长通过文审以及对受审核方活动、业务过程、信息流程、信息安全风险和信息安全脆弱点控制的熟悉程度确定分现场审核的样本数,并与项目管理人员沟通(一般风险时,可考虑采取样本)。
分现场的选择应首先选择信息安全风险大的分现场;较低信息安全风险的组织,可只考虑总部所在地的分现场。