3.選擇審核組

當已明確審核可行時，應當選擇審核組，同時考慮實現審核目的所需的能力。當只有一名審核員時，審核員應當承擔審核組長全部適用的職責。

當決定審核組的規模和組成時，應當考慮下列因素：

(1)審核目的、范圍、準則和申請評審時確定的審核時間（但實習審核員和技術專家的審核活動不計入審核人天數）以及審核方案要求；

(2)結合審核或聯合審核所需的要求；

(3)為達到審核目的，審核組所需的整體能力；

(4)適用時，法律法規、合同和認證認可的特殊要求；

(5)確保審核組獨立于受審核的活動并避免利益沖突的要求（審核組每一成員在最近兩年內都應未參與過受審核方相關管理體系的認證咨詢和影響公正性的其他相關活動）；

(6)審核組成員與受審核方的有效協作能力以及審核組成員之間共同工作的能力要求；

(7)受審核方工作語言及社會和文化特點對審核員技能或素質的要求；

(8)審核一個以電子化(“e-based”)過程和文件為主的管理體系時審核員需要的能力。

(9)審核組組長應符合以下要求，并應通過在指導和監督下進行的審核得到證實：

a)具備管理認證審核過程的知識和素質；

b)已經至少作為審核員實施過3次完整ISMS審核；

c)具備有效的口頭和書面溝通能力。

d)當為特定認證審核選擇指派審核組時，應確保審核組實施各項工作的技能是適宜的。

審核組應：

a)針對擬認證的ISMS范圍內的特定活動，具備適當的技術知識，以及（適宜時） 與這些活動相關的規程和其潛在的信息安全風險方面的技術知識（非審核員的技術專家可以履行此項職責）；

b)充分理解客戶組織，以便對（管理客戶組織活動、產品和服務的信息安全的） ISMS進行可靠的認證審核；

c)適當地理解適用于客戶.組織的ISMS的法規要求。

)需要時，審核組的能力可以通過技術專家予以補充，這些技術專家應能夠證實具備與受審核方活動相應的技術領域的特定能力。技術專家不能作為ISMS審核員，但可就受審核方管理體系中技術充分性事宜為審核員提供建議。

在審核計劃制定之后，審核委托方和受審核方可依據合理的理由申請更換審核組的具體成員。合理的理由包括利益沖突（例如：審核組成員是受審核方的前雇員或曾經向受審核方提供過咨詢服務）和以前缺乏職業道德的行為等。這些理由應當與審核組長和負責管理審核方案的人員溝通，在決定更換審核組成員之前，他們應當與審核委托方和受審核方一起解決有關問題。