3.5.3 預(yù)審核計(jì)劃（如適用）

預(yù)審核計(jì)劃制定時(shí)需考慮：

(1)預(yù)審核是一種非強(qiáng)制要求，是在正式審核之前的非正式綜合審核；

(2)涉及的要素應(yīng)包括IS()/IEC 27001：2005中的所有要素，并且應(yīng)覆蓋受審核組織的全部部門(mén)。

3.5.4 第一階段審核計(jì)劃

第一階段審核計(jì)劃制定需考慮：

(1)第一階段現(xiàn)場(chǎng)審核計(jì)劃的制定與第一階段審核目的和第一階段審核至少應(yīng)獲取的信息相適宜。

(2)涉及的要素（并不涉及要素的所有要求），如ISO/IEC 27001: 2005中的4.1， 4.2. 1～4.2.3，4.3.1，5.1，5.2，6，7；涉及的重點(diǎn)部門(mén)包括管理者代表、體系策劃的歸口部門(mén)、信息安全重點(diǎn)部門(mén)及保護(hù)部門(mén)，這些部門(mén)時(shí)間應(yīng)充分。

(3)應(yīng)安排集中現(xiàn)場(chǎng)察看的時(shí)間，大企業(yè)還可安排集中座談的時(shí)間，以利于審核組高效、全面地了解企業(yè)與信息安全管理有關(guān)的基本情況。

(4)第一階段現(xiàn)場(chǎng)審核的首、末次會(huì)議形式，可以不同于第二階段現(xiàn)場(chǎng)審核的首次會(huì)議。首次會(huì)議可以見(jiàn)面會(huì)的形式將第一階段審核的目的、范圍、日程安排等事項(xiàng)與主要領(lǐng)導(dǎo)和策劃歸口部門(mén)交換意見(jiàn)；末次會(huì)議可與受審核方高層交流會(huì)一并進(jìn)行。

(5)最高管理者可安排一次審核。如第一階段不安排對(duì)最高管理者的審核，可通過(guò)與管理者代表交談、查閱有關(guān)資料了解相關(guān)情況。

(6)第一階段多現(xiàn)場(chǎng)的審核計(jì)劃

a)第一階段對(duì)于多現(xiàn)場(chǎng)的審核重點(diǎn)應(yīng)放在總部，以全面了解情況，確保同一信息安全管理體系應(yīng)用于所有現(xiàn)場(chǎng)，并為第二階段審核確定抽樣方案，總部時(shí)間應(yīng)充分；

b)第一階段對(duì)于分現(xiàn)場(chǎng)審核的樣本數(shù)應(yīng)充分考慮信息安全風(fēng)險(xiǎn)及組織的復(fù)雜程度， 項(xiàng)目管理人員先按一般規(guī)定的人日數(shù)口頭通知審核組長(zhǎng)，審核組長(zhǎng)通過(guò)文審以及對(duì)受審核方活動(dòng)、業(yè)務(wù)過(guò)程、信息流程、信息安全風(fēng)險(xiǎn)和信息安全脆弱點(diǎn)控制的熟悉程度確定分現(xiàn)場(chǎng)審核的樣本數(shù)，并與項(xiàng)目管理人員溝通（一般風(fēng)險(xiǎn)時(shí)，可考慮采取樣本）。

分現(xiàn)場(chǎng)的選擇應(yīng)首先選擇信息安全風(fēng)險(xiǎn)大的分現(xiàn)場(chǎng)；較低信息安全風(fēng)險(xiǎn)的組織，可只考慮總部所在地的分現(xiàn)場(chǎng)。