3.5.5 第二階段審核計(jì)劃

第二階段審核計(jì)劃制定需考慮：

(1)影響進(jìn)入第二階段審核的問題（主要為信息安全法規(guī)風(fēng)險(xiǎn)、文件、策劃、內(nèi)審、 管評的問題）均已得到整改后方可進(jìn)入第二階段。

(2)審核組長必須根據(jù)第一階段的審核發(fā)現(xiàn)制定第二階段的審核計(jì)劃。

(3)如在第一階段現(xiàn)場審核時(shí)發(fā)現(xiàn)受審核方規(guī)模、人數(shù)嚴(yán)重超出申請材料中填報(bào)的規(guī)模、人數(shù)時(shí)，制定第二階段審核計(jì)劃前應(yīng)與項(xiàng)目管理人員溝通。

(4)審核計(jì)劃應(yīng)覆蓋受審核組織的全部部門和要素（除了那些在第一階段審核中已經(jīng)進(jìn)行了充分而成功的審核的要素）。

(5)各部門應(yīng)涉及的要素有：

a)主控要素；

b)與部門有關(guān)的；

c)合理安排共性要素的審核，如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7條款等。如共性要素在相關(guān)部門計(jì)劃中沒有具體寫出，審核組長應(yīng)在審核前的溝通會(huì)議上給予適當(dāng)?shù)陌才拧?/p>

(6)對于多場所的審核計(jì)劃：

a)應(yīng)對每一現(xiàn)場進(jìn)行審核，或根據(jù)第一階段現(xiàn)場審核的結(jié)果和多場所抽樣原則確定抽樣方案；

b)多現(xiàn)場抽樣原則：具有相似性的現(xiàn)場可以抽樣；不具相似性的現(xiàn)場不能抽樣，必須進(jìn)行審核。

c)抽樣量（每次審核至少必須覆蓋的場所數(shù)量）：

低信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y≥石（_為分場所數(shù)量的平方根，下同），上人成整數(shù)；高信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y≥1.4 vG，上入成整數(shù)；

d)對于在第一階段審核中已經(jīng)進(jìn)行了充分而成功審核的分場（不包括一類信息安全風(fēng)險(xiǎn)的組織），在第二階段審核時(shí)可不安排。