ISO27001认证_信息安全体系审核方案管理总则

需要实施审核的组织应建立审核方案，以便确定受审核方管理体系的有效性。审核方案可以包括针对一个或多个管理体系标准的审核，可单独实施，也可结合实施。

最高管理者应确保建立审核方案的目标，并指定一个或多个胜任的人员负责管理审核方案。审核方案的范围与程度应基于受审核组织的规模和性质，以及受审核管理体系的性质、功能、复杂程度以及成熟度水平。应优先配置审核方案所确定的资源，以审核管理体系的重大事项。这些重大事项可能包括产品质量的关键特性、健康和安全的相关危险源或重要环境因素及其控制措施。

注：这个概念通常称之为基于风险的审核。本标准没有给出基于风险审核的进一步指南。

审核方案应包括在规定的期限内有效和高效地组织和实施审核所需的信息和资源，并可以包括以下内容：

——审核方案和每次审核的目标;

——审核的范围与程度、数量、类型、持续时间、地点、日程安排;

——审核方案的程序;

——审核准则;

——审核方法;

——审核组的选择;

——所需的资源，包括交通和食宿;

——处理保密性、信息安全、健康和安全，以及其他类似事宜的过程。

应监视和测量审核方案的实施以确保达到其目标。应评审审核方案以识别可能的改进。

• 上一篇：ISO27001认证_信息安全脆弱分类（示例）
• 下一篇：如何监视ISO27000信息安全体系审核方案？

1. ISO27001认证_信息安全体系审核方案管理总则