5.審核方案audit programme

針對特定時(shí)間段所策劃，并具有特定目的的一組（一次或多次）審核，審核方案包括策劃、組織和實(shí)施審核所必要的所有活動(dòng)。

根據(jù)受審核組織的規(guī)模、性質(zhì)和復(fù)雜程度，一個(gè)審核方案可以包括一次或多次審核。 這些審核可以有不同的目的，也可包括聯(lián)合審核或結(jié)合審核。

審核方案還包括對審核的類型和數(shù)目進(jìn)行策劃和組織，以及在規(guī)定的時(shí)間框架內(nèi)為有效和高效地實(shí)施審核提供資源的所有必要的活動(dòng)。

一個(gè)組織可以制定一個(gè)或多個(gè)審核方案。組織的最高管理者應(yīng)當(dāng)對審核方案的管理進(jìn)行授權(quán)。

審核方案示例如下：

(1)覆蓋組織信息安全管理體系的當(dāng)年一系列的內(nèi)部審核；

(2)在六個(gè)月內(nèi)對存在信息安全高風(fēng)險(xiǎn)的潛在供方的信息安全管理體系進(jìn)行的第二方審核；

(3)在認(rèn)證機(jī)構(gòu)和委托方之間合同規(guī)定的時(shí)間周期內(nèi)，由第三方認(rèn)證／注冊機(jī)構(gòu)對組織的信息安全管理體系進(jìn)行的認(rèn)證／注冊和監(jiān)督審核。