3.5.5 第二階段審核計劃

第二階段審核計劃制定需考慮：

(1)影響進入第二階段審核的問題（主要為信息安全法規(guī)風險、文件、策劃、內(nèi)審、 管評的問題）均已得到整改后方可進入第二階段。

(2)審核組長必須根據(jù)第一階段的審核發(fā)現(xiàn)制定第二階段的審核計劃。

(3)如在第一階段現(xiàn)場審核時發(fā)現(xiàn)受審核方規(guī)模、人數(shù)嚴重超出申請材料中填報的規(guī)模、人數(shù)時，制定第二階段審核計劃前應與項目管理人員溝通。

(4)審核計劃應覆蓋受審核組織的全部部門和要素（除了那些在第一階段審核中已經(jīng)進行了充分而成功的審核的要素）。

(5)各部門應涉及的要素有：

a)主控要素；

b)與部門有關的；

c)合理安排共性要素的審核，如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7條款等。如共性要素在相關部門計劃中沒有具體寫出，審核組長應在審核前的溝通會議上給予適當?shù)陌才拧?/p>

(6)對于多場所的審核計劃：

a)應對每一現(xiàn)場進行審核，或根據(jù)第一階段現(xiàn)場審核的結果和多場所抽樣原則確定抽樣方案；

b)多現(xiàn)場抽樣原則：具有相似性的現(xiàn)場可以抽樣；不具相似性的現(xiàn)場不能抽樣，必須進行審核。

c)抽樣量（每次審核至少必須覆蓋的場所數(shù)量）：

低信息安全風險行業(yè)的樣本量y≥石（_為分場所數(shù)量的平方根，下同），上人成整數(shù)；高信息安全風險行業(yè)的樣本量y≥1.4 vG，上入成整數(shù)；

d)對于在第一階段審核中已經(jīng)進行了充分而成功審核的分場（不包括一類信息安全風險的組織），在第二階段審核時可不安排。