3.5.6監(jiān)督審核計(jì)劃

監(jiān)督審核計(jì)劃需注意：

(1)審核應(yīng)覆蓋所有的要素，但并不要求覆蓋所有要素的主控部門和過(guò)程。可在相關(guān)部門獲取證據(jù)，如IS()/IEC 27001: 2005中的4.1、5、6、7等；

(2)監(jiān)督審核每次不必覆蓋所有的部門、區(qū)域、活動(dòng)，但必須在證書(shū)有效期內(nèi)覆蓋所有的部門、活動(dòng)、區(qū)域；

(3)每次監(jiān)督審核必檢查的部門／崗位：管理者代表、信息安全管理體系策劃部門（包括證書(shū)和標(biāo)志的使用管理部門）、信息安全管理部門（如有）、計(jì)算機(jī)房、網(wǎng)絡(luò)設(shè)施操作崗位、物理及環(huán)境安全管理歸口部門，必要時(shí)信息安全涉及的使用部門和分包方場(chǎng)所；

(4)再認(rèn)證可以取代／擴(kuò)展一次定期監(jiān)督審核；

(5)多場(chǎng)所抽樣：

a)考慮的風(fēng)險(xiǎn)、抽樣方法同第二階段；

b)抽樣量：

低信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y≥0.6v，上入成整數(shù)；

高信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y≥o.9 v，上人成整數(shù)； 總部在每次審核時(shí)都應(yīng)被檢查。