3.5.7再認(rèn)證審核計(jì)劃

再認(rèn)證審核計(jì)劃除符合ISO/IEC 27001: 2005 4.1和4.5的要求外，還需考慮：

(1)再認(rèn)證計(jì)劃應(yīng)建立在對受審核方三年信息安全管理體系運(yùn)行評(píng)價(jià)的基礎(chǔ)上制定， 通常，再認(rèn)證的計(jì)劃應(yīng)在證書到期前3個(gè)月下達(dá)并付諸實(shí)施，以便留足受審核方糾正措施實(shí)施的時(shí)間，以確保證書的延續(xù)性；

(2)再認(rèn)證計(jì)劃原則上應(yīng)反映出對獲證企業(yè)進(jìn)行的一次全面的審核，包括認(rèn)證準(zhǔn)則要求的所有條款；所有與信息安全相關(guān)的活動(dòng)與過程；所有體系覆蓋的場所和部門；

(3)多現(xiàn)場抽樣考慮的風(fēng)險(xiǎn)、抽樣方法同第二階段；

低信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y：樣本量與初次審核相同；對于其信息安全管理體系在三年中運(yùn)行良好的，可適當(dāng)減吵樣本量y，即y≥0.8石，上入成整數(shù)。

高信息安全風(fēng)險(xiǎn)行業(yè)的樣本量y：再認(rèn)證樣本量等于初審樣本量；受審核方管理體系運(yùn)行良好的，提出證據(jù)可適當(dāng)減少再認(rèn)證樣本量，即了≥1.1 vq，上入成整數(shù)。

總部在每次審核時(shí)都應(yīng)被檢查。