信息安全管理体系审核相关概念之审核audit

1.1 相关概念

本节中的定义主要参考GB/T 19011-2003/IS0 19011: 2002的“术语和定义”（有删减），在ISO/IEC 27007 Guidelines for Information Security Management Systems audi- ting (draft)（信息安全管理体系审核指南（草案））中基本也沿用了IS0 19011的定义。

1.审核audit

为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。

按审核活动的委托方可以将审核分为内部审核和外部审核。

内部审核是组织内部人员（或代表该组织的人员）有计划地、按照既定的时间间隔定期地（一般每年至少1次），对其管理体系符合性的自我评估和检查。ISMS内部审核的内容包括确定ISMS的控制目标、控制措施、过程和程序是否：

(1)符合ISO/IEC 27001: 2005标准和相关法律法规的要求；

(2)符合已确定的信息安全要求；

(3)得到有效的实施和保持；

(4)按预期执行。

内部审核不是为了应付外部访问者，也不是在有可疑问题时，才实施内部审核。ISMS 内部审核对信息安全的维护和改进起着核心的作用。内部审核的结果是最高管理者对该组织的管理体系的适宜性和有效性做出判断决定的一个关键输入。管理者应能从内部审核的结果（或内部审核报告文件）获得管理体系的一个公平的、准确的和全面的景象。

内部审核有时也称第一方审核，或内审。执行内部审核的人员称为内部审核员（或内审员）。内部ISMS审核要严格按照ISO/IEC 27001：2005标准“6 ISMS内部审核”的规定执行，其中包括“审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。”

由组织的外部机构进行的审核称为外部审核。组织的外部机构又包括两类：一是与受审核组织有关系的机构（如顾客方，常称为第二方）；二是与受审核组织无关系的机构（如独立审核认证机构，或注册机构，常称为第三方）。与此相对应，外部审核又包括两类：“第二方审核”和“第三方审核”。第三方审核属于“认证审核”。