信息安全管理体系审核之审核方案audit programme

5.审核方案audit programme

针对特定时间段所策划，并具有特定目的的一组（一次或多次）审核，审核方案包括策划、组织和实施审核所必要的所有活动。

根据受审核组织的规模、性质和复杂程度，一个审核方案可以包括一次或多次审核。 这些审核可以有不同的目的，也可包括联合审核或结合审核。

审核方案还包括对审核的类型和数目进行策划和组织，以及在规定的时间框架内为有效和高效地实施审核提供资源的所有必要的活动。

一个组织可以制定一个或多个审核方案。组织的最高管理者应当对审核方案的管理进行授权。

审核方案示例如下：

(1)覆盖组织信息安全管理体系的当年一系列的内部审核；

(2)在六个月内对存在信息安全高风险的潜在供方的信息安全管理体系进行的第二方审核；

(3)在认证机构和委托方之间合同规定的时间周期内，由第三方认证／注册机构对组织的信息安全管理体系进行的认证／注册和监督审核。