信息安全管理体系审核之审核原则

1.2 审核原则

注：本节以下内容为GB/T 19011-2003/1S() 19011: 2002原文。

审核的特征在于其遵循若干原则。这些原则使审核成为支持管理方针和控制的有效与可靠的工具，并为组织提供可以改进其业绩的信息。遵循这些原则是得出相应和充分的审核结论的前提，也是审核员独立工作时，在相似的情况下得出相似结论的前提。

以下原则与审核员有关：

1)道德行为：职业的基础

对审核而言，诚信、正直、保守秘密和谨慎是最基本的。

2)公正表达：真实、准确地报告的义务

审核发现、审核结论和审核报告真实和准确地反映审核活动。报告在审核过程中遇到的重大障碍以及在审核组和受审核方之间没有解决的分歧意见。

3)职业素养：在审核中勤奋并具有判断力

审核员珍视他们所执行的任务的重要性以及审核委托方和其他相关方对他们的信任。 具有必要的能力是一个重要的因素。

以下原则与审核有关，并通过独立性和系统性来明确：

4)独立性：审核的公正性和审核结论的客观性的基础

审核员独立于受审核的活动，并且不带偏见，没有利益上的冲突。审核员在审核过程中保持客观的心态，以保证审核发现和结论仅建立在审核证据的基础上。

5)基于证据的方法：在一个系统的审核过程中，得出可信的和可重现的审核结论的合理方法

审核证据是能够证实的。由于审核是在有限的时间内并在有限的资源条件下进行的， 因此审核证据是建立在可获得信息的样本的基础上。抽样的合理性与审核结论的可信性密切相关。