第二阶段审核计划

3.5.5 第二阶段审核计划

第二阶段审核计划制定需考虑：

(1)影响进入第二阶段审核的问题（主要为信息安全法规风险、文件、策划、内审、 管评的问题）均已得到整改后方可进入第二阶段。

(2)审核组长必须根据第一阶段的审核发现制定第二阶段的审核计划。

(3)如在第一阶段现场审核时发现受审核方规模、人数严重超出申请材料中填报的规模、人数时，制定第二阶段审核计划前应与项目管理人员沟通。

(4)审核计划应覆盖受审核组织的全部部门和要素（除了那些在第一阶段审核中已经进行了充分而成功的审核的要素）。

(5)各部门应涉及的要素有：

a)主控要素；

b)与部门有关的；

c)合理安排共性要素的审核，如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7条款等。如共性要素在相关部门计划中没有具体写出，审核组长应在审核前的沟通会议上给予适当的安排。

(6)对于多场所的审核计划：

a)应对每一现场进行审核，或根据第一阶段现场审核的结果和多场所抽样原则确定抽样方案；

b)多现场抽样原则：具有相似性的现场可以抽样；不具相似性的现场不能抽样，必须进行审核。

c)抽样量（每次审核至少必须覆盖的场所数量）：

低信息安全风险行业的样本量y≥石（_为分场所数量的平方根，下同），上人成整数；高信息安全风险行业的样本量y≥1.4 vG，上入成整数；

d)对于在第一阶段审核中已经进行了充分而成功审核的分场（不包括一类信息安全风险的组织），在第二阶段审核时可不安排。