监督审核计划

3.5.6监督审核计划

监督审核计划需注意：

(1)审核应覆盖所有的要素，但并不要求覆盖所有要素的主控部门和过程。可在相关部门获取证据，如IS()/IEC 27001: 2005中的4.1、5、6、7等；

(2)监督审核每次不必覆盖所有的部门、区域、活动，但必须在证书有效期内覆盖所有的部门、活动、区域；

(3)每次监督审核必检查的部门／岗位：管理者代表、信息安全管理体系策划部门（包括证书和标志的使用管理部门）、信息安全管理部门（如有）、计算机房、网络设施操作岗位、物理及环境安全管理归口部门，必要时信息安全涉及的使用部门和分包方场所；

(4)再认证可以取代／扩展一次定期监督审核；

(5)多场所抽样：

a)考虑的风险、抽样方法同第二阶段；

b)抽样量：

低信息安全风险行业的样本量y≥0.6v，上入成整数；

高信息安全风险行业的样本量y≥o.9 v，上人成整数； 总部在每次审核时都应被检查。