再认证审核计划

3.5.7再认证审核计划

再认证审核计划除符合ISO/IEC 27001: 2005 4.1和4.5的要求外，还需考虑：

(1)再认证计划应建立在对受审核方三年信息安全管理体系运行评价的基础上制定， 通常，再认证的计划应在证书到期前3个月下达并付诸实施，以便留足受审核方纠正措施实施的时间，以确保证书的延续性；

(2)再认证计划原则上应反映出对获证企业进行的一次全面的审核，包括认证准则要求的所有条款；所有与信息安全相关的活动与过程；所有体系覆盖的场所和部门；

(3)多现场抽样考虑的风险、抽样方法同第二阶段；

低信息安全风险行业的样本量y：样本量与初次审核相同；对于其信息安全管理体系在三年中运行良好的，可适当减吵样本量y，即y≥0.8石，上入成整数。

高信息安全风险行业的样本量y：再认证样本量等于初审样本量；受审核方管理体系运行良好的，提出证据可适当减少再认证样本量，即了≥1.1 vq，上入成整数。

总部在每次审核时都应被检查。