1.审核方案管理人员的作用和职责
审核方案管理人员应:
——确定审核方案的范围和程度;
——识别和评估审核方案的风险;
——明确审核的责任;
——建立审核方案的程序;
——确定所需的资源;
——确保审核方案的实施,包括明确每次审核的目标、范围和准则,确定审核方法,选择审核组和评价审核员;
——确保管理和保持适当的审核方案记录;
——监视、评审和改进审核方案。
2.审核方案的职责
承担信息安全管理体系审核方案职责的人员还需具有必要的信息安全相关知识,特别是信息安全风险管理相关知识。
负责管理信息安全管理体系审核方案的人员还需考虑:
a)受审核方信息安全管理体系的特点;
b)受审核方的业务持续性要求
3.审核方案管理人员的能力
审核方案管理人员应具备有效地管理审核方案及其相关风险的必要的能力,并需要具备这方面的知识和技能。
4.确定审核方案的范围和详略程度
审核方案管理人员应确定审核方案的范围和详略程度,这取决于受审核方的规模和性质、受审核的管理体系的性质、功能、复杂程度和成熟度水平以及其他重要事项。
5.识别和评估审核方案风险
在建立、实施、监视、评审和改进审核方案过程中存在多种风险,这些风险可能影响审核方案目标的实现。审核方案管理人员在制定审核方案时应考虑这些风险。这些风险可能与下列事项相关:
——策划
——资源
——审核组的选择
——实施
——记录及其控制
——监视、评审和改进审核方案
6.建立审核方案的程序
审核方案管理人员应建立一个或多个程序,用于规定下列事项(适用时):
——在考虑审核方案风险的基础上,策划和安排审核日程;
——确保信息安全和保密性;
——保证审核员和审核组长的能力;
——选择适当的审核组并分配任务和职责;
——实施审核,包括采用适当的抽样方法。
7.识别审核方案资源
识别审核方案资源时,审核方案管理人员应考虑;
——开发、实施、管理和改进审核活动所必需的财务资源;
——审核方法;
——能够胜任特定审核方案目标的审核员和技术老师;
——审核方案范围和程度以及风险;
——旅途时间和费用、食宿和其他审核需要;
——信息和沟通技术的可获得性。
8.审核方案的资源
识别信息安全管理体系审核方案的资源还需考虑:
a)具有所需的信息安全相关知识的审核员;
b)具有所需领域背景知识的审核组成员;
c)必要的信息安全审核工具。
如果您有企业认证方面的问题,欢迎咨询我们150--3403--9810。