5.審核方案audit programme

針對特定時間段所策劃，并具有特定目的的一組（一次或多次）審核，審核方案包括策劃、組織和實施審核所必要的所有活動。

根據受審核組織的規模、性質和復雜程度，一個審核方案可以包括一次或多次審核。 這些審核可以有不同的目的，也可包括聯合審核或結合審核。

審核方案還包括對審核的類型和數目進行策劃和組織，以及在規定的時間框架內為有效和高效地實施審核提供資源的所有必要的活動。

一個組織可以制定一個或多個審核方案。組織的最高管理者應當對審核方案的管理進行授權。

審核方案示例如下：

(1)覆蓋組織信息安全管理體系的當年一系列的內部審核；

(2)在六個月內對存在信息安全高風險的潛在供方的信息安全管理體系進行的第二方審核；

(3)在認證機構和委托方之間合同規定的時間周期內，由第三方認證／注冊機構對組織的信息安全管理體系進行的認證／注冊和監督審核。