3.選擇審核組

當(dāng)已明確審核可行時(shí)，應(yīng)當(dāng)選擇審核組，同時(shí)考慮實(shí)現(xiàn)審核目的所需的能力。當(dāng)只有一名審核員時(shí)，審核員應(yīng)當(dāng)承擔(dān)審核組長(zhǎng)全部適用的職責(zé)。

當(dāng)決定審核組的規(guī)模和組成時(shí)，應(yīng)當(dāng)考慮下列因素：

(1)審核目的、范圍、準(zhǔn)則和申請(qǐng)?jiān)u審時(shí)確定的審核時(shí)間（但實(shí)習(xí)審核員和技術(shù)專家的審核活動(dòng)不計(jì)入審核人天數(shù)）以及審核方案要求；

(2)結(jié)合審核或聯(lián)合審核所需的要求；

(3)為達(dá)到審核目的，審核組所需的整體能力；

(4)適用時(shí)，法律法規(guī)、合同和認(rèn)證認(rèn)可的特殊要求；

(5)確保審核組獨(dú)立于受審核的活動(dòng)并避免利益沖突的要求（審核組每一成員在最近兩年內(nèi)都應(yīng)未參與過(guò)受審核方相關(guān)管理體系的認(rèn)證咨詢和影響公正性的其他相關(guān)活動(dòng)）；

(6)審核組成員與受審核方的有效協(xié)作能力以及審核組成員之間共同工作的能力要求；

(7)受審核方工作語(yǔ)言及社會(huì)和文化特點(diǎn)對(duì)審核員技能或素質(zhì)的要求；

(8)審核一個(gè)以電子化(“e-based”)過(guò)程和文件為主的管理體系時(shí)審核員需要的能力。

(9)審核組組長(zhǎng)應(yīng)符合以下要求，并應(yīng)通過(guò)在指導(dǎo)和監(jiān)督下進(jìn)行的審核得到證實(shí)：

a)具備管理認(rèn)證審核過(guò)程的知識(shí)和素質(zhì)；

b)已經(jīng)至少作為審核員實(shí)施過(guò)3次完整ISMS審核；

c)具備有效的口頭和書(shū)面溝通能力。

d)當(dāng)為特定認(rèn)證審核選擇指派審核組時(shí)，應(yīng)確保審核組實(shí)施各項(xiàng)工作的技能是適宜的。

審核組應(yīng)：

a)針對(duì)擬認(rèn)證的ISMS范圍內(nèi)的特定活動(dòng)，具備適當(dāng)?shù)募夹g(shù)知識(shí)，以及（適宜時(shí)） 與這些活動(dòng)相關(guān)的規(guī)程和其潛在的信息安全風(fēng)險(xiǎn)方面的技術(shù)知識(shí)（非審核員的技術(shù)專家可以履行此項(xiàng)職責(zé)）；

b)充分理解客戶組織，以便對(duì)（管理客戶組織活動(dòng)、產(chǎn)品和服務(wù)的信息安全的） ISMS進(jìn)行可靠的認(rèn)證審核；

c)適當(dāng)?shù)乩斫膺m用于客戶.組織的ISMS的法規(guī)要求。

)需要時(shí)，審核組的能力可以通過(guò)技術(shù)專家予以補(bǔ)充，這些技術(shù)專家應(yīng)能夠證實(shí)具備與受審核方活動(dòng)相應(yīng)的技術(shù)領(lǐng)域的特定能力。技術(shù)專家不能作為ISMS審核員，但可就受審核方管理體系中技術(shù)充分性事宜為審核員提供建議。

在審核計(jì)劃制定之后，審核委托方和受審核方可依據(jù)合理的理由申請(qǐng)更換審核組的具體成員。合理的理由包括利益沖突（例如：審核組成員是受審核方的前雇員或曾經(jīng)向受審核方提供過(guò)咨詢服務(wù)）和以前缺乏職業(yè)道德的行為等。這些理由應(yīng)當(dāng)與審核組長(zhǎng)和負(fù)責(zé)管理審核方案的人員溝通，在決定更換審核組成員之前，他們應(yīng)當(dāng)與審核委托方和受審核方一起解決有關(guān)問(wèn)題。