3.5.3 預審核計劃（如適用）

預審核計劃制定時需考慮：

(1)預審核是一種非強制要求，是在正式審核之前的非正式綜合審核；

(2)涉及的要素應包括IS()/IEC 27001：2005中的所有要素，并且應覆蓋受審核組織的全部部門。

3.5.4 第一階段審核計劃

第一階段審核計劃制定需考慮：

(1)第一階段現場審核計劃的制定與第一階段審核目的和第一階段審核至少應獲取的信息相適宜。

(2)涉及的要素（并不涉及要素的所有要求），如ISO/IEC 27001: 2005中的4.1， 4.2. 1～4.2.3，4.3.1，5.1，5.2，6，7；涉及的重點部門包括管理者代表、體系策劃的歸口部門、信息安全重點部門及保護部門，這些部門時間應充分。

(3)應安排集中現場察看的時間，大企業還可安排集中座談的時間，以利于審核組高效、全面地了解企業與信息安全管理有關的基本情況。

(4)第一階段現場審核的首、末次會議形式，可以不同于第二階段現場審核的首次會議。首次會議可以見面會的形式將第一階段審核的目的、范圍、日程安排等事項與主要領導和策劃歸口部門交換意見；末次會議可與受審核方高層交流會一并進行。

(5)最高管理者可安排一次審核。如第一階段不安排對最高管理者的審核，可通過與管理者代表交談、查閱有關資料了解相關情況。

(6)第一階段多現場的審核計劃

a)第一階段對于多現場的審核重點應放在總部，以全面了解情況，確保同一信息安全管理體系應用于所有現場，并為第二階段審核確定抽樣方案，總部時間應充分；

b)第一階段對于分現場審核的樣本數應充分考慮信息安全風險及組織的復雜程度， 項目管理人員先按一般規定的人日數口頭通知審核組長，審核組長通過文審以及對受審核方活動、業務過程、信息流程、信息安全風險和信息安全脆弱點控制的熟悉程度確定分現場審核的樣本數，并與項目管理人員溝通（一般風險時，可考慮采取樣本）。

分現場的選擇應首先選擇信息安全風險大的分現場；較低信息安全風險的組織，可只考慮總部所在地的分現場。