3.5.5 第二階段審核計劃

第二階段審核計劃制定需考慮：

(1)影響進入第二階段審核的問題（主要為信息安全法規風險、文件、策劃、內審、 管評的問題）均已得到整改后方可進入第二階段。

(2)審核組長必須根據第一階段的審核發現制定第二階段的審核計劃。

(3)如在第一階段現場審核時發現受審核方規模、人數嚴重超出申請材料中填報的規模、人數時，制定第二階段審核計劃前應與項目管理人員溝通。

(4)審核計劃應覆蓋受審核組織的全部部門和要素（除了那些在第一階段審核中已經進行了充分而成功的審核的要素）。

(5)各部門應涉及的要素有：

a)主控要素；

b)與部門有關的；

c)合理安排共性要素的審核，如IS()/IEC 27001: 2005中的4.1、4.3、5、6、7條款等。如共性要素在相關部門計劃中沒有具體寫出，審核組長應在審核前的溝通會議上給予適當的安排。

(6)對于多場所的審核計劃：

a)應對每一現場進行審核，或根據第一階段現場審核的結果和多場所抽樣原則確定抽樣方案；

b)多現場抽樣原則：具有相似性的現場可以抽樣；不具相似性的現場不能抽樣，必須進行審核。

c)抽樣量（每次審核至少必須覆蓋的場所數量）：

低信息安全風險行業的樣本量y≥石（_為分場所數量的平方根，下同），上人成整數；高信息安全風險行業的樣本量y≥1.4 vG，上入成整數；

d)對于在第一階段審核中已經進行了充分而成功審核的分場（不包括一類信息安全風險的組織），在第二階段審核時可不安排。