3.5.6監督審核計劃

監督審核計劃需注意：

(1)審核應覆蓋所有的要素，但并不要求覆蓋所有要素的主控部門和過程。可在相關部門獲取證據，如IS()/IEC 27001: 2005中的4.1、5、6、7等；

(2)監督審核每次不必覆蓋所有的部門、區域、活動，但必須在證書有效期內覆蓋所有的部門、活動、區域；

(3)每次監督審核必檢查的部門／崗位：管理者代表、信息安全管理體系策劃部門（包括證書和標志的使用管理部門）、信息安全管理部門（如有）、計算機房、網絡設施操作崗位、物理及環境安全管理歸口部門，必要時信息安全涉及的使用部門和分包方場所；

(4)再認證可以取代／擴展一次定期監督審核；

(5)多場所抽樣：

a)考慮的風險、抽樣方法同第二階段；

b)抽樣量：

低信息安全風險行業的樣本量y≥0.6v，上入成整數；

高信息安全風險行業的樣本量y≥o.9 v，上人成整數； 總部在每次審核時都應被檢查。