3.5.7再認證審核計劃

再認證審核計劃除符合ISO/IEC 27001: 2005 4.1和4.5的要求外，還需考慮：

(1)再認證計劃應建立在對受審核方三年信息安全管理體系運行評價的基礎上制定， 通常，再認證的計劃應在證書到期前3個月下達并付諸實施，以便留足受審核方糾正措施實施的時間，以確保證書的延續性；

(2)再認證計劃原則上應反映出對獲證企業進行的一次全面的審核，包括認證準則要求的所有條款；所有與信息安全相關的活動與過程；所有體系覆蓋的場所和部門；

(3)多現場抽樣考慮的風險、抽樣方法同第二階段；

低信息安全風險行業的樣本量y：樣本量與初次審核相同；對于其信息安全管理體系在三年中運行良好的，可適當減吵樣本量y，即y≥0.8石，上入成整數。

高信息安全風險行業的樣本量y：再認證樣本量等于初審樣本量；受審核方管理體系運行良好的，提出證據可適當減少再認證樣本量，即了≥1.1 vq，上入成整數。

總部在每次審核時都應被檢查。