1.1 相關(guān)概念

本節(jié)中的定義主要參考GB/T 19011-2003/IS0 19011: 2002的“術(shù)語(yǔ)和定義”（有刪減），在ISO/IEC 27007 Guidelines for Information Security Management Systems audi- ting (draft)（信息安全管理體系審核指南（草案））中基本也沿用了IS0 19011的定義。

1.審核audit

為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。

按審核活動(dòng)的委托方可以將審核分為內(nèi)部審核和外部審核。

內(nèi)部審核是組織內(nèi)部人員（或代表該組織的人員）有計(jì)劃地、按照既定的時(shí)間間隔定期地（一般每年至少1次），對(duì)其管理體系符合性的自我評(píng)估和檢查。ISMS內(nèi)部審核的內(nèi)容包括確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否：

(1)符合ISO/IEC 27001: 2005標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；

(2)符合已確定的信息安全要求；

(3)得到有效的實(shí)施和保持；

(4)按預(yù)期執(zhí)行。

內(nèi)部審核不是為了應(yīng)付外部訪問(wèn)者，也不是在有可疑問(wèn)題時(shí)，才實(shí)施內(nèi)部審核。ISMS 內(nèi)部審核對(duì)信息安全的維護(hù)和改進(jìn)起著核心的作用。內(nèi)部審核的結(jié)果是最高管理者對(duì)該組織的管理體系的適宜性和有效性做出判斷決定的一個(gè)關(guān)鍵輸入。管理者應(yīng)能從內(nèi)部審核的結(jié)果（或內(nèi)部審核報(bào)告文件）獲得管理體系的一個(gè)公平的、準(zhǔn)確的和全面的景象。

內(nèi)部審核有時(shí)也稱第一方審核，或內(nèi)審。執(zhí)行內(nèi)部審核的人員稱為內(nèi)部審核員（或內(nèi)審員）。內(nèi)部ISMS審核要嚴(yán)格按照ISO/IEC 27001：2005標(biāo)準(zhǔn)“6 ISMS內(nèi)部審核”的規(guī)定執(zhí)行，其中包括“審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。”

由組織的外部機(jī)構(gòu)進(jìn)行的審核稱為外部審核。組織的外部機(jī)構(gòu)又包括兩類：一是與受審核組織有關(guān)系的機(jī)構(gòu)（如顧客方，常稱為第二方）；二是與受審核組織無(wú)關(guān)系的機(jī)構(gòu)（如獨(dú)立審核認(rèn)證機(jī)構(gòu)，或注冊(cè)機(jī)構(gòu)，常稱為第三方）。與此相對(duì)應(yīng)，外部審核又包括兩類：“第二方審核”和“第三方審核”。第三方審核屬于“認(rèn)證審核”。