9.4 實施審核

GB/T 27021.12017 中9.4的要求適用。并且，以下要求和指南適用。

9.4.1 IS9.4總則

認證機構應具備文件化的程序，以：

a)依據 GB/T 27021.1—2017 的規定， 對客戶的IS MS進行初次認證審核；

b)依據 GB/T 27021.1―2017， 對客戶的IS MS定期進行監督審核和再認證審核， 以確認其持續符合相關要求，并驗證和記錄客戶為糾正所有的不符合而及時采取了糾正措施。

9.4.2 IS 9.4ISMS審核的特定要素

認證機構，由審核組所代表，應：

a)要求客戶證實對信息安全相關風險的評估與IS MS范圍內的IS MS運行是相關的和充分的；

b)確定客戶識別、檢查和評價信息安全相關風險的規程及其實施結果是否與客戶的方針、目標和指標相一致。

認證機構還應確定用于風險評估的規程是否健全并得到正確實施。

9.4.3 IS9.4審核報告

9.4.3.1

除了GB/T 27021.1-2017 中9.4.8對審核報告的要求之外，審核報告應提供以下信息或對這些信息的引用：

a)審核的說明，其中包括文件評審摘要；

b)對客戶信息安全風險分析進行認證審核的說明；

c)與審核計劃的偏離(例如：在某一預定的活動上花費更多或更少的時間)；

d)ISMS的范圍。

9.4.3.2

審核報告應足夠詳細，以幫助和支持認證決定。審核報告應包括：

a)所采用的主要審核路線和所使用的審核方法(見9.1.3.2)；

b)形成的觀察結果，包括正面的(例如，值得注意的特征)和負面的(例如，潛在的不符合)；

c)對客戶的ISMS符合認證要求的評價意見和對不符合的清楚說明、所引用的適用性聲明的版本，以及適用時，與客戶以往認證審核結果的任何有用的對照。

完成的問卷、檢查清單、觀察結果、日志或審核員筆記可以構成完整的審核報告的一部分。如果使用這些方法，這些文件應作為支持認證決定的證據提供給認證機構。在審核過程中，有關被評價的樣本的信息應包含在審核報告或其他認證資料中。

報告應考慮客戶所采用的內部組織和規程的充分性， 以便對其ISMS建立信心。

除了 GB/T 27021.1—2017 中9.4.8對審核報告的要求之外，報告還應包括：

a)關于IS MS要求和信息安全控制的實現與有效性的、最重要的觀察(正面的和負面的) 的摘要；

b)審核組關于客戶的IS MS是否獲得認證的建議， 以及支持該建議的信息。