審核時間

B.1 概述

本附錄包含了與 GB/T 27021.1―2017 中9.1有關的進一步要求。本附錄為認證機構制定有關確定審核時間的程序提供了最低要求和指南，以便其在對客戶涉及廣泛的活動且具有不同規模和復雜度的ISMS范圍實施認證時確定所需的時間。

認證機構應針對每一個客戶及其被認證的ISMS， 識別初次認證、監督審核和再認證審核所需花費的審核時間。在審核策劃階段，使用本附錄可以確保使用一致的方法來確定適當的審核時間。此外，可以根據審核過程(尤其是第一階段) 的發現(如：ISMS范圍的復雜度的不同評價結果， 或范圍中增加的場所)來調整審核時間。

本附錄闡述了：

– 用于審核時間計算的概念(見B.2)；

– 確定不同審核階段所需時間的程序的要求(見B.3~B.5)；

– 與多場所審核相關的要求(見B.6)。

附錄C給出了審核時間計算的示例，對附錄Ｂ的應用做出了說明。

該方法的基本假設是，確定審核時間的計算方案宜：

a)僅考慮那些能夠被確定和證實的屬性；

b)足夠簡便，以得到認證機構的有效應用；

c)足夠復雜，以能夠體現充分的差異。

審核時間的確定，是基于下面表B.1(“審核時間表”)所提供的數值，并應考慮調整的促成因素。

B.2 概念

B.2.1 在組織控制下工作的人員的數量

在組織控制下工作的、所有班次的人員的總數，是確定審核時間的起點。

注：術語“在組織控制下工作的人員”，在GB/T27021.1一2017中稱之為員工。

在組織控制下工作的兼職人員，按照其工作小時數與在組織控制下工作的全職雇員的工作小時數的比例，計入在組織控制下工作的人員的數量。具體比例的確定，取決于兼職人員工作小時數與一名全職雇員工作小時數的比較。

B.2.2 審核人天

表B.1中所引用的“審核時間”，是根據審核中花費的“審核人天”來闡述的。附錄Ｂ的計算基礎是一個8h的工作日。

B.2.3 臨時場所

臨時場所是認證文件所注明的場所之外的位置，其活動在認證范圍內并在規定的時間周期內實施。此類場所的范圍可從大項目管理場所到較小的服務或安裝場所。在確定對這些場所的訪問需求及其抽樣范圍時，宜基于對在臨時場所發生的不符合而導致沒能滿足信息安全目標的風險的評價。所選擇的場所樣本宜考慮活動的規模與類型和實施中的項目的不同階段，并體現組織的能力需求和服務變化的范圍。對于一般的抽樣，見9.1.5.1。

B.3 確定初次認證審核時間的程序

B.3.1 總則

審核時間的計算，應遵從文件化的程序。

B.3.2 遠程審核

如果使用了遠程審核技術(例如：基于網絡的交互式協作、網絡會議、電話會議和/或電子驗證組織的過程)與組織接觸，這些活動宜在審核計劃中加以識別(見9.2.3)，可以考慮將其作為總的“現場審核時間”的一部分。

如果認證機構制定的審核計劃中遠程審核活動占據了大于30%的現場審核時間，認證機構宜證實審核計劃的合理性，并在審核計劃實施前得到認可機構的專門批準。

注：現場審核時間是指分配給單個場所的現場審核時間。對遠程場所的電子審核被視為遠程審核，即使電子審核是在組織的物理場所進行。

B.3.3 審核時間的計算

表B.1給出了初次審核天數平均值的起點[在此處及后面的內容中，這個數值包括一次初次審核(第一階段和第二階段)的天數]。經驗表明，對于一個覆蓋了給定數量的、在組織控制下工作的人員的ISMS范圍來說， 這一數值是適當的。經驗還表明， 對于相似規模的IS MS范圍， 有些需要較多的審核時間，有些需要較少的審核時間。

表B.1提供了審核策劃應使用的框架。該表基于在組織控制下工作的、所有班次的人員的總數來確定審核時間的起點， 然后根據適用于所審核的IS MS范圍的重要因素來調整它， 通過對每一個因素賦予增、減權重來修正基數。使用表B.1時應考慮調整的促成因素和最大偏移的限制(見B.3.4和B.3.5)。B.2解釋了表B.1中所使用的術語，附錄C提供了如何計算審核時間的示例。

B.3.4 調整審核時間的因素

不能孤立地使用表B.1。所安排的時間， 還應考慮以下因素。這些因素與IS MS復雜程度相關， 并因此與IS MS審核工作量相關：

a)ISMS的復雜程度(例如， 信息的關鍵程度、IS MS的風險狀況) ；

b)ISMS范圍內所開展的業務的類型；

c)以往已證實的ISMS績效；

d)在ISMS各部分的實施過程中， 所應用的技術的水平和多樣性[例如， 不同IT平臺的數量、隔離網絡的數量]；

e)ISMS范圍內所使用的外包和第三方安排的程度；

f)信息系統開發的程度；

g)場所的數量和災難恢復場所的數量；

h)對于監督或再認證審核：符合GB/T 27021.1—2017中8.5.3要求的、與IS MS相關的變更的數量和程度。

附錄C提供了在計算審核時間時如何考慮這些不同因素的示例。

需要增加審核時間的其他因素，例如：

a)復雜的后勤， 在IS MS范圍中涉及不止一處建筑物或地點；

b)員工的語言超過一種(需要翻譯或審核員個人無法獨立工作)，提供的文件使用了一種以上的語言；

c)為了確認管理體系認證范圍內永久場所的活動，需要訪問臨時場所的活動；

d)適用于ISMS的標準和法規數量很多。

允許減少審核時間的因素，例如：

a)沒有風險或者低風險的產品/過程；

b)過程只涉及單一的常規活動(例如，只有服務)；

c)在組織控制下工作的雇員大部分是從事相同的任務；

d)對組織已經有些了解(例如，如果組織獲得了同一個認證機構的、另一個標準的認證)；

f)高度成熟的管理體系。

當認證客戶或獲證組織在臨時場所提供其產品或服務時，將對這類場所的評價納入到認證審核和監督方案中是十分重要的。

宜考慮上述因素，并根據這些因素對審核時間做出調整。這些因素可證實一次有效審核所需更多或更少的審核時間的合理性。增加時間的因素可被減少時間的因素沖抵。在任何情況下，對審核時間表中的時間的調整，應保持足夠的證據和記錄來證實其變化的合理性。

B.3.5 對審核時間偏離的限制

為了確保能夠實施有效的審核并確保可靠和可比較的結果，對表B.1中審核時間的減少，不應超過30% 。

應確定偏離審核時間表的適當理由，并形成文件。

B.3.6 現場審核時間

策劃和編制報告一起所用的時間，通常不宜使總的現場“審核時間”減少到表B.1中“總審核時間”的70%以下。當策劃和/或編制報告需要增加時間時，這不應成為減少現場審核時間的理由。審核員旅途時間未計在內，這應在表中所給出的審核時間的基礎上另外增加。

注：70%是基于IS MS審核經驗所得出的系數。

B.4 監督審核的審核時間

在初次認證審核周期，對一個組織的監督時間宜與初次審核時間成比例，每年用于監督審核的時間總量大約是初次審核時間的1/3。宜時常評審所策劃的監督審核時間，以考慮影響審核時間的變更。為審核ISMS的變更(例如， 審核新的或發生變更的控制) ， 應增加監督審核的時間。

B.5 再認證審核的審核時間

用于再認證審核的全部時間，應取決于9.4.3和GB/T27021.1-2017中9.6.3所規定的、任何以往審核的結果。再認證審核所需的時間，宜與同一組織的初次認證審核所用的時間成比例，宜至少是同一組織初次認證審核時間的2/3。

B.6 多場所的審核時間

應針對每個場所計算每個場所(包括總部)的審核人天數。

可以考慮因部分審核與總部或分場所無關而減少審核時間。認證機構應記錄這類減少的合理理由。