1.1 相關(guān)概念

本節(jié)中的定義主要參考GB/T 19011-2003/IS0 19011: 2002的“術(shù)語和定義”（有刪減），在ISO/IEC 27007 Guidelines for Information Security Management Systems audi- ting (draft)（信息安全管理體系審核指南（草案））中基本也沿用了IS0 19011的定義。

1.審核audit

為獲得審核證據(jù)并對其進(jìn)行客觀的評價，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨立的并形成文件的過程。

按審核活動的委托方可以將審核分為內(nèi)部審核和外部審核。

內(nèi)部審核是組織內(nèi)部人員（或代表該組織的人員）有計劃地、按照既定的時間間隔定期地（一般每年至少1次），對其管理體系符合性的自我評估和檢查。ISMS內(nèi)部審核的內(nèi)容包括確定ISMS的控制目標(biāo)、控制措施、過程和程序是否：

(1)符合ISO/IEC 27001: 2005標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；

(2)符合已確定的信息安全要求；

(3)得到有效的實施和保持；

(4)按預(yù)期執(zhí)行。

內(nèi)部審核不是為了應(yīng)付外部訪問者，也不是在有可疑問題時，才實施內(nèi)部審核。ISMS 內(nèi)部審核對信息安全的維護(hù)和改進(jìn)起著核心的作用。內(nèi)部審核的結(jié)果是最高管理者對該組織的管理體系的適宜性和有效性做出判斷決定的一個關(guān)鍵輸入。管理者應(yīng)能從內(nèi)部審核的結(jié)果（或內(nèi)部審核報告文件）獲得管理體系的一個公平的、準(zhǔn)確的和全面的景象。

內(nèi)部審核有時也稱第一方審核，或內(nèi)審。執(zhí)行內(nèi)部審核的人員稱為內(nèi)部審核員（或內(nèi)審員）。內(nèi)部ISMS審核要嚴(yán)格按照ISO/IEC 27001：2005標(biāo)準(zhǔn)“6 ISMS內(nèi)部審核”的規(guī)定執(zhí)行，其中包括“審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。”

由組織的外部機構(gòu)進(jìn)行的審核稱為外部審核。組織的外部機構(gòu)又包括兩類：一是與受審核組織有關(guān)系的機構(gòu)（如顧客方，常稱為第二方）；二是與受審核組織無關(guān)系的機構(gòu)（如獨立審核認(rèn)證機構(gòu)，或注冊機構(gòu)，常稱為第三方）。與此相對應(yīng)，外部審核又包括兩類：“第二方審核”和“第三方審核”。第三方審核屬于“認(rèn)證審核”。