标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 40753-2021 供应链安全管理体系 ISO28000实施指南.pdfGB/T407532021/IS028004.2007
4.3安全风险评估和策
险评估和策划涉及以下方面,策划与其他因素的
DB35T 836-2015 学生服装4.3.1安全风险评估
安全风险评估在ISO28000中的要求、目的、典型输入、过程和典型输出包括以下方面。 a)ISO28000要求
在采用安全威胁识别、风险评估和风险管理过程后,组织宜在其领域内对重大安全风险、威胁和缺 陷进行总体评价。 安全威胁识别、风险评估和风险管理过程及其输出宜作为整个安全体系的基础。在安全威胁识别、 风险评估和风险管理过程与其他安全管理体系要素之间建立清晰明确的联系非常重要。 本文件的目的在于建立原则,组织可依据这些原则确定已有的安全威胁识别、风险评估和风险管理 过程是否适用且充分。本文件的目的不在于就活动开展方式提供建议。 安全威胁识别、风险评估和风险管理过程宜使组织能够持续对安全风险进行识别、评估和控制。 在任何情况下均宜考虑组织内部正常的和异常的运行以及潜在的紧急情况。 安全威胁识别、风险评估和风险管理过程的复杂度在很大程度上取决于以下因素:组织规模、组织 内部工作场所情况以及安全风险的性质、复杂度和重要性。ISO28000:2007中4.3.1的目的并非强制 安全风险非常有限的小型组织进行复杂的安全威胁识别、风险评估和风险管理。 安全威胁识别、风险评估和风险管理过程宜考虑执行这三个过程所需的成本和时间以及可靠数据
GB/T407532021/1S028004.2007
用于其工作场所的情况,且有助其遵守所有的安全法律要求。 安全威胁识别、风险评估和风险管理过程宜作为主动措施而非被动措施实施,即宜在发生新的活动 修订程序之前实施。所有已确定的必要的风险降低和控制措施宜在发生变化前实施。 对于现有活动,组织宜对有关威胁识别、风险评估和风险管理的方法、人员资质、文件、数据和记录 行更新,并进行扩展以便在新进展和新活动或更改的活动发生前将其纳入考虑范围。 安全威胁识别、风险评估和风险管理过程宜不仅应用于“常规”的设施运行和程序,还宜应用于定期 临时运行程序。 组织不仅宜考其自身人员活动所造成的安全风险和其他风险,还宜考分包商、来访人员活动以 使用其他方提供的产品或服务造成的安全风险和其他风险。 ii)过程 安全威胁识别、风险评估和风险管理过程宜形成文件并包括以下要素: ·对安全威胁的识别; 。采用现有(或拟定的)控制措施对风险进行的评价(考愿其体安全威胁的暴露程度、控制措施失 效的可能性以及损伤、损坏和运行连续性造成的可能的严重后果); ·对当前和剩余风险可接受程度的评价; ·对所需的附加风险管理措施的识别; ·评估风险管理措施是否足以将风险降低到可接受水平。 此外,过程还宜包括以下内容: 将要采用的任何形式的安全威胁识别、风险评价和风险管理的性质、时效、范围和方法; 适用的安全法规或其他要求; 负责执行这些过程的人员的职责和权限; 过程执行人员的能力要求和培训需求(见4.4.2)(取决于所采用过程的性质或类型,组织可能 还有必要采用外部建议或服务); 一一员工安全输入数据、评审和改进活动的信息的使用(这些活动可具有主动性或被动性); 1i后续措施 在执行安全威胁识别、风险评估和风险管理过程之后: 一宜提供清晰证明,对被确定有必要采取的所有纠正或预防措施(见4.5.2)予以监视,以便按时 成(这可能要求实施进一步的安全威胁识别和风险评估,以反映拟定的对风险管理措施的变更和确定 改的残余风险的估算); 一一宜将纠正或预防措施的结果和完成的进度反馈给管理层,作为管理评审(见4.6)的输人和用于 立修订的或新的安全目标; 一一组织宜确定执行具体安全任务的人员的能力是否符合在建立必要的风险管理时风险评估过程 定的能力: 一一适用时,后续运行经验反馈宜用于修正过程或作为过程的基础的数据。 2)在完成安全威胁识别、风险评估和风险管理初步评价之后(见4.6) 宜在安全策略文件中规定的预定时间或期限内,或在管理层预定的时间内对安全威胁识别、风险评 和风险管理过程进行评审,该评审可构成管理评审过程(见4.6)的一部分。这一期限可能依据以下因 的变化而变化: ·安全威胁的性质; ·风险的严重程度; ·正常运行的变更。 当组织内部发生的变更导致对现有评估的有效性产生怀疑时,宜进行评审。此类变更包括以下 素:
GB/T40753—2021/ISO28004.2007
设施或供应链的扩增、缩减、改组和变更; · 职责的重新分配; · 外源性安全威胁工作方法或行为模式的变更。 e)典型输出 以下要素宜形成文件化程序: ·安全威胁的识别; · 已确定的安全威胁相关的风险的确定; 各类安全威胁相关的风险的等级指示,及风险是否可接受; 有关风险(尤其是不能接受的风险)监视和控制措施(见4.4.6和4.5.1)的说明或索引; 适当时,安全目标和降低已识别的风险(见4.3.3)的措施及监视风险降低过程的任何后续活动; 对实施控制措施的能力和培训要求的识别(见4.4.2); 作为体系的运行控制要素一部分的必要控制措施(4.4.6); 上述各项程序产生的记录
4.3.2法律、法规及其他安全监管要求
法律、法规及其他安全监管要求在ISO28000中的要求、目的、典型输人、过程和典型输出包括以下 方面。 a)ISO28000要求 组织应制定、实施并维护满足以下要求的程序: a)确定并使用适用的法律要求及组织采用的有关安全威胁和风险的其他要求; b)确定这些要求应用于安全威胁和风险的方式。 组织应及时更新这些信息。应向员工及其他相关第三方(承包商)传达有关法律及其他要求的相 关信息。 b)目的 组织需意识到并了解适用法律及其他要求对其活动产生的或将产生的影响以及将这些信息传达给 相关人员的方式。 IS028000:2007的4.3.2旨在提高对法律和监管职责的意识和了解。其目的不在于要求组织针对 极少参考或使用的法律或其他文件建立文件库。 c)典型输人 典型输人包括下列项目: 组织供应链的详细资料; 安全威胁识别、风险评估和风险管理结果(见4.3.1); 最佳实践(如规范、行业协会指南); 法律要求及政府、政府间、贸易协会规范、实践与法规; 信息来源清单; 国家、区域或国际标准; 组织内部要求; 利益相关方要求; 供应链动态管理过程。 d)过程 宜识别相关法规及其他要求。组织确定获取信息的最恰当方法,包括支持信息的媒介(如纸质、光 盘、磁盘或互联网)。组织还宜
典型输出包括下列项目: ·识别和获取信息并不断更新的程序; ·识别适用的要求及其适用的情况(可采用登记表的形式); 。可在组织所确定的场所获得的要求(适用情况下的真实文本、总结或分析); ·监视新安全法规下对控制措施实施情况的程序
4.3.3安全管理目标
a)ISO28000要求 组织应在内部在相关职能和层面上制定、实施和维护文件化安全管理目标。这些目标应该源于并 符合本策略。在制定并审查其安全管理目标时,组织应考虑以下间题: a)法律、法规及其他安全监管要求; b 相关的安全威胁和风险; ) 技术及其他方案; d)财务、运营和业务要求; e)风险承担者的观点。 安全管理目标应满足下列要求: a)与组织的持续改进承诺一致; b 应进行量化(若可行); C 传达给所有相关人员及第三方,包括希望获悉其自身义务的承包商; d) 定期审查,以确保与安全管理策略的相关性和一致性。必要时,应对上述目标进行相应修改。
GB/T407532021/IS028004.2007
4.3.4安全管理指标
组织宜制定、实施并记录适合其需要的安全管理指标。上述指标不仅宜根据安全管理目标制定, 而且宜与安全管理目标一致。 指标宜: a)细节层次适当; b)符合具体性、衡量性、可达性、相关性和时限性(若可行)原则; c) 传达给所有相关人员及第三方,包括希望获悉其自身义务的承包商; 定期审查,以确保与安全管理目标的相关性和一致性。必要时,宜对上述指标进行相应修改。
设定安全指标以在规定时间框架内实现目标。
GB/T40753—2021/ISO28004:2007
4.3.5安全管理方案
组织宜制定并实施安全管理计划,以实现其各项目标和指标。 上述计划宜在优化后予以优先考虑;同时,组织宜确保上述计划得以经济、高效地实施。 安全管理计划宜包括满足下列要求的文件: a)规定了实现各项安全管理目标和指标的职责和权力; b)规定了实现各项安全管理目标和指标的手段和时标。 宜对各项安全管理计划进行定期审查,以确保其有效,且符合各项目标和指标。必要时,宜对上 刻进行相应修改。 b)目的 安全管理方案宜与目标和指标存在直接联系。各管理方案宜说明组织如何将目标和方针承诺转 实际行动并实现安全目标和指标。方案要求就所采取的行动制定策略和计划,宜记录和沟通这一 过程。宜监视、评审和记录方案与满足所述目标的进展情况。方案的遏制和缓和策略宜基于安全 成胁和危害识别及风险评估的结果(如:影响分析、方案评估、运行经验)。 曲型检入
组织宜制定并实施安全管理计划,以实现其各项目标和指标。 上述计划宜在优化后予以优先考虑;同时,组织宜确保上述计划得以经济、高效地实施。 安全管理计划宜包括满足下列要求的文件: a)规定了实现各项安全管理目标和指标的职责和权力; b)规定了实现各项安全管理目标和指标的手段和时标。 宜对各项安全管理计划进行定期审查,以确保其有效,且符合各项目标和指标。必要时 进行相应修改。
b)目的 安全管理方案宜与目标和指标存在直接联系。各管理方案宜说明组织如何将目标和方针 为实际行动并实现安全目标和指标。方案要求就所采取的行动制定策略和计划,宜记录和沟 定过程。宜监视、评审和记录方案与满足所述目标的进展情况。方案的遏制和缓和策略宜基 理威胁和危害识别及风险评估的结果(如:影响分析、方案评估、运行经验)。 c)典型输人 典型输入包括下列项目:
电型输入包括下列项目
GB/T407532021/ISO28004.2007
安全目标和指标; 法律及其他要求; 安全威胁识别、风险评估和风险管理的结果; 组织运行的详情情况; · 工作场所中员工安全输人、评审和改进活动(这些活动可具有主动性或被动性)的相关信息 · 对新的或不同的技术选择方案所提供的机会的评审; · 持续改进活动; ·实现组织安全目标所需资源的可获得性。 d)过程 安全管理方案宜确定: ·实现目标的职责; · 实现目标的手段; ·实现目标的时间范围。 方案宜考虑通过方法论的和科技性的方案,以及其他实体的经验减轻威胁,同时考虑财务会计 和业务要求以及合作组织和利益相关方的意见。 宜为各任务分配适当的职责和权限,并对各单项任务安排时间范围,以满足相关安全目标的总时 围。还宜为各任务分配适宜的资源(如财务、人力、设备、物流)。 如工作实践、过程、设备或设施出现重大变动或更改时,方案宜考虑新的安全威胁识别和风险评 练。安全管理方案宜考虑就预期的变更向相关人员进行咨询。 e典型输出
4.4.1安全管理结构、权限和职责
安全管理结构、权限和职责在ISO28000中的要求、目的、典型输入、过程和典 方面。
安全管理结构、权限和职责在ISO28000中的要求、目的、典型输入、过程和典型输出包括以 a)JSO.28000 要求
GB/T40753—2021/IS28004.2007
组织宜确立一个有关作用、职责和权力的组织,并符合其安全管理策略及各项目标、指标和计划的 要求。 同时,这些作用、职责和权力宜予以规定、记录,并传达给负责实施和维护工作的相关人员。 最高管理者宜通过以下方式说明其在安全管理体系(过程)制定和实施方面以及不断增强有效性 方面的承诺: a)指定最高管理者内某成员(无论是否有其他职责)负责组织安全管理体系的总体设计、维护、 记录和改善工作; b 向管理层内某成员授予必要权力,以确保各项目标和指标得以实施; 确定和监测组织利益相关者是否符合要求和预期目标,并及时采取适当措施实现这些预期 目标; d) 确保能够获取足够的资源; 考虑到安全管理策略及各项目标、指标和计划等可能对组织的其他方面产生的不利影响; f 确保组织其他部门制定的任何安全计划均能够对安全管理体系进行互补; 向组织传达满足其安全管理要求以符合其策略的重要性; 围内; 确保安全管理目标、指标和计划的可行性。 b)目的 为促进有效安全管理,有必要确定、记录和沟通角色、职责和权限。宜仅派了解安全的人员(见第3 章定义)执行关键安全任务。为确保执行安全任务,宜提供充分资源。 )典型输入 典型的输人包括下列内容: ·组织结构; ·安全风险识别、风险评估和风险控制结果; ·安全目标、指标和方案; 法律及其他要求; ·工作说明; ·需要和/或已接受安全审查的合格安全人员名单。 d)过程 1概 全体人员履行义务是安全管理体系的一部分,宜确定职责和权限,包括对不同职能间对接的职责的 明确界定。 上述界定适用于以下人员: · 最高管理者; · 组织的各级管理人员; · 负责接待可进人场所和接触员工的承包商和来访者的人员; · 安全培训负责人员; ·对安全至关重要的设备和运行的负责人员; · 组织内经安全审查的员工或其他安全专家; ·负责协商论坛的员工安全代表。 然而,组织宜沟通并宣传这一观念,即安全是组织中每个人的责任,不仅仅是负有明确的安全管理 体系义务的责任人员的职责。
GB/T40753—2021/ISO28004.2007
4.4.2能力、培训和意识
a)ISO28000要求
组织宜确保负责安全设备和工艺设计、操作和管理的人员有相应资格和经验且经过适当培训。同 时,组织宜制定并贯彻相关程序,以使其工作人员或代表意识到: a)遵守安全管理策略和程序以及符合安全管理体系要求的重要性; b) 在遵循安全管理策略和程序及安全管理体系要求(包括应急准备和响应要求)期间的作用和 职责; c)违背规定操作程序对组织安全造成的潜在后果。 宜对胜任能力和培训情况予以记录,
组织宜制定有效程序,确保人员能执行所指定的安全职能并意识到安全风险。 c)典型输人 典型输人包括以下项目: ·确定角色和职责; ·工作说明(包括拟执行的安全任务详情); · 员工业绩评估; · 安全风险识别、风险评估和风险控制结果; ·程序和运行说明; ·安全策略和安全目标; ·安全方案。 d)过程 下列要素宜包括于过程中: ·对组织内部各级和各职能所需的安全意识和能力的系统识别; ·为识别并补救个人当前所具备水平和所需安全意识与能力水平之间的差异所做的安排; · 提供及时且系统的必要培训; · 评价个人,确保其获得并保持所需的知识和能力; ·维护适当的个人培训和能力记录。 注:特别强调的是整个组织的安全意识对成功的安全管理体系及其有效实施至关重要。 宜建立和维护安全意识和培训方案,包含下列领域: ·对安全风险和威胁的不断认识; ·对组织的安全布置和个人具体角色和职责的理解; 针对员工和组织内部不同分公司、场所、部门、区域、工作或任务间调转的人员的上岗和持续 训的系统方案; ·本部门安全布置和安全风险、风险、防范措施和需遵循程序的相关培训,宜在工作开始前提供 ··有关实施安全风险识别、风险评估和风险控制的培训(见4.3.1d); ·在安全体系中有特定角色的员工所需的特定内部或外部培训,包括员工安全代表; ·针对管理员工、承包商和其他人(如临时工)的人员的各自安全职责的培训。确保这些人员 在其管理下工作的人员了解安全威胁和运行风险,无论何处发生威胁和风险。另外,也能确 通过遵循安全程序,人员具备安全实施活动的必要能力; ·最高管理者在确保安全管理体系职能以控制风险和减少弊端、伤害和对组织造成的其他损
GB/T407532021/IS028004.2007
方面的角色和职责(包括组织和个人的法律责任); ·根据所面临的风险水平,针对承包商、临时工和来访人员的培训和意识方案。 宜评价培训和意识方案的有效性。这可能涉及评估,作为培训活动和/或相应的现场检查的一部 分,以确定这些人员是否获得能力和充足的意识,或监视培训带来的长期影响。 e)典型输出 典型输出包括下列项目: ·针对个人角色的能力要求; ·培训需求的分析; ·培训方案/计划; · 组织内部可提供的培训课程/产品的范围; 培训记录和培训有效性评价记录; 安全意识方案; 安全意识评价。
在ISO28000中的要求、目的、典型输入、过程和典型输出包括以下方面, 0
a)ISO28000要求
组织宜制定有相关程序,以确保向或从相关员工、承包商及其他利益相关者处传达相关安全管理 信息。 由于某些安全相关信息具有敏感性,因此宜在传播之前适当考虑到信息的敏感性。 b)目的 组织宜通过咨询和沟通的过程鼓励受运行影响的相关人员参与良好安全实践和支持安全策略和安 全目标。 c)典型输人 典型输入包括下列项目: · 安全策略和安全目标; · 相关的安全管理体系文件; ? 安全风险识别、风险评估和风险控制程序; 安全角色和职责的确定; · 正式和非正式的员工与管理层安全协商的结果; · 培训方案详情; ·来自外部的相关信息。 d)过程 组织宜记录并促进安排,通过这样的安排组织与员工和其他相关方(如承包商、来访人员、利益相关 方、业务伙伴、政府)协商,并与其沟通有关的安全信息。 宜包括员工参与下列过程的安排: · 就方针的制定和评审、安全目标和风险管理过程和程序的实施的决策的制定和评审的协商,包 括实施与自身活动相关的安全风险评估和风险控制; 就影响工作场所安全的变更的协商,如引进新的或调整设备、设施、化学品、技术、过程、程序或
GB/T40753—2021/ISO28004.2007
在ISO28000中的要求、目的、典型输人、过程和典型输出包括以下方面。 a)ISO28000要求
组织宜制定并贯彻安全管理文件系统,该系统包括但不限于以下内容: a) 安全策略、目标和指标; b) 安全管理体系的范围说明; 安全管理体系的主要部分及其与相关文件的相互关系和引用关系; d) 本国际标准中规定的记录等文件; e) 组织为了确保对与其重大安全威胁和风险相关的过程进行有效地规划、操作和控制而确定的 记录等文件。 组织宜确定信息的安全敏感性,并宜采取措施防止在未经批准的情况进行使用,
组织宜记录并维护最新文档以确保其安全管理体系得到了解和有效地实施和运行。 c)典型输人 典型输人包括下列项目: ·组织为支持安全管理体系和安全活动并履行ISO28000的要求制定的文档和信息系统的详情; ·职责和权限; ·有关承载文档或信息的设施和限定条件的信息,其中限定条件为可呈现文档的物理性质或使 用电子或其他媒介。 d)过程 在制定支持组织安全过程和安全管理体系必需的文档前,组织宜识别信息安全管理体系所需的数 据和信息。 不要求将文档制成ISO28000规定的特定格式,也不要求必须替换现有文档,如手册、程序或工作 说明等(如已充分描述了当前的安排)。如组织已建立安全管理体系并形成文件,则可证明组织能更方
GB/T407532021/ISO28004.2007
便和有效地制定描述现有程序与ISO28000要求的相互关系的交叉参考文件。 宜对下列内容予以考虑: ·文档和信息使用者的职责和权限,因为这宜决定宜施加的安全程度和可用性; ·文本文档使用的方法和环境。同样宜考虑有关信息系统电子设备的使用。 e)典型输出 典型输出包括下列项目: ·安全管理体系文档概述文件; ·文件登记表、总清单或索引; ·程序; 工作说明。
4.4.5文件和数据控制
在ISO28000中的要求、目的、典型输入、过程和典型输出包括以下方面。 a)ISO28000要求
组织宜制定用于控制本国际标准第4章中规定的所有文件、资料和信息的各种程序,以确保 a) 只有授权个人才可找到并使用这些文件、资料和信息; b) 定期对这些文件、资料和信息进行审查,必要时进行修订,且其充分性宜获得授权人员的 批准; 能够在进行安全管理体系有效运行所需操作的所有地点获取现行相关文件、资料和信息; 及时从所有发行地点和使用地点处移除作废文件、资料和信息,或者以其他方式避免非预期 使用; 为法律或/和知识保护所保存的所有档案文件、资料和信息予以适当标识; 这些文件、资料和信息的安全性、电子备份充裕度和恢复性。
宜识别和控制包含了安全管理体系和组织安全活动绩效的信息的所有文件和数据。 c)典型输人 典型输入包括下列项目: ·组织为支持安全管理体系和安全活动并履行ISO28000的要求制定的文档和信息系统的详情; ·职责和权限详情。 d)过程 书面程序宜确定对安全文件的识别、批准、发布、访问及清除的控制,及对数据安全的控制。这些程 序宜清晰界定所应用的文档和数据类别,以及基于安全敏感性的分级层次。 必要时,文档和数据宜供经授权的人员使用,无论在常规还是非常规条件下,包括紧急情况下。 e)典型输出 典型输出包括下列项目: ·文件控制程序,包括指定的职责和权限; 文件登记表、总清单和索引; 一 受控文件及其位置的清单; 档案记录。
在ISO28000中的要求、目的、典型输入、过程和典型输出包括以下方面。 a)ISO 28000 要求
GB/T40753—2021/IS028004:2007
通常产生风险的区域和针对风险采取的控制措施举例如下: 1)采购或转让商品和服务以及外部资源的使用权 包括如下项目: ·评价和定期再评价承包商的安全能力; ·批准对新的厂房或设备设计安全措施。 2)安全敏感任务 包括如下项目: · 安全敏感任务的识别; · 安全工作方法的预先确定和批准; ·安全敏感任务人员资质的预先评定; ·安全敏感区域人员进入控制程序。 3)安全设备的维护 包括下列内容: ·隔离和访问控制; ·安全相关的设备和高集成系统的检查和测试。 e)典型输出 典型输出包括下列项目: ·程序; ·: 运行和维护说明。
4.4.7应急准备、响应和安全恢复
GB/T40753—2021/ISO28004:2007
GB/T407532021/ISO28004.2007
检查和纠正措施涉及以下方面,与其他要素的关
4.5.1安全绩效测量和监视
在ISO28000中的要求、目的、典型输人、过程和典型输出包括以下方面。 a)ISO28000要求
GB/T40753—2021/ISO28004.2007
在ISO28000中的要求、目的、典型输人、过程和典型输出包括以下方面。 aISO28000要求 组织应通过定期审查、测试、事后报告、经验教训、性能评估和演练来评估安全管理计划、程序和售 同时,如果上述因素发生任何重大变化,则必须立即在相关程序中予以说明。 组织应定期评估是否符合相关法律法规、行业最佳实践及自身策略和目标的要求。 组织应对定期评估结果做好记录。
SO28000中的要求、目的、典型输入、过程和典型
a)ISO28000要求
SL/T 247-2020 水文资料整编规范GB/T40753—2021/ISO28004:2007
宜保存记录以证明安全管理体系有效运行。宜制定和保存支持管理体系和满足要求的 并宜清晰和充分识别。
GB/T40753—2021/IS028004:2007
保存的记录(用于证明满足要求)宜包括下列内容: ·培训和能力记录; ·安全检查报告; ·安全不符合项; ·预防和纠正措施结果; ·安全管理体系审核报告; ·安全会议纪要; ·安全演习和演练报告; ·管理评审; ·安全威胁识别、风险评估和风险管理记录。 d)过程 ISO28000中的要求在很大程度上是不言自明的。然而,宜另外考虑以下内容: ·安全记录的处理权限; ·安全记录的保密性(保护标志); ·安全记录保留的相关法律及其他要求; ·电子记录使用相关间题。 安全记录宜填写完整、清晰并可充分识别。宜规定安全记录的保留时间。记录宜存储在安全的地 方,便于检索并防止损坏。根据具体情况和法律要求,关键安全记录宜防火或防止其他损坏。 e)典型输出 典型输出包括下列项目: ·程序(用于安全记录的识别、保存和处理); ·保存完好和便于检索的安全记录,
SH/T 1786-2015 工业用异戊烯纯度和烃类杂质含量的测定 气相色谱法在ISO28000中的要 a)ISO 28000 要求
组织应制定、实施并维护安全管理审计方案,并应确保按照所计划的间隔时间对安全管理体系进 行审计,以便: a 确定安全管理体系是否满足下列要求: 1)是否符合安全管理的计划安排要求,包括本文件第4章全部要求; 2)是否正确贯彻实施; 3)在遵守组织安全管理策略和目标时是否有效; b)审查以往的审计结果以及不符合项的纠正措施; c)向管理层提供有关审计结果的信息; d)验证相关安全设备和人员是否正确部署。 审计方案(包括任何计划表)应以组织活动的威胁和风险评价结果及以往的审计结果为基础。审 计程序应包括范围、频率、方法和能力,以及审计和报告结果的责任和要求。在可能的情况下,应由与 被审查活动直接责任人员无关的人员进行审计。 注:“与无关的人员”未必是指组织的外部人员。