1.1 相關概念

本節中的定義主要參考GB/T 19011-2003/IS0 19011: 2002的“術語和定義”（有刪減），在ISO/IEC 27007 Guidelines for Information Security Management Systems audi- ting (draft)（信息安全管理體系審核指南（草案））中基本也沿用了IS0 19011的定義。

1.審核audit

為獲得審核證據并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統的、獨立的并形成文件的過程。

按審核活動的委托方可以將審核分為內部審核和外部審核。

內部審核是組織內部人員（或代表該組織的人員）有計劃地、按照既定的時間間隔定期地（一般每年至少1次），對其管理體系符合性的自我評估和檢查。ISMS內部審核的內容包括確定ISMS的控制目標、控制措施、過程和程序是否：

(1)符合ISO/IEC 27001: 2005標準和相關法律法規的要求；

(2)符合已確定的信息安全要求；

(3)得到有效的實施和保持；

(4)按預期執行。

內部審核不是為了應付外部訪問者，也不是在有可疑問題時，才實施內部審核。ISMS 內部審核對信息安全的維護和改進起著核心的作用。內部審核的結果是最高管理者對該組織的管理體系的適宜性和有效性做出判斷決定的一個關鍵輸入。管理者應能從內部審核的結果（或內部審核報告文件）獲得管理體系的一個公平的、準確的和全面的景象。

內部審核有時也稱第一方審核，或內審。執行內部審核的人員稱為內部審核員（或內審員）。內部ISMS審核要嚴格按照ISO/IEC 27001：2005標準“6 ISMS內部審核”的規定執行，其中包括“審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。”

由組織的外部機構進行的審核稱為外部審核。組織的外部機構又包括兩類：一是與受審核組織有關系的機構（如顧客方，常稱為第二方）；二是與受審核組織無關系的機構（如獨立審核認證機構，或注冊機構，常稱為第三方）。與此相對應，外部審核又包括兩類：“第二方審核”和“第三方審核”。第三方審核屬于“認證審核”。