ISMS内审员培训教材
ISMS内审员培训教材ppt课件
事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
4
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项
19 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 编制审核计划要求需考虑
组织的大小和性质 员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
独立审核(部门审核) ➢ 以单个部门为中心,审核所涉及的相关职能业务; ➢ 部门所涉及条款。 优点 ➢ 节约时间。 缺点 ➢ 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑
相关因素,过程审核思路要清晰,审核组内部沟通要求高。
35
3.3 审核方法—过程审核
过程审核(部门审核) ➢ 以过程为中心; ➢ 一个过程要涉及多个部门、多个标准条款。 优点 ➢ 系统性完整、全面,不易遗漏。 缺点 ➢ 部门之间重复返往较多,费时、费事; ➢ 对审核知识要求较高。
17
2.3 文件审核
目的
➢ 了解体系中的所有过程是否得到识别并适当管理;
➢ 了解过程文件满足审核准则程度;
对象
➢ 信息安全管理体系手册
➢ 信息安全管理体系程序文件
➢ 信息安全管理体系管理制度、办法、计划及指导书等;
准则
➢ 信息安全管理体系标准、合同、法律法规等。
质量管理体系内部审核员培训教材
§ 系統是:組織、職能、程序、流程與資源的整合 § 系統是附屬於更高級的“生命體”之中,為生命體
諸多“生命機能”之一。
v 對照ISO 9000:2000的觀念
§ 品質管理系統的流程導向模式示意圖
质量管理体系内部审核员培训教材
從“品質保證”到“顧客滿意”
•OHSAS 18002职业健康安全管理指 南
•欧共体标 准
质量管理体系内部审核员培训教材
•什么是ISO——
• ISO是一个组织的英语简称。其全称是International •Organization for Standardization , 翻译成中文就是“国际标 准 •化组织”。
ISO 宣称它的宗旨是“在世界上促进标准化及其相关活动的发 展,以便于商品和服务的国际交换,在智力、科学、技术和经济 领域开展合作。”
管 理 体 系
Hale Waihona Puke •环 境 管 理标
体
准
系
•
职 业 健 康 系安 全 管 理 体
•
•ISO/TS 16949 汽车行业质量管理体系标准 •ISO 9000族标准 •VDA 6.1 德国汽车行业质量管理体系标准
•QS 9000 美国汽车行业质量管理体系标准 •HACCP/ISO 15161 食品卫生安全质量管理体系标准 •CMM/ISO 15504 软体成熟度与能力评估质量管理体系标准 •ISO 17799 信息安全管理体系标准 • ISO 13485 医疗器械生产企业质量管理体系标准
v 基于事实的决策方法;
与供方互利的关系;质量管理体系内部审核员培训教材
五大工具书的最新版次
v 潜在失效模式及后果分析实施手册(FMEA), (2008年6月第四版)
内审员培训教材
1.0术语和定义
➢ 内部审核(又叫First Party Audit ): 是指由公司内部组织的审核,审核体系文件是否符合相关标准及
客户等相关方的要求及审核确认相关人员是否按文件标准作业。 审核亦可视为公司内的一个沟通管道。
闭
- 用以获取专门的信息;
式
- 掌握主动,但信息量小。
开放式
- 答案需要解释性阐述和表达; - 可获取较多信息; - 缺乏主动权,有时会浪费时间
澄
- 对此前获得的信息进一步确认;
清
- 带主观导向
式
4.0内部审核的实施
➢4.2收集审核证据—提问技巧(运用5W1H1S ):
➢ What:做什么事?(要求、目标) ➢ Why:为什么做?(理由、依据)
4.0内部审核的实施
➢4.4典型情况的应对技巧-4:
➢ 辩解型
➢ 对被查到的不合格项千方百计辩解,寻找开脱理由 ➢ 应对技巧:可以重新核查,坚持以事实为依据
➢ 主动暴露型
➢ 向审核员主动介绍存在的问题,并推卸责任 ➢ 应对技巧:先核对其所介绍的问题,但应谨慎,不可介入受审核方的人际矛盾
4.0内部审核的实施
3.0内部审核的策划与准备
➢3.2.成立审核组:
➢ 3.2.3审核员的职责:
➢ 服从审核组长的指导 ➢ 支持审核组长开展工作 ➢ 编制分工范围内的工作文件 ➢ 独立完成分工范围内的现场审核任务 ➢ 保管好与审核有关的文件 ➢ 验证受审核方所采取的纠正措施的有效性
3.0内部审核的策划与准备
➢3.2成立审核组:
➢ Who:谁来做?(职责) ➢ When:什么时间做?(起止时间、进度表)
ISMS【信息安全系列培训】【内部审核】
20
审核的原则
与审核员有关的原则 道德行为 公正表达 职业素养 与审核活动有关的原则 独立性 基于证据的方法
4
为什么审核
向管理层展示观点 向管理层强调风险 验证业务有效性 识别培训需求 发现不符合 进行检查 推动改进的工具 获得证书 使相关方满意
5
审核的定义
为获得审核证据,并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的并形成 文件的过程。 ISO 19001
First party / internal audit 第一方/内部审核
7
什么是审核证据
通过观察、测量或实验获得的,并且能够被验证的关于管理体系要素的实施和运行 的定性或定量的信息、记录或陈述。 特点: 可陈述的事实; 可验证的事实; 不含有推测和猜想。
8
审核发现
将收集的审核证据与审核准则进行比较所得出得评价结果。审核发现使审核的评价 结果,这种结果是依据审核准则,在审核证据的基础上做出的,审核发现是编制审 核报告的基础。
REFERENCES :
DATE:
Resp/Ref.
Findings
DATE:
✓/
31
审核检查表的目的
✓ Helps with preparation
✓
帮助准备
✓
Ensures issues are not
forgotten
✓
确问题不被忘记
Aids Consistency
内审员培训教材
质量体系内部审核员培训教材第一章内部审核一名词解释:质量体系审核:确定质量体系的活动和结果是否符合标准的安排以及质量体系的各项规定是否得到有效的贯彻并适合于达到质量目标的、系统的、独立的检查。
A 符合性:对质量体系文件(质量手册、程序文件)是否符合标准要求。
B 有效性:质量体系活动与文件要求是否一致,即文件要求是否有效实施。
C 适宜性:质量体系的实施结果是否适合达到质量目标的要求。
D 系统性:审核工作本身要求正规化,有程序可以遵循。
E 独立性:审核应由与被审对象无直接责任关系的人员进行。
二质量体系审核的分类:1 第一方审核:一个企业对其自身的质量体系所进行的审核。
2 第二方审核:需方派出审核员按合同规定的要求对它的供方的质量体系进行审核。
3 第三方审核:公正的第三方对申请的企业进行的独立的质量体系审核。
第二章内审员一内审员的评选:内审员由企业(组织)自己评选或任命,但需经培训合格对本企业(组织)较了解。
二内审员的作用:1 对质量体系的运行起监督作用。
2 对质量体系的保持和改进起参谋作用。
3 在质量管理方面联系领导和员工。
4 在质量体系的有效实施方面起带头作用。
5 在外部审核时,起内外接口作用。
三内审员必须具备的能力:工作能力和基本能力1 基本能力:A 交流B 合作C 分析判断D 应变E学习 F 独立2 工作能力:A 审核计划及准备B 现场审核C 编写审核报告D 跟踪与监督改善3 审核员道德、修养A 正直、诚实B 客观、公正C 尊重对方、尊重别人D 冷静的态度和坚毅的精神第三章审核的策划和准备1质量体系审核安排的注意事项:1-1领导重视是内部质量体系审核的关键1-2管理者代表要亲自抓内部质量体系审核的工作1-3内部质量体系审核的具体工作需要有一个职能部门来管理1-4要组建一支合格的质量体系内部审核队伍1-5内部质量体系审核需要有一套正规的程序1-6建立质量体系时应考虑内部质量体系审核工作2拟定年度审核计划一般一年编制一份年计划,一年内将所有部门、要素都至少覆盖一次,最好是覆盖两次或以上,对重要的和问题较多的部门可适当增加。
ISMS内审员培训教材
2.3 文件审核
时机 ➢ 在现场审核前进行。注:信息安全管理体系管理制度、办法、
计划及指导书等可以在现场审核时进行。 结论 ➢ 符合标准及法规要求; ➢ 部份不符合要求; ➢ 未覆盖标准及法规要求。 注意事项 ➢ 过程中除审核文件外,还须对其过程之间的接口是否明确。
2.3 内部审核计划
2.4 审核检查表的作用
如果你是内审员你会怎么做?
3.5.1 不符合项判定
观察项:不会对安全造成有意义的影响,可能有潜在影响的 一种发现。
例如:某部门在资产识别过程中,发现刚购置一台新设备,但未验收使用, 所以识别时未将其列入资产清单中。
一般不符合项 ➢ 信息安全管理体系的过程、程序或操作的轻微问题; ➢ 偶然发生的不符合事项。
明确与审核目标有关的样本 确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
2.5 审核检查表举例
2.5 审核检查表举例
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。
3.5.4 不符合案例练习
2010年2月1日,审核员到某公司进行ISMS评审。公司的备份管理程序要 求每一个月对备份有效性进行全部评审。审核员抽查了公司备份计划定 期审查表,发现日志备份在2010年1月25日时备份检查上描述“自动备份 失效”。
审核员在现场发现有密钥文件清单、账户申请记录等信息资产,但审核 员在公司的资产登记表没有找到这些信息资产。
ISMS内审员培训教程
ISMS内审员培训教程ISMS内审员培训教程引言:随着信息化的日益普及和信息安全问题的日益突出,越来越多的企业开始关注信息安全管理体系(Information Security Management System,简称ISMS)的建立和运行。
ISMS是一种管理企业信息安全的体系,并且可以帮助企业评估和监控信息安全相关的风险。
为了保证ISMS的有效运行,企业需要进行内部审核以发现和纠正潜在问题。
本文将介绍ISMS内审员培训的基本内容和步骤,以帮助人们了解如何有效地进行ISMS内审。
一、ISMS内审员的角色和职责ISMS内审员是负责对ISMS体系进行内部审核的人员。
他们需要具备相关的知识和技能,熟悉ISMS的要求和标准,能够独立进行内部审核并提出改进建议。
ISMS内审员的职责包括:1. 审核企业的ISMS文件和记录,确保他们符合ISMS标准的要求。
2. 检查企业的信息安全实践,发现和纠正潜在问题。
3. 提供关于信息安全的建议和培训,帮助企业提高信息安全管理水平。
4. 撰写内审报告,总结审核结果和提出改进建议。
二、ISMS内审员的培训内容ISMS内审员的培训内容应该包括以下几个方面:1. ISMS标准的理解:内审员需要深入了解ISMS标准,包括其背景、目的和要求。
他们应该熟悉ISO 27001标准,了解其适用范围、结构和关键要素,以及与其他管理系统标准(如ISO 9001和ISO 14001)的关系。
2. 内审技巧和方法:内审员需要掌握一些基本的内审技巧和方法,例如面试和观察等。
他们还需要了解如何规划和执行内部审核,并撰写相关的审核报告。
3. 信息安全风险评估:内审员应该了解信息安全风险评估的基本原理和方法。
他们需要学习如何识别和评估信息安全风险,并提出相应的控制措施。
4. 改进和持续改进:内审员应该了解改进和持续改进的重要性,并学习一些改进工具和方法,例如PDCA循环和5W1H分析法。
三、ISMS内审员的培训步骤ISMS内审员的培训应该按照以下步骤进行:1. 确定培训目标和需求:确定内审员的培训目标和需求,了解他们当前的知识水平和经验,并根据此设定培训计划。
内部审核培训教材珍藏版实战素材内审员必看
第一单元内部审核说明1定义:独立并系统化之查验,以决定其活动与相关结果是否符合规划之准则,以确保品质/环境管理系统执行之有效性,适切性,符合性。
2目的:2.1、评估品质/环境系统是否符合规定要求;2.2、评估品质/环境系统是否符合品质目标;2.3、提升受审核单位品质改善及矫正措施,确保品质/环境管理系统之有效性,适切性;2.4、以客观的方法,取得品质/环境管理绩效的事实信息,不在查受审者之绩效,查错误,责任归属,调查问题,内部审核重点在取得证据。
3范围对象:内部品质/环境管理系统或流程、产品或服务,但不含<供货商>:3.1、组织结构;3.2、行政及作业程序;3.3、人员、设备及物料资源;3.4、作业场所,作业步骤及制程工序;3.5、正在生产的项目(以了解相关要求被执行的程度);3.6、文书档案、报告、记录之保存。
4执行之频率:可自行决定,通常视如下情况考量:2.1、法律法规的要求;2.2、显著变化:组织、管理、政策、技朮、品质/环境系统(改变);2.3、近期审核的结果(情况不好时);2.4、计划性定期举行。
5相关文件:ISO19011:2002品质和环境体系审核指南。
第二单元内部审核组织要素1、审核小组之成员:审核召集人、主任审核员(审核组长)、审核员2、成员资格:2.1、已接受内部审核之教育训练;2.2、ISO9001/ISO14001之认知与能力;2.3、具专业知识。
3、内审员应具备的条件:3.1、胸襟开阔,慎思熟虑;3.2、具良好的判断力,分析技巧;3.3、具良好人际关系及沟通能力;3.4、能控制审核过程,遭遇问题时,运用适当的外交手段;3.5、具备良好的ISO9001/ISO14001条文理解力与公司程序文件之熟悉了解;3.6、保持独立,公平、公正、公开之原则。
4、审核人员之独立性:审核人员应由与受审单位无直接责任之人员担任,但以与该单位在工作上合作之相关人员从事1为佳。
5、 审核之形式:5.1、 内部审核(Internal Audit/First Party Assessment )<第一审核方>内部审核是由组织或部门内针对运行体系,规范,人员及设备的一种自我管理审核;5.2、 外部审核(Exterior Audit /Second Party Assessment )<第二审核方>外部审核是由组织针对其外包商或供货商的运行体系,规范、人员及设备的一种管理审核;5.3、 认正审核(Third Part Assessment )<第三审核方>认证审核是由某一组织以付费方式向发证机械申请之审核,其目的在于通过某一国家或国际的品质/环境系统要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.2审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
技术专家--〈审核〉提供关于被审核的某个组织(3.3.1)、过程 (3.4.1)、活动或领域的专业支持的人员 。
审核员资格--个人的综合素质、教育、培训、工作经历、审核(3.9.1) 经历及能够一个人作为审核员(3.9.11)被委派所需要证实的能力的组 合 。 合格审核员--已成功通过了一个审核员鉴定过程(3.8.6)的人员。
3.3 审核方法
顺向追踪取证
逆向追踪取证
独立审核(部门审核) 过程审核(按条款审核) 注:审核的基本方法均采取抽样方式执行。
3.3 审核方法--顺向追踪取证
顺向追踪取证 从影响信息安全的因素跟踪到结束;
按照业务流程的自然顺序;
从文件要求跟踪到执行记录,确保要求的和实施的一致。 优点 系统连贯性强,可确认系统衔接整体情况。 缺点 费时(审核单项花费时间较长)。
3.4.3 审核证据—提问技巧
封闭式:主动简单的用“是与否”来询问。主要用于获 取专门信息,例如: 贵公司(组织)是否有信息安全管理手册; 贵公司(组织)是否有任命管理者代表; 贵公司(组织)是否有建立信息安全管理机构等。 优点 有主动权,省时,能把握重点,一针见血。
缺点
注:范围通常包括对地理位置、组织单元、活动和过程(3.4.1)以及被覆盖的时间段的表述。
准则--确定为依据的一组方针、程序(3.4.5)或要求(3.1.2)。 审核证据--可多方查证的与经协商的准则(3.9.4)有关的记录(3.7.6)、 事实陈述或其他信息(3.7.1) 注:审核证据可以是定性的或定量的。
审核--为获得审核证据(3.9.5)并对其进行客观的评价,以确定满足 经协商的准则(3.9.4)的程度所进行的系统的、独立的并形成文件的过 程(3.4.1)。
审核方案--针对特定的时间框架和特定的目的所策划的一组(一个或多 个)审核(3.9.1) 审核范围--审核(3.9.1)的广度和界限。
独立审核(部门审核)
以单个部门为中心,审核所涉及的相关职能业务; 部门所涉及条款。 优点 节约时间。 缺点 缺乏系统性的衔接,可能存在疏漏,审核准备时需充分考虑 相关因素,过程审核思路要清晰,审核组内部沟通要求高。
3.3 审核方法—过程审核
过程审核(部门审核)
以过程为中心; 一个过程要涉及多个部门、多个标准条款。 优点 系统性完整、全面,不易遗漏。 缺点 部门之间重复返往较多,费时、费事;
3.4.6 审核证据—提问技巧
澄清式:结合以上两项方法,用以获得更多专门的信息, 例如: 贵公司(组织)是否建立资产清单,想看看资产清单识 别要求与文件要求是不是一致,识别范围怎么超出文件 要求或识别范围不全面等。 优点 可获取更多专门信息。 缺点 带有个人主观导向,不能常用。
3.4.5 审核证据—开放式提问技巧
带主题问题--XX如何做? 扩展性问题--为什么这样做,依据? 讨论性问题--对询问问题过程表达个人观点。 调查性问题--觉得怎么样,有什么想法? 重复性问题--得到明确答案? 假设性问题--如果…则…? 验证性问题--麻烦您拿出相应证据?
3.1审核过程的控制
审核结果的控制;
合格与不合格要以事实为基础; 不合格事实要得到受审核方确认; 组内须相互沟通,保持统一意见。
3.2 首次会议
首次会议时间、地址及参加人员
首次会议内容和程序
人员介绍 简明审核目的与范围 重新陈述审核计划及人员安排 落实后勤安排 表明审核态度及原则 保密性承诺
组织的大小和性质
员体系覆盖员工数量 体系所涉及的范围 体系所涉及地点等
2.3 内部审核计划
2.3 内部审核计划
注:对以上审核日程及人员安排如有异议,请及时反馈。 拟制/日期:审核组长 批准/日期:信息安全领导小姐 组长
2.4 审核检查表的作用
明确与审核目标有关的样本
确保审核程序规范化 按检查的要求进行调研,可使用审核目标始终保持明确。 保持审核进度 作为审核记录存挡 减少重复或不必要的工作量 减少内审员的偏见或随意性。
3.3 审核方法--逆向追踪取证
逆向追踪取证 从已形成的结果追溯到影响因素的控制;
按照业务流程的逆向顺序;
从现场记录查询到到文件要求,确保实施的和要求的一致。 优点 从结果找问题,针对性强,有利于发现问题。 缺点 问题复杂时不易理清,对审核的知识面要求较高。
3.3 审核方法--独立审核
1.3审核概论—审核的内容
获得审核的证据 客观、公正的评价 确定满足审核准则的程度
1.4 审核概论—过程评价的基本问题
过程是否被识别并适当的规定? 职责是否分配? 程序是否得实施和保持? 在实施所要求的结果方面,过程是否有效。
1.5 审核概论—审核分类
第一方审核--(通常)指的是组织内部的自我审查改进。 第二方审核--(通常)指的是供方(提供商)或客户对组织的审核。 第三方审核--(通常)指的是认证机构对组织的审核。
2.2 确认审核组
审核员的资格—须参加信息管理体系内审员培训并获得“内审 员培训合格证书”。 审核的态度--确保审核的客观性与公正性。
注内审员不得审查自身或本部门工作。
Байду номын сангаас
审核组长—负责审核全过程及审核组管理工作。
审核员—在组长的审核安排下实施审核。
2.3 文件审核
目的 了解体系中的所有过程是否得到识别并适当管理; 了解过程文件满足审核准则程度; 对象 信息安全管理体系手册 信息安全管理体系程序文件 信息安全管理体系管理制度、办法、计划及指导书等; 准则 信息安全管理体系标准、合同、法律法规等。
不要属限于检查表项目,按实际现场审核时灵活查阅。
2.5 审核检查表举例
2.5 审核检查表举例
3 现场审核活动的实施
审核过程的控制
首次会议
审核方法 审核证据 不合格项报告 汇总分析 末次会议 审核报告
3.1审核过程的控制
审核计划的控制
审核活动的控制
抽样合理(一到三个) 辨别关键过程 评定主要因素 重视控制结果 注意相关影响 营造良好的气氛
对审核知识要求较高。
3.4.1 审核证据—证据获取原则
可作为证据原则 不可作为证据原则
存在客观的事实或情况
估计、猜想、分析、推测
受审人谈话过程并相应实物旁证
陪同人或其它无关人的谈话与传闻
现行有效文件及有效记录
过期或者作废文件,擅自涂改的记录等。
3.4.2 审核证据—提问技巧
查阅过程文件记录 观察现场情况 现场或查阅过程提问交流 现场测量验证
3.4.8 审核证据—案例2
审核员从网络管理员那里了解到,防火墙在每个星期五 早上都会定期失效,但查阅安全事件记录中却没有发现 这些事件的记录,网络管理员解释说他早就知道这个问 题了,所以没有必要再记录了。 请问以上回答能否作为审核证据?理由? 如果你是内审员你会怎么做?
注1:审核组的一个或多个人通常是合格审核员(3.9.14),并且其中之一通常被任命为审核组 长。审核组可包括接受培训的审核员。在需要时可包括技术专家(3.9.12)。 注2:观察员可以陪同审核组,但不作为成员。
审核员--被委派实施审核(3.9.1)的人员。
注:对所考虑的特定审核,审核员通常要具有必要的资格。
1.6 审核概论—内审目的
1.7 审核概论—审核时机、范围及频度
ISMS内审的时机、范围和频度
按计划时间间隔;
一般至少每年应覆盖ISMS所涉及的部门、过程一次; 最初建立体系时频度可适当多一些; 特殊情况: 发生重大信息安全事件或用户重大 投诉 组织机构、场地、信息方针、目标等发生了变化; 接受第二、三方审核前。
所获取的信息小。
3.4.4 审核证据—提问技巧
开放式:提问交流过程需要解释。主要用于获取全面信 息,例如: 贵公司(组织)有没有建立信息安全目标指标,如何管 理,实施结果,是否满足计划要求; 贵公司(组织)是否建立资产清单,如何评定重要资产, 如何管理维护等。 优点 可获取信息面较广。 缺点 被动,过程可能会出现等待证据提供时间。
3.4.7 审核证据—案例1
审核员在现场发现,全公司都使用同一个口令来登录内 部MIS系统,网络管理员解释说主要是为了节省向公司50 个用户分发和再次分发口令的时间,并且到目前为止也 好像没发现有什么问题,大家也觉得挺方便。 请问以上回答能否作为审核证据?理由?
如果你是内审员你会怎么做?
一 培训目的
了解体系审核的基本概念
掌握ISMS内部审核流程
掌握ISMS内部审核方法与技巧
二 培训内容
审核概论
审核策划与准备
审核实施
纠正及其跟踪
ISMS评价
1.1 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
1.2 审核概论--有关审核术语与定义
注:以下术语与定义参考GB/T 19000-2000 idt ISO9000:2000质量管理体系-基础和术语
审核发现--审核(3.9.1)的结果。 审核结论--审核组(3.9.10)在考虑了所有审核发现(3.9.6)以后得出的 审核(3.9.1)结果。 审核委托方--要求或请求审核(3.9.1)的组织(3.3.1)或个人 。 受审核方--被审核的组织(3.3.1)。 审核组--实施审核(3.9.1)的一个人或一组人。