書面審查後，如無疑問，會安排進行實地審查(有極少部分的機率在書面審查後驗證公司會評估暫停稽核安排，延後或取消實地審查)，並要求對書面審查的發現/建議事項進行改善

依據組織的規模不同，ISO 19011:2011 & ISO27006:2015有要求對應的稽核工作人天數與認證要求
以本公司為例：

1. 驗證範圍人數落在30-40人上下
2. 驗證雙系統
3. 單一場域

因此對應標準要求，驗證公司安排了：一天三名稽核員，兩天共六稽核人天加上一名觀察員的稽核行程．

在收到稽核員提供的稽核計劃後，我會做以下行為：

• 先借會議室(畢竟限量是殘酷的，沒會議室的話稽核員就要坐在同仁座位旁邊盯著你的電腦螢幕)
• 依照稽核計劃，安排對應接受稽核的各單位人員待命
  • 建議每間會議室，一個稽核員要有一名資安人員陪同
• 確認受稽核的各單位人員是否都有上過內外部稽核的教育訓練或是了解相關受稽核的技巧
• 申請門禁卡

實地審查當天就是一系列的確認標準要求的控制項是否存在，稽核員會對他被分配到的控制領域詳細記錄他看到的證據．如果對於稽核員當下提出的建議或是發現事項，建議雙方要對內容取得共識，避免寫進結束會議簡報後，在結束會議上熱烈討論的狀況發生

稽核當下要注意：

1. 確認發現事項等級
2. 確認發現事項內容
3. 確認受稽核單位同仁/主管＆資安單位同仁皆理解該發現事項是否確實存在
4. 確認稽核員紀錄的佐證資料是明確對應到該發現事項

結束會議：說明本日的任何發現/建議事項，如有不符合等級事項，會要求在壹定天數內完成改善後提交改善紀錄給驗證機構，接著驗證機構會向上級組織推薦公司可以發證書

謝謝各位這30天的耐心閱讀，希望各位資安人都身體健康，守護好自己與家人及公司的安全！