remote-audit-header-blog-dqs-digital networking worldwide

ISO審核中的多點抽樣如何運作以及這對您的業務意味著什麼

Brad Fabiny

DQS Product Manager - Cyber Security and ISO 27001, ISO 9001 auditor
3月 13 , 2026

如果您的組織在多個辦公地點運營,那麼在考慮 ISO 認證時,您首先可能會問的問題之一是:

“我們所有的網站都需要接受審核嗎?”

簡而言之:並非總是如此

在特定條件下,認證機構可以申請多點採樣這意味著只需審核部分地點,而非全部地點。這可以顯著減少審核時間、成本和中斷。

請注意,組織可能擁有不在 ISO 認證範圍內且未包含在認證中的場所。

在本文中,我們將解釋多點抽樣的工作原理、適用情況,以及澳洲和紐西蘭的決策者在依賴多點抽樣之前應該考慮哪些因素。

什麼是多點採樣?

多地點抽樣是 ISO 認證審核(包括 ISO 9001、ISO 14001、ISO 27001 等)中國際公認的方法。

認證機構並非審核每個地點,而是審核:

  • 你的總部/中央職能部門, 和
  • 一個部分營運場所

然後根據結果確定您的整個組織是否符合標準。

這種方法受國際認證規則的約束,並受到認證機構的密切監督,例如: JAS-ANZ在澳洲和紐西蘭。

何時允許進行多點取樣?

並非所有擁有多個辦公地點的機構都符合抽樣條件。要符合條件,您的機構通常必須滿足以下關鍵條件:

1. 集中式管理系統

您必須具備:

  • 一個整合管理系統
  • 集中控制的政策和程序
  • 所有地點均採用一致的流程

例如:

  • 一本優質手冊
  • 一套資訊安全策略套件
  • 一種風險管理框架

本地站點可以有細微差別,但核心系統必須相同。

2. 中央控制和監督

您的總部必須擁有以下權限:

  • 內部稽核
  • 管理評審
  • 糾正措施
  • 政策更新
  • 效能監控

如果每個站點獨立運作,通常不允許進行抽樣。

3. 各站點間的相似活動

所有地點都應執行實質上類似的工作

當採樣地點符合以下條件時,採樣效果良好:

  • 提供相同或基本相似的服務
  • 使用相同的系統
  • 遵循相同的流程

當網站運作方式不同時,這種方法就不太適用。

4. 已驗證的系統成熟度

認證機構會尋找證據證明您的系統符合以下條件:

  • 始終如一地執行
  • 有據可查
  • 主動監測
  • 內部稽核

系統不成熟或分散的組織可能需要接受全站審核。

樣本量是如何計算的?

接受審核的網站數量並非隨機分配,而是遵循既定的公式。

大多數情況下,認證機構使用:

站點數量的平方根,然後向上取整

例如

如果您有:

  • 包括中央辦公室在內的16個站點

樣本量 ≈ √16 = 4 個位點

因此,審核可能包括:

  • 總公司
  • 4個營運地點

總計:5 個地點接受審計

真實案例

設施管理公司,擁有:

  • 全國25個服務點

計算:

√25 = 5

審計範圍可能包括:

  • 總公司
  • 5個隨機選擇的站點

而不是對所有 25 個地點進行審核。

網站是如何選擇的?

為了保持獨立性,認證機構通常會控制選址。

他們可能:

  • 隨機選擇站點
  • 審計週期之間輪換站點
  • 包括高風險或高流量地點
  • 目標網站有過往問題

你不能每次審核都只選擇「容易」的地點。隨著時間的推移,大多數地點都會接受審核。

認證週期中的抽樣運作方式

ISO認證通常是一種三年週期

第一年:認證審核(第二階段)

  • 總部接受審核。
  • 初步抽取部分網站進行審核。
  • 系統有效性已驗證

第二年和第三年:監督審核

  • 每次監督審核都會對新的站點樣本進行審核。
  • 關注變化和績效
  • 問題站點或高風險站點通常會優先考慮。

第四年:重新認證審核

  • 較大樣本
  • 全面系統重新評估

在整個週期中,認證機構的目標是建立以下方面的信心:所有網站均保持合規狀態。 

範例:ISO 27001 多站點認證

考慮一家具備以下條件的IT服務公司:

  • 總部位於奧克蘭
  • 12個區域支援中心
  • 集中式安全控制

他們實施了以下措施:

  • 一個資訊安全管理體系
  • 中央SOC
  • 中央事件管理
  • 統一存取控制

他們可能符合抽樣條件。

計算

使用平方根方法:

√12 = 3.46,向上取整約為 4

審計可能包括:

  • 奧克蘭總部
  • 4個支援中心

如果這些站點表現出高度合規性,則認證範圍將擴展至所有地點。但是,如果發現重大缺陷,則可能會停止抽樣。

當不允許抽樣時

在以下情況下,多點採樣通常會被拒絕:

❌ 各網站獨立運營

每個分支機構或地點都自行管理其係統、政策和風險

❌ 不同的服務或風險

每個辦公地點或辦事處提供的服務各不相同,因此面臨的風險也各不相同。例如,以下結構如下:

  • 部分工廠正在生產
  • 在其他倉庫
  • 總部研發部門

這些情況和設定需要全面覆蓋。

❌ 過往業績不佳

如果在不同地點反覆發現不符合項,審核員可能會擴大審核範圍,以確保總部對管理系統的推廣實施有足夠的監督。

❌ 外包或加盟模式

特許經營網絡往往難以獲得認證,除非有強大的中央控制。

決策者的風險與責任

抽樣可以減少審核工作量,但會增加責任。

當您接受抽樣時:

您接受共同風險

一個站點發生重大故障可能會影響所有站點的認證。

例如:
一家分行發生嚴重的資訊安全漏洞可能會引發更廣泛的調查。

你必須保持一致性

高階管理人員必須確保:

  • 政策在各地都得到執行。
  • 訓練始終如一
  • 審核涵蓋所有內部站點
  • 問題由中央統一上報。

抽樣只有在治理健全的情況下才能發揮作用。

你必須在任何地方都做好「審核準備」。

即使今年沒有選址,也必須符合規定。

如果出現任何問題,認證機構可以隨時擴大抽樣範圍。

在申請多站點認證之前需要問的問題

決策者在做出決定前應該問自己:

  1. 我們究竟是在運作一個系統,還是多個不同的系統?
  2. 總部能否強制所有分公司遵守相關規定?
  3. 我們的內部稽核是否有效涵蓋了所有站點?
  4. 我們是否有完善的訓練和入職流程?
  5. 我們能否展現集中式風險管理?

如果其中幾個問題的答案是“否”,那麼抽樣可能還不現實。

 

最終思考:多點抽樣適合您嗎?

對於擁有多個辦公地點的成長型企業而言,多地點抽樣可以使 ISO 認證更容易獲得。

它最適用於以下類型的企業:

  • 強而有力的中央領導
  • 成熟系統
  • 各站點營運保持一致
  • 有效的內部稽核

對某些組織而言,抽樣可以帶來真正的價值。而對於其他組織而言,抽樣可能會暴露出薄弱環節,最終導致審查力度加大和成本增加。

決策者需注意的關鍵要點

多點抽樣不是捷徑,而是良好治理的體現。

如果您的組織作為一個整體系統運作,抽樣可以顯著減少認證工作量。否則,審核過程很快就會揭示出問題所在。

Author

Brad Fabiny