A.认证机构宜能够针对客户组织的与信息安全有关的资产威胁、脆弱性和影响制定监督方案,并判断方案的合理性
B.认证机构的监督方案应由认证机构和客户共同来制定
C.监督审核可以与其他管理体系的审核相结合
D.认证机构应对认证证书的使用进行监督