信息安全管理体系审核之审核发现audit findings

4.审核发现audit findings

将收集到的审核证据对照审核准则进行评价的结果，审核发现能表明符合或不符合审核准则，或指出改进的机会。

审核发现可以分为符合项和不符合项( Nonconformity)。

“不符合项”是指不符合已定义的要求的任何缺陷、不足或应有改进的机会。例如， 不符合相关标准（如ISO/IEC 27001：2005，或IS0 9001：2000等）的要求，或不符合相关法律法规的要求与合同的要求，或不符合本组织的方针与程序文件等的规定等。 通常，不符合项按其严重程度可分为：

1)重大不符合项( major nonconformity)

ISMS有重大不符合要求的事项，或严重不符合项，包括：

(1)缺少，或不执行一个以上所需要的体系要素（如ISO/IEC 27001: 2005标准4～ 8章中任何一条要求，或ISMS方针和程序）；

(2)对于其实践能否满足已识别的要求，有重大怀疑；

(3) -般不符合事项若持久稳固的存在，则可作为（或升级到）重大不符合事项。

2) -般不符合项(minor nonconformity)

不会造成管理体系崩溃的、很容易纠正的较轻的，或其实践不会被怀疑不满足已识别的要求的不符合事项。例如，在执行ISMS体系期间，出现的记录不够完整，或个别缺陷未能在所商定的时间期限内加以纠正等。

3)观察项( observation)

当时不会对信息安全造成有意义的影响，但审核员认为可能有潜在影响的一种发现。 对于观察项，审核员需要在下一次审核时进行跟踪澄清。