企业新闻

信息安全管理体系审核之审核发现audit findings

2018-04-13 10:39:13 | 来源:中培企业IT培训网

4.审核发现audit findings

将收集到的审核证据对照审核准则进行评价的结果,审核发现能表明符合或不符合审核准则,或指出改进的机会。

审核发现可以分为符合项和不符合项( Nonconformity)。

“不符合项”是指不符合已定义的要求的任何缺陷、不足或应有改进的机会。例如, 不符合相关标准(如ISO/IEC 27001:2005,或IS0 9001:2000等)的要求,或不符合相关法律法规的要求与合同的要求,或不符合本组织的方针与程序文件等的规定等。 通常,不符合项按其严重程度可分为:

1)重大不符合项( major nonconformity)

ISMS有重大不符合要求的事项,或严重不符合项,包括:

(1)缺少,或不执行一个以上所需要的体系要素(如ISO/IEC 27001: 2005标准4~ 8章中任何一条要求,或ISMS方针和程序);

(2)对于其实践能否满足已识别的要求,有重大怀疑;

(3) -般不符合事项若持久稳固的存在,则可作为(或升级到)重大不符合事项。

2) -般不符合项(minor nonconformity)

不会造成管理体系崩溃的、很容易纠正的较轻的,或其实践不会被怀疑不满足已识别的要求的不符合事项。例如,在执行ISMS体系期间,出现的记录不够完整,或个别缺陷未能在所商定的时间期限内加以纠正等。

3)观察项( observation)

当时不会对信息安全造成有意义的影响,但审核员认为可能有潜在影响的一种发现。 对于观察项,审核员需要在下一次审核时进行跟踪澄清。

标签: 审核发现

猜你喜欢