4.審核發(fā)現(xiàn)audit findings

將收集到的審核證據(jù)對照審核準(zhǔn)則進行評價的結(jié)果，審核發(fā)現(xiàn)能表明符合或不符合審核準(zhǔn)則，或指出改進的機會。

審核發(fā)現(xiàn)可以分為符合項和不符合項( Nonconformity)。

“不符合項”是指不符合已定義的要求的任何缺陷、不足或應(yīng)有改進的機會。例如， 不符合相關(guān)標(biāo)準(zhǔn)（如ISO/IEC 27001：2005，或IS0 9001：2000等）的要求，或不符合相關(guān)法律法規(guī)的要求與合同的要求，或不符合本組織的方針與程序文件等的規(guī)定等。 通常，不符合項按其嚴(yán)重程度可分為：

1)重大不符合項( major nonconformity)

ISMS有重大不符合要求的事項，或嚴(yán)重不符合項，包括：

(1)缺少，或不執(zhí)行一個以上所需要的體系要素（如ISO/IEC 27001: 2005標(biāo)準(zhǔn)4～ 8章中任何一條要求，或ISMS方針和程序）；

(2)對于其實踐能否滿足已識別的要求，有重大懷疑；

(3) -般不符合事項若持久穩(wěn)固的存在，則可作為（或升級到）重大不符合事項。

2) -般不符合項(minor nonconformity)

不會造成管理體系崩潰的、很容易糾正的較輕的，或其實踐不會被懷疑不滿足已識別的要求的不符合事項。例如，在執(zhí)行ISMS體系期間，出現(xiàn)的記錄不夠完整，或個別缺陷未能在所商定的時間期限內(nèi)加以糾正等。

3)觀察項( observation)

當(dāng)時不會對信息安全造成有意義的影響，但審核員認為可能有潛在影響的一種發(fā)現(xiàn)。 對于觀察項，審核員需要在下一次審核時進行跟蹤澄清。