简答题

审核员在质量保证部査看了去年信息安全管理体系中开出的不符合项共35项，其中有30项已经釆取了纠正措施，并且有纠正措施的验证记录，但有5项没有釆取纠正措施，审核员据此开了不符合项，并结束了此项审核。这样的审核是否符合要求？为什么？如果请你去审核，你会怎么做？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

不符合要求。审核不够充分，没有继续跟踪审核整个内审过程的有效性，应作如下审核：（1）查组织内审程序，组织如何规定对未整改的不符合项的处理步骤。现场询问相关人员5项不符合未整改的原因。 (2)询问相关人员或査阅相关资料(不符合项整改计划或验证记录)，了解已整改的30项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效； (3)所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。 (4)组织是否评估所釆取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的风险控制措施后再次评估残余风险，再整改。综上，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。

解析：

【喵呜刷题小喵解析】这个题目的主要焦点是评估一个审核过程是否符合要求，并且如果审核员自己进行审核，会采取何种方式。首先，从题目给出的信息中，我们可以看到审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项，其中有30项已经采取了纠正措施，并且有纠正措施的验证记录，但有5项没有采取纠正措施。这里，审核员只是基于这5项没有采取纠正措施的不符合项开了不符合项，并结束了审核。这样的审核过程是不符合要求的，因为审核员没有继续跟踪审核整个内审过程的有效性。如果我去审核，我会首先查看组织的内审程序，了解对未整改的不符合项的处理步骤，并询问相关人员5项不符合未整改的原因。接着，我会询问相关人员或查阅相关资料，了解已整改的30项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正措施是否有效。我还会检查所采取的纠正措施是否与相关影响相适宜，与组织的资源能力相适应。最后，我会评估组织是否评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的风险控制措施后再次评估残余风险，再整改。通过这样的审核过程，我可以确保所有的纠正措施都符合风险要求，与相关影响相适宜，从而确保纠正措施的适宜性。这样的审核过程才符合要求，能够确保组织的信息安全管理体系的有效性和完整性。

创作类型：

原创

本文链接：审核员在质量保证部査看了去年信息安全管理体系中开出的不符合项共35项，其中有30项已经釆取了纠正措施

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！