简答题

审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项其中有30项已经采取了纠正措施，并且有纠正措施的验证记录，但有5项没有采取纠正措施，审核员据此开了不符合项，并结束了此项审核。这样的审核是否符合要求？为什么？如果请你去审核，你会怎么做？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

不符合要求。审核不够充分，没有继续跟踪审核整个内审过程的有效性，应作如下审核：（1）查组织内审程序，组织如何规定对未整改的不符合项的处理步骤。现场询问相关人员5项不符合未整改的原因。（2）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解已整改的30项的纠正措施实施情况，分析对不符合的原因确定是否充分，所实施的纠正错施是否有效：（3）所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力相适应。（4）组织是否评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施，反之可采取适当的风险控制措施后再次评估残余风险，再整改。综上，如果所有纠正措施符合风险要求。与相关影响相适宜，则纠正措施适宜。

解析：

【喵呜刷题小喵解析】该题目要求判断审核员在信息安全管理体系审核中的操作是否符合要求，并给出如果不符合的话应该如何进行审核。首先，审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项，并发现有30项已经采取了纠正措施且有验证记录，但有5项没有采取纠正措施。因此，审核员开了不符合项并结束了审核。然而，这种审核方式是不符合要求的。审核员没有继续跟踪审核整个内审过程的有效性，只是简单地检查了不符合项的处理情况，而没有深入分析整个内审过程的有效性和充分性。因此，如果我去审核，我会按照以下步骤进行：（1）查组织内审程序，了解组织如何规定对未整改的不符合项的处理步骤。同时，现场询问相关人员5项不符合未整改的原因，以了解具体情况。（2）询问相关人员或查阅相关资料（不符合项整改计划或验证记录），了解已整改的30项的纠正措施实施情况。分析对不符合的原因是否充分，所实施的纠正措施是否有效。（3）分析所采取的纠正措施是否与相关影响相适宜，如对业务的风险影响，风险控制策略和时间点目标要求，与组织的资源能力是否相适应。（4）评估所采取的纠正措施带来的风险，如果该风险可接受，则采取纠正措施；反之，可采取适当的风险控制措施后再次评估残余风险，再整改。最后，如果所有纠正措施符合风险要求，与相关影响相适宜，则纠正措施适宜。这样可以确保内审过程的有效性和充分性，从而确保信息安全管理体系的有效性和可靠性。

创作类型：

原创

本文链接：审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项其中有30项已经采取了纠正措施，

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！