ISO 27001认证第9 条中的不符合项

ISO27001认证，由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：

信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。

推行认证的目的：企服快车面：信息化在中小企业的发展过程中，对节约企业成本和达到有效管理其道理积极作用。另企服快车面：

ISO 27001:2013 的第 9 条“绩效评估”中常见的不符合项

自附件 SL（实际上在此之前）以来，评估绩效在所有管理体系标准中都是通用的，这些发现也出现在其他标准审核中，唯一的区别是 ISO 27001:2013 独有的附录 A 控制的审核和绩效。

第 9 节绩效评估是计划执行检查法 (PDCA) 周期的“检查”步骤，此信息图显示了与 PDCA 步骤一致的各种附件 SL 标准的条款，ISO 27001认证这是组织检查两个最重要因素的时候：

其信息安全性能；

ISMS 的有效性；

这是组织向内凝视自我的时候，需要尽可能客观和公正，才能从中获得最大的价值，所有组织都对各种业务功能进行检查，例如销售目标和客户服务，因此应同样仔细检查安全性。

ISO 27001认证监测、测量、分析和评估

附件 SL 是基于流程和风险的标准。这意味着信息安全的性能监控必须是：

基于管理体系范围内的交互过程；

偏向于对组织最重要的那些流程和信息资产，例如更高的风险。

该标准要求组织考虑需要监视和测量的内容、将如何监视、何时以及由谁进行监视以及何时以及由谁进行结果评估。在某些情况下，由于没有证据表明已遵守 9.1，因此提出了重大不符合项。

但通常会出现不符合项，因为定义的测量要求很少，加上这一点，我们的审计师经常发现所识别的项目有不适当的指标或 KPIS。这也可能表明信息安全目标尚未完全定义，因为需要衡量实现这些目标的进度。

ISO 27001内部审计

与 ISO 27001:2013 中的任何其他条款相比，针对内部审核提出的不符合项更多，不进行内部审计或错过范围内的地点会引发严重的不符合项，这可能是由于组织未计划任何审核或已计划但未执行，缺乏内部审核会阻止组织从第 1 阶段进展到第 2 阶段，并阻止在第 2 阶段之后授予认证。

该标准规定内部审核应按计划的时间间隔进行，但并未建议适当的频率，但是，管理体系认证以三年为周期进行，因此我们期望涵盖所有管理体系要求，并在风险基础上对适用性声明控制进行抽样。

当审核计划不适合风险或对范围缺乏足够的覆盖时，就会出现轻微的不符合项，特别是，范围内的所有物理位置都必须经过审核，并且远程设施被排除在计划之外的情况也并非未知，有时会看到所有管理体系的审核计划，但没有附件 A 控制，反之亦然。