问答题
4分
47.审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项,其中有 30项己经采取了纠正措施,并且有纠正措施的验证记录,>但有5项没有采取纠正措施,审 核员据此开了不符合项,并结束了此...
47.审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项,其中有 30项己经采取了纠正措施,并且有纠正措施的验证记录,>但有5项没有采取纠正措施,审 核员据此开了不符合项,并结束了此项审核。这样的审核是否符合要求?为什么?如果请你 去审核,你会怎么做?
参考解析: 答:不符合要求。审核不够充分,没有继续跟踪5项不符合的根本原因,应作如下审核:
(1)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符 合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策 略和时间点目标要求,与组织的资源能力相适应。
(3)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反 之可采取适当的控制措施即^^
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。