4.審核發現audit findings

將收集到的審核證據對照審核準則進行評價的結果，審核發現能表明符合或不符合審核準則，或指出改進的機會。

審核發現可以分為符合項和不符合項( Nonconformity)。

“不符合項”是指不符合已定義的要求的任何缺陷、不足或應有改進的機會。例如， 不符合相關標準（如ISO/IEC 27001：2005，或IS0 9001：2000等）的要求，或不符合相關法律法規的要求與合同的要求，或不符合本組織的方針與程序文件等的規定等。 通常，不符合項按其嚴重程度可分為：

1)重大不符合項( major nonconformity)

ISMS有重大不符合要求的事項，或嚴重不符合項，包括：

(1)缺少，或不執行一個以上所需要的體系要素（如ISO/IEC 27001: 2005標準4～ 8章中任何一條要求，或ISMS方針和程序）；

(2)對于其實踐能否滿足已識別的要求，有重大懷疑；

(3) -般不符合事項若持久穩固的存在，則可作為（或升級到）重大不符合事項。

2) -般不符合項(minor nonconformity)

不會造成管理體系崩潰的、很容易糾正的較輕的，或其實踐不會被懷疑不滿足已識別的要求的不符合事項。例如，在執行ISMS體系期間，出現的記錄不夠完整，或個別缺陷未能在所商定的時間期限內加以糾正等。

3)觀察項( observation)

當時不會對信息安全造成有意義的影響，但審核員認為可能有潛在影響的一種發現。 對于觀察項，審核員需要在下一次審核時進行跟蹤澄清。