ISO 27001不遵守

Question

比如说，一家小公司刚刚获得了ISO 27001认证。如果在其中一次审计中发现公司没有遵循这些原则，会发生什么？公司是否必须经过某种警告程序？我基本上想知道，是否有国际标准化组织27001认证被撤销的例子，以及如何？

Answer 1

我无法在国际标准化组织网站或任何其他相关网站上找到任何关于这一特定的ISO 97001的任何信息。但是我看到你放置了一个ISO 27000标签，你提到了ISMS，所以我想你说的是ISO 27001，也就是信息安全管理系统。

通常，随着所有ISO认证，一旦你被认证证书，定期的监督审核将不得不进行。如果你有重大缺陷，审计师会给你一定的时间采取纠正措施。如果在给定的时间之后，您没有成功地实现这些纠正操作或调整了您的流程，则将/可以颁发证书吊销。

您实现ISO 27001的主要原因是为了涵盖业务风险。如果您看到您有ISO 27001，但实际上您没有使用框架中定义的控件，除非有审计，那么您的公司内部存在严重的安全心理问题。还请注意，如果发生了严重的事件，并且显示没有遵循框架中定义的控件，那么框架/证书将不再涵盖您。

Answer 2

嗯，并不是所有的不符合都应该被一视同仁，这就是为什么我认为信息安全标准是主观的。

说到可能(不一定是有限的)适用于这里的情景：

1. 需要改进而不是不符合要求，并需要后续监督审核(与年度不同)。
2. 一个不符合，并取消认证。在这种情况下，为了再次获得认证，需要进行全面的认证工作。

HTH，