ISO27001:2013 的第 9 条“绩效评估”中常见的不符合项

中标通认证介绍，自附件 SL（实际上在此之前）以来，评估绩效在所有管理体系标准中都是通用的，这些发现也出现在其他标准审核中，唯一的区别是 ISO 27001:2013 独有的附录 A 控制的审核和绩效。

第 9 节绩效评估是计划执行检查法 (PDCA) 周期的“检查”步骤，此信息图显示了与 PDCA 步骤一致的各种附件SL标准的条款，ISO27001认证这是组织检查两个最重要因素的时候：

其信息安全性能；

ISMS 的有效性；

这是组织向内凝视自我的时候，需要尽可能客观和公正，才能从中获得最大的价值，所有组织都对各种业务功能进行检查，例如销售目标和客户服务，因此应同样仔细检查安全性。

ISO27001认证监测、测量、分析和评估

附件SL是基于流程和风险的标准。这意味着信息安全的性能监控必须是：

基于管理体系范围内的交互过程；

偏向于对组织最重要的那些流程和信息资产，例如更高的风险。

该标准要求组织考虑需要监视和测量的内容、将如何监视、何时以及由谁进行监视以及何时以及由谁进行结果评估。在某些情况下，由于没有证据表明已遵守 9.1，因此提出了重大不符合项。 

但通常会出现不符合项，因为定义的测量要求很少，加上这一点，我们的审计师经常发现所识别的项目有不适当的指标或 KPIS。这也可能表明信息安全目标尚未完全定义，因为需要衡量实现这些目标的进度。

ISO27001内部审计

与 ISO 27001:2013 中的任何其他条款相比，针对内部审核提出的不符合项更多，不进行内部审计或错过范围内的地点会引发严重的不符合项，这可能是由于组织未计划任何审核或已计划但未执行，缺乏内部审核会阻止组织从第 1 阶段进展到第 2 阶段，并阻止在第 2 阶段之后授予认证。

该标准规定内部审核应按计划的时间间隔进行，但并未建议适当的频率，但是，管理体系认证以三年为周期进行，因此我们期望涵盖所有管理体系要求，并在风险基础上对适用性声明控制进行抽样。

当审核计划不适合风险或对范围缺乏足够的覆盖时，就会出现轻微的不符合项，特别是，范围内的所有物理位置都必须经过审核，并且远程设施被排除在计划之外的情况也并非未知，有时会看到所有管理体系的审核计划，但没有附件 A 控制，反之亦然。