8.3　實施評審

8.3　實施評審

組織批準評審計劃后，審核員根據商定的里程碑和日程執行計劃。

針對已選擇的評審對象應用設定的評審方法，并收集/形成與每個評審目的決策相關的必要信息，以此實現評審目的。審核員執行評審規程中作出的每一個判定陳述，宜為下列發現之一：

滿足（S）；

部分滿足（P）；

不滿足（O）。

滿足的評審發現表明，對于由判定申明所涉及的部分控制措施，獲得的評審信息（即評審證據）表明控制措施的評審目的已經達到并產生完全可以接受的結果（S）。部分滿足的評審發現表明在評審時，針對其目的，部分控制措施并未完全達到，或控制措施的實現仍在進行中，且保證控制措施將達到一個滿意的結果（P）。不滿足的發現表明，對于判定申明所涉及的部分安全控制措施，獲得的評審信息表明控制措施在操作或實現中有潛在的異常情況，可能需要組織解決相關問題（O）。不滿足的發現也可能表明在評審報告中說明的理由，審核員無法獲得足夠的信息來做出在判定申明中需要的特殊判定。

審核員宜根據控制措施評審中的發現形成公正的、基于事實的評審發現（即所做的判定）。對于每個不滿足的發現，審核員宜說明評審發現的情況影響了哪一部分的控制措施（即，那些被認為不滿足的或不能夠進行評審的控制措施），并描述控制措施與計劃和期待的狀態有何不同。審核員也宜注意那些不滿足的發現記錄對保密性、完備性和可用性的潛在影響。如果評審發現了可能會顯著增加組織風險的嚴重不符合項（即那些嚴重偏離計劃的狀況、“不滿意”的調查發現），審核員宜立即通知負責人和管理層，使其立即啟動風險降低程序。