Eine Major Nonconformity liegt vor, wenn ein Audit eine schwerwiegende Abweichung von einer Normanforderung feststellt. Typischerweise fehlt ein ganzer geforderter Prozess, oder ein vorhandener Prozess funktioniert systematisch nicht wie vorgesehen. Bei ISO-27001-Zertifizierungen führt eine Major Nonconformity dazu, dass das Zertifikat erst erteilt wird, wenn Du die Abweichung nachweislich behoben hast. Die Zertifizierungsstelle räumt Dir dafür in der Regel eine Frist von 90 Tagen ein. Du solltest die Ursache der Abweichung analysieren (Root Cause Analysis) und sowohl die Korrektur als auch die Korrekturmaßnahme dokumentieren.