10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27000信息安全管理体系-ISMS 改进:ISO27000信息安全管理体系-ISMS 改进
8 ISMS 改进
8.1 持续改进
组织应通过应用信息安全策略、安全目标、审核结果、监视事件的分析、纠正预防措施和管理评审(见第7章)持续改进ISMS的有效性。
8.2 纠正措施
组织应采取措施,消除与ISMS要求不符合的原因,以防止再发生。纠正措施文件程序应规定以下方面的要求:
a) 识别不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生所需的措施;
d) 确定和实施所需的纠正措施;
e) 记录所采取措施的结果(见4.3.3);
f) 评审所采取的纠正措施。
8.3 预防措施
组织应采取措施,以消除与ISMS要求不潜在不符合的原因,以防止发生。所采取的预防措施应与潜在问题的影响相适宜。预防措施文件程序应规定以下方面的要求:
a) 识别潜在不符合及其原因;
b) 评价预防不符合发生所需的措施;
c) 确定并实施所需的预防措施;
d) 记录所采取措施的结果(见4.3.3);
e) 评审所采取的预防措施。
组织应识别发生变化的风险,并通过关注变化显著的风险来识别预防措施要求。应根据风险评估结果来确定预防措施的优先级。
注:预防不符合的措施通常比纠正措施更成本有效。
8.1 持续改进
组织应通过应用信息安全策略、安全目标、审核结果、监视事件的分析、纠正预防措施和管理评审(见第7章)持续改进ISMS的有效性。
8.2 纠正措施
组织应采取措施,消除与ISMS要求不符合的原因,以防止再发生。纠正措施文件程序应规定以下方面的要求:
a) 识别不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生所需的措施;
d) 确定和实施所需的纠正措施;
e) 记录所采取措施的结果(见4.3.3);
f) 评审所采取的纠正措施。
8.3 预防措施
组织应采取措施,以消除与ISMS要求不潜在不符合的原因,以防止发生。所采取的预防措施应与潜在问题的影响相适宜。预防措施文件程序应规定以下方面的要求:
a) 识别潜在不符合及其原因;
b) 评价预防不符合发生所需的措施;
c) 确定并实施所需的预防措施;
d) 记录所采取措施的结果(见4.3.3);
e) 评审所采取的预防措施。
组织应识别发生变化的风险,并通过关注变化显著的风险来识别预防措施要求。应根据风险评估结果来确定预防措施的优先级。
注:预防不符合的措施通常比纠正措施更成本有效。
想了解更多的关于信息可以经常关注我们
【相关文章】
