iso27001信息安全管理手册
信息安全管理体系改进
持续改进
本公司制定和实施《纠正措施管理程序》、《预防措施管理程序》《内部审核管理程序》等文件,通过下列途径持续改进信息安全管理体系的有效性:
a) 通过信息安全管理体系方针的建立与实施,对持续改进做出正式的承诺; b) 通过建立信息安全管理体系目标明确改进的方向;
c) 通过内部审核不断发现问题,寻找体系改进的机会并予实施,详见《内部审核管理程序》;
d) 通过数据分析不断寻求改进的机会,并做出适当的改进活动安排,详见《纠正措施管理程序》;
e) 通过实施纠正和预防措施实现改进,详见《纠正措施管理程序》和《预防措施管理程序》;
f) 通过管理评审输出的有关改进措施的实施实现改进,详见本手册第7章。 纠正措施
8.2.1 行政中心负责建立并实施《纠正措施管理程序》,采取纠正措施,消除与信息安全管理体系要求不符合的原因,以防止再发生。
8.2.2 《纠正措施管理程序》应规定以下方面的要求:
a) 识别存在的不符合; b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求; d) 确定和实施所需的纠正措施; e) 记录所采取措施的结果; f) 评审所采取的纠正措施。 预防措施
8.3.1 行政中心建立并实施《预防措施管理程序》,规定采取以下措施,以消除潜在与信息安全管理体系要求不符合的原因,防止其发生。
8.3.2 所采取的预防措施应与潜在问题的影响程度相适应。 8.3.3 《预防措施管理程序》应规定以下方面的要求:
a) 识别潜在的不符合及其原因;
23
iso27001信息安全管理手册
b) 评价预防不符合发生的措施要求; c) 确定并实施所需的预防措施; d) 记录所采取措施的结果; e) 评审所采取的预防措施。
8.3.4 公司风险评估小组应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。
24