ISO27001信息安全管理体系“持续改进”的解析
1、ISO27001标准8.1 持续改进理解要点
ISMS持续改进是永恒的话题。一个保持良好运行的ISMS信息安全管理体系,应该具备有效的持续改进机制。持续改进可以渐进的方式进行,也可以是革命性的项目式改进。重要的是,在组织中应培育积极改进的文化和意识,充分识别改进的机会,有计划地实施改进。任何改进计划的制定和实施,都应与风险管理的原则一致。
2、ISO27001标准8.2 纠正措施理解要点
任何不满足法律法规和适用标准、ISO27001标准、组织的管理体系要求的情况,都可判定为不符合。改变不符合的状态,使之符合要求,此为纠正。对发生不符合的原因进行调查分析,采取措施消除不符合原因,此为纠正措施。
一旦决定了需要采取的纠正措施,应制定明确的措施实施计划,实施纠正措施,并记录纠正措施实施的结果。
3、ISO27001标准8.3 预防措施理解要点
识别何时需要采取预防措施,需要组织具备常态的关注监视测量与分析活动、关注数据变化趋势的机制。采取预防措施,意味着针对潜在不符合启动风险评估和处置机制。
对于相应风险是否可接受进行评价的结果,即决定了是否需要采取措施和采取什么样的措施。
一旦决定了要采取的预防措施,应制定明确合理的措施实施计划,实施预防措施,并记录预防措施实施的结果。