ISO27001信息安全管理体系“持续改进”的解析

ISMS持续改进是永恒的话题｡一个保持良好运行的ISMS信息安全管理体系,应该具备有效的持续改进机制｡持续改进可以渐进的方式进行,也可以是革命性的项目式改进｡重要的是,在组织中应培育积极改进的文化和意识,充分识别改进的机会,有计划地实施改进｡任何改进计划的制定和实施,都应与风险管理的原则一致｡

 

2､ISO27001标准8.2 纠正措施理解要点

任何不满足法律法规和适用标准､ISO27001标准､组织的管理体系要求的情况,都可判定为不符合｡改变不符合的状态,使之符合要求,此为纠正｡对发生不符合的原因进行调查分析,采取措施消除不符合原因,此为纠正措施｡

 

一旦决定了需要采取的纠正措施,应制定明确的措施实施计划,实施纠正措施,并记录纠正措施实施的结果｡

 

3､ISO27001标准8.3 预防措施理解要点

识别何时需要采取预防措施,需要组织具备常态的关注监视测量与分析活动､关注数据变化趋势的机制｡采取预防措施,意味着针对潜在不符合启动风险评估和处置机制｡

对于相应风险是否可接受进行评价的结果,即决定了是否需要采取措施和采取什么样的措施｡

一旦决定了要采取的预防措施,应制定明确合理的措施实施计划,实施预防措施,并记录预防措施实施的结果｡