ISO27001信息安全管理手册(6)

iso27001信息安全管理手册

信息安全管理体系改进

持续改进

本公司制定和实施《纠正措施管理程序》、《预防措施管理程序》《内部审核管理程序》等文件，通过下列途径持续改进信息安全管理体系的有效性：

a) 通过信息安全管理体系方针的建立与实施，对持续改进做出正式的承诺； b) 通过建立信息安全管理体系目标明确改进的方向；

c) 通过内部审核不断发现问题，寻找体系改进的机会并予实施，详见《内部审核管理程序》；

d) 通过数据分析不断寻求改进的机会，并做出适当的改进活动安排，详见《纠正措施管理程序》；

e) 通过实施纠正和预防措施实现改进，详见《纠正措施管理程序》和《预防措施管理程序》；

f) 通过管理评审输出的有关改进措施的实施实现改进，详见本手册第7章。 纠正措施

8.2.1 行政中心负责建立并实施《纠正措施管理程序》，采取纠正措施，消除与信息安全管理体系要求不符合的原因，以防止再发生。

8.2.2 《纠正措施管理程序》应规定以下方面的要求：

a) 识别存在的不符合； b) 确定不符合的原因；

c) 评价确保不符合不再发生的措施要求； d) 确定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。 预防措施

8.3.1 行政中心建立并实施《预防措施管理程序》，规定采取以下措施，以消除潜在与信息安全管理体系要求不符合的原因，防止其发生。

8.3.2 所采取的预防措施应与潜在问题的影响程度相适应。 8.3.3 《预防措施管理程序》应规定以下方面的要求：

a) 识别潜在的不符合及其原因；

23

iso27001信息安全管理手册

b) 评价预防不符合发生的措施要求； c) 确定并实施所需的预防措施； d) 记录所采取措施的结果； e) 评审所采取的预防措施。

8.3.4 公司风险评估小组应定期进行风险评估，以识别变化的风险，并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。

24

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库ISO27001信息安全管理手册(6)在线全文阅读。