10 改进
10.1 不符合和纠正措施
当发生不符合时,组织应:
a) 对不符合做出反应,适用时:
1) 采取措施控制并纠正不符合;
2) 处理后果;
b) 通过以下方法,评价采取消除不符合原因的措施的需求,防止不符合再发生,或在其他地方发生:
1) 评审不符合;
2) 确定不符合的原因;
3) 确定类似的不符合是否存在,或可能发生;
c) 实施需要的措施;
d) 评审所采取的纠正措施的有效性;
e) 必要时,对信息安全管理体系进行变更。
纠正措施应与所遇到的不符合的影响程度相适应。
组织应保留文件化信息作为以下方面的证据:
f) 不符合的性质及所采取的后续措施;
g) 纠正措施的结果。
10.2 持续改进
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。