10 改进

10.1 不符合和纠正措施

当发生不符合时，组织应：

a) 对不符合做出反应，适用时：

1) 采取措施控制并纠正不符合；

2) 处理后果；

b) 通过以下方法，评价采取消除不符合原因的措施的需求，防止不符合再发生，或在其他地方发生：

1) 评审不符合；

2) 确定不符合的原因；

3) 确定类似的不符合是否存在，或可能发生；

c) 实施需要的措施；

d) 评审所采取的纠正措施的有效性；

e) 必要时，对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响程度相适应。

组织应保留文件化信息作为以下方面的证据：

f) 不符合的性质及所采取的后续措施；

g) 纠正措施的结果。

10.2 持续改进

组织应持续改进信息安全管理体系的适宜性、充分性和有效性。