ISO/IEC 27001: 2022标准解读(24)正文 10 改进/10.2 不符合及纠正措施

ISO/IEC 27001:2013标准 正文 10 改进/10.1 不符合及纠正措施

10.1 不符合及纠正措施

当发生不符合时,组织应:

a) 对不符合做出反应,适用时:
1) 采取措施,以控制并予以纠正;
2) 处理后果;

b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生:
1) 评审不符合;
2) 确定不符合的原因;
3) 确定类似的不符合是否存在,或可能发生;

c) 实现任何需要的措施;

d) 评审任何所采取的纠正措施的有效性;

e) 必要时,对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响相适合。

组织应保留文件化信息作为以下方面的证据:

f) 不符合的性质及所采取的任何后续措施;

g) 任何纠正措施的结果。

标准解析:

  1. 本条款要求基本与ISO 9001:2015要求是一致的,因此在实施过程中,无需单独形成程序文件,只要把ISO 9001:2015体系中《不符合控制程序》适用范围扩大至信息安全管理体系即可(可适当增加信息安全内容);
  2. 发现不符合可以是在信息安全管理体系的运行过程中,不符合也可以是来自内部审核、外部审核等;
  3. 发现不符合后,应采取措施,如立即纠正不符合,原因分析,防止再次发生的措施,措施有效性评价等(如,不符合项报告等)。

实施本条款应输出的文档

  1. 《不符合控制程序》;
  2. 不符合项报告、不符合问题整改跟踪记录等;
  3. 信息安全事故(或异常)处理记录。

本条款审核要点:

  1. 内外部审核不符合事项及其整改记录;
  2. 信息安全事故(或异常)处理记录;
  3. 信息安全目标以及绩效监测记录,未达标整改记录;
  4. 信息安全运行记录(如机房点检巡检记录,安全软件监控记录等),以及异常情况的整改跟踪记录。