ISO/IEC 27001: 2022标准解读(23)正文 10 改进/10.1 持续改进
| ISO/IEC 27001:2013标准 正文 10 改进/10.2 持续改进 |
10.2 持续改进 组织应持续改进信息安全管理体系的适宜性、充分性和有效性。 |
标准解析:
- 信息安全管理体系的适宜性、充分性和有效性在“9.3 管理评审”中有提到,管理评审的主要目的就是要确保信息安全管理体系的适宜性、充分性和有效性,而本条款的要求则是要持续改进信息安全管理体系的适宜性、充分性和有效性;
- 信息安全管理体系的适宜性、充分性和有效性应力求做到更好,没办法做到极致的,因此必须对信息安全管理体系的适宜性、充分性和有效性进行持续改进;
- 在管理评审输出的报告必须有持续改进的机会,并且对改进机会的实施要进行跟踪和记录;
- 管理评审只是信息安全管理体系持续改进的一种形式,其他还包括,信息安全周例会(月度总结,年度总结),内部审核和外部审核,文件评审和修订,信息安全方针和目标评审等。
实施本条款应输出的文档:
- 《持续改进控制程序》;
- 管理评审记录;
- 信息安全周例会(月度总结,年度总结)记录,内部审核和外部审核记录,文件评审和修订记录,信息安全方针和目标评审记录,渗透测试记录等。
本条款审核要点:
- 《持续改进控制程序》;
- 管理评审报告及改进机会跟踪情况;
- 信息安全周例会(月度总结,年度总结)记录及问题跟踪情况;
- 信息安全方针和目标评审和修订记录;
- 渗透测试记录及整改记录。
