ISO/IEC 27001: 2022标准 正文 10 Improvement 改进/10.1 Continual improvement 持续改进

10.1 Continual improvement 持续改进

The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。
ISO/IEC 27001:2013标准 正文 10 改进/10.2 持续改进

10.2 持续改进

组织应持续改进信息安全管理体系的适宜性、充分性和有效性。

标准解析:

  1. 新版中的10.1与ISO/IEC 27001:2013中的10.2内容是一样的,只是新版把原来的10.1和10.2的顺序对调了一下。
  2. 信息安全管理体系的适宜性、充分性和有效性在“9.3 管理评审”中有提到,管理评审的主要目的就是要确保信息安全管理体系的适宜性、充分性和有效性,而本条款的要求则是要持续改进信息安全管理体系的适宜性、充分性和有效性;
  3. 信息安全管理体系的适宜性、充分性和有效性应力求做到更好,没办法做到极致的,因此必须对信息安全管理体系的适宜性、充分性和有效性进行持续改进;
  4. 在管理评审输出的报告必须有持续改进的机会,并且对改进机会的实施要进行跟踪和记录;
  5. 管理评审只是信息安全管理体系持续改进的一种形式,其他还包括,信息安全周例会(月度总结,年度总结),内部审核和外部审核,文件评审和修订,信息安全方针和目标评审等。

实施本条款应输出的文档:

  1. 《持续改进控制程序》;
  2. 管理评审记录;
  3. 信息安全周例会(月度总结,年度总结)记录,内部审核和外部审核记录,文件评审和修订记录,信息安全方针和目标评审记录,渗透测试记录等。

本条款审核要点:

  1. 《持续改进控制程序》;
  2. 管理评审报告及改进机会跟踪情况;
  3. 信息安全周例会(月度总结,年度总结)记录及问题跟踪情况;
  4. 信息安全方针和目标评审和修订记录;
  5. 渗透测试记录及整改记录。

ISO/IEC 27001:2013标准解读(22)正文 10 改进/10.2 持续改进