ISO 27001 资讯安全管理系统 【解析】(四十三)

壹拾、第十章 改进
本章节讨论的是不符合事项的改进以及持续改善。首先要知道甚么是不符合事项，不符合就是不满足要求，要求是甚么？
•ISO 27001标準的要求
•资讯安全管理系统的政策、程序、规範及控制措施
•法令、合约及客户的要求
举例来说：标準要求矫正措施必须要有文件化的资讯，而组织缺乏文件化资讯；组织自行定义的内部稽核程序中律定稽核报告的格式及内容，而组织未依照格式要求进行报告；与第三方合约中要求定期执行某项报告，而组织未依照合约提供报告…以上种种都是属于不符合事项。当发生不符合事项时，组织必须对不符合事项做出及时反应并处理后续后果，透过检讨不符合事项来确定发生的根因及是否存在类似不符合事项或其可能发生的情况，进一步评估採取措施以消除不符合事项的发生原因，使其不再发生或在其他地方发生。组织执行所需的任何矫正措施必须审查其有效性，并在必要时对资讯安全管理系统进行变更。
一旦发现不符合事项，如果认为应有适当的系统性应对措施，则管理审查、内部稽核以及合规性和绩效评估的输出均可作为不符合事项及矫正措施的基础，以减轻其后果并通过更新流程和程序消除根本原因，以避免再次发生。必须评估和记录所採取措施的有效性，以及矫正措施和所取得结果的原始报告资讯。ISO 27001要求组织不断改进其ISMS，这些改进来自许多活动，矫正措施就是一种推动改进并解决管理系统内部缺陷的机制。不符合事项被发现的範例如下：
•资讯安全管理系统範围内活动展现不足之处
•失效的控制措施
•未遵守资讯安全管理系统规範之资讯安全事件
•客户的抱怨
•使用者或供应商的警示
•监控或量测的结果不符合可接受準则
•目标未达成
不符合事项及矫正措施须考量的重点如下：
•建立评估準则，例如：不符合事项的影响及其重複发生性
•考量其他时间或地点是否有相同不符合事项发生、后果及边际效应及如何矫正
•执行全面且完整的发生原因调查分析，考量不符合事项如何发生？从何处开始？(例如错误来自人员、程序或工具)、将所有已知的因素纳入分析
•执行对于资讯安全管理系统之后果分析，在其他地方是否因为使用相同的工具等导致会有相同的不符合事项发生，确认属于单一事件或是系统性事件
•计画矫正措施时应考量对于不符合事项的后果、影响及边际效应的因素，不可因为执行矫正行动破坏整体资讯安全管理系统
•依照计画执行矫正行动
•基于事实及文件化资讯的要求，衡量矫正措施的有效性，评估不符合事项是否已经消除。
执行完矫正措施并将不符合事项消除后，须注意对于资讯安全管理系统是否有新的机会产生，可以用来促进持续改善，从不符合事项发现到最后改正完毕，相关必要的文件化资讯仍需要保留，例如：根本原因分析、决策过程、矫正措施执行纪录、追蹤纪录、审查纪录等。