持续改进
本公司制定和实施《纠正措施管理程序》、《预防措施管理程序》 《内部审核管理程序》等文件,通过下列途径持续改进信息安全管理体系的有效性:
a) 通过信息安全管理体系方针的建立与实施,对持续改进做出正式的承诺;
b) 通过建立信息安全管理体系目标明确改进的方向;
c) 通过内部审核不断发现问题,寻找体系改进的机会并予实施,详见《内部审核管理程序》;
d) 通过数据分析不断寻求改进的机会,并做出适当的改进活动安排,详见《纠正措施管理程序》;
e) 通过实施纠正和预防措施实现改进,详见《纠正措施管理程序》和《预防措施管理程序》;
f)通过管理评审输出的有关改进措施的实施实现改进,详见本手册第7 章。
纠正措施
8.2.1行政中心负责建立并实施《纠正措施管理程序》,采取纠正措施,消除与信息安全管理体系要求不符合的原因,以防止再发生。
8.2.2《纠正措施管理程序》应规定以下方面的要求:
a) 识别存在的不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施要求;
d) 确定和实施所需的纠正措施;
e) 记录所采取措施的结果;
f)评审所采取的纠正措施。