ISO∕IEC 27001-2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》“第10章 改进”解读和应用指导材料（雷泽佳编制2024）

ISO/IEC27001:2022“第10章：改进”解读和应用指导材料ISO/IEC27001:2022《信息安全、网络安全和隐私保护-信息安全管理体系-要求》“第10章：改进”解读和应用指导材料改进不符合及纠正措施不符合的定义与类型不符合的定义：不符合指的是未能达到信息安全管理体系（ISMS）所设定的要求。这些要求可以是明确指出的，通常隐含的，或者是必须履行的需求或期望。不符合的类型：不满足ISO/IEC27001要求：指ISMS未能完全或部分地满足ISO/IEC27001标准中的某个具体要求；未正确实现或符合ISMS要求：表示ISMS虽然有所描述，但在实际操作中未能正确实现或符合其所述的要求、规则或控制；不遵守法律、合同或与客户约定的要求：指的是ISMS在执行过程中部分或全部违反了法律、合同规定或与客户之间的约定要求。发现不符合不符合的示例；人员行为不符合规程和策略的预期：这表明员工在实际操作中的行为与组织制定的规程和策略不一致，可能是因为培训不足、理解偏差或故意违规等原因；供方未提供约定的产品或服务：这指的是外部供方未能按照合同或协议提供所需的产品或服务，可能导致组织运营中断或风险增加；项目未取得预期成果：当信息安全相关项目未能达到预期目标时，可能意味着项目规划、执行或监控过程中存在问题，需要进行审查和调整；控制未按设计运行：这表示组织设定的信息安全控制措施在实际运行中未能如预期那样发挥作用，可能是由于技术故障、配置错误或人为干预等原因；发现不符合的方式；管理体系范围内执行的活动存在缺陷：通过对组织内部各项活动的审查，可以发现是否存在未遵循管理体系要求的情况，从而识别出不符合项；未得到适当补救的无效控制：当发现某些信息安全控制措施无效或失效，并且没有得到及时有效的补救措施时，这可以被视为一个不符合项；对信息安全事件的分析表明没有满足ISMS的要求：对发生的信息安全事件进行深入分析，如果发现事件背后暴露出组织未能满足ISMS的相关要求，这也是不符合的一种表现；客户的投诉：客户的投诉往往能够直接反映出组织在信息安全方面存在的问题或不足，因此是发现不符合的重要途径之一；来自用户或供方的警报：用户或供方提供的警报信息可能包含有关组织信息安全状况的重要线索，通过分析这些警报可以发现潜在的不符合项；不满足接受准则的监视和测量结果：组织的监视和测量活动通常会设定一系列的接受准则，当实际结果超出这些准则时，就存在不符合的情况；未实现的目标：如果组织设定的信息安全目标未能实现，这通常意味着在目标实现过程中存在某种形式的不符合或偏差。对不符合的反应与处理（对不符合的反应；当组织发现不符合情况时，应迅速做出反应；适用的反应包括采取措施以控制和纠正不符合，这意味着组织需要采取紧急措施来阻止不符合情况的继续发展，并着手进行纠正；组织应处置不符合造成的后果，这包括对已经发生的影响进行评估和处理；纠正的目的是立即解决不符合并处理其后果，确保组织的ISMS能够恢复到预期的运行状态；“适用时”指的是在可以采取措施控制和纠正不符合的情况下，组织必须采取相应措施。不符合的处理过程组织应定义一个清晰的处理过程来响应不符合情况；包括识别不符合的程度和影响，以便组织能够全面了解不符合的严重性和波及范围；组织应决定采取何种纠正措施来降低不符合的影响；纠正措施可能包括切换到先前状态、故障保护状态或其他适当状态；重要的是，纠正措施不能使情况恶化；在确定了纠正措施后，组织需要与有关人员进行沟通，确保这些措施能够得到有效实施；组织应执行所决定的纠正措施，并密切监视状态以确保纠正措施达到了预期效果，且没有产生非预期的负面影响；如果经过纠正后仍然不能解决不符合问题，组织应进一步采取行动，这可能包括重新评估ISMS的有效性或寻求外部帮助；在适当时机，组织应与其他相关方进行沟通，分享关于不符合情况和纠正措施的信息，以维护组织的信誉和透明度。纠正措施的实施与评价纠正措施与处理不符合及其后果的关系处理不符合及其相关后果的过程需要达到一个全面管理的状态。仅仅通过纠正不一定能有效防止不符合情况的再次发生，因此必须实施更深入的纠正措施。纠正措施的具体实施与目的纠正措施可以在纠正行动之后进行，或者与纠正行动同时进行。纠正措施的主要目的是彻底消除导致不符合的根本原因，并防止其再次发生。决定是否采取纠正措施的依据：必须根据已建立的准则，如不符合的严重程度和影响范围，以及是否重复发生等因素，来决定是否需要采取进一步的纠正措施；对不符合情况的全面评审：在评审不符合情况时，应考虑是否已有类似的不符合被记录，深入分析不符合导致的直接和间接后果，以及已经采取的或正在考虑的纠正措施。深入分析确定不符合的原因；应对导致不符合发生的具体原因进行深入的分析，这包括识别出所有相关的触发因素或状况，如人为错误、方法或规程的缺陷、硬件或软件工具的故障等；应识别出可能导致未来发生类似情况的模式和准则。分析不符合对ISMS的潜在后果应分析不符合情况对信息安全管理体系（ISMS）其他部分可能存在的或潜在的类似问题，利用在原因分析中识别的模式和准则来判断其他部分是否也可能出现类似的不符合；应评估其他部分是否符合已识别的可能导致不符合的模式或准则，从而预测类似问题是否会在未来发生。确定并评价所需的纠正措施；在确定了导致不符合的根本原因后，应确定能够消除这些原因的纠正措施，并评价这些措施是否与不符合的后果和影响相适应；应确保所确定的纠正措施不会引发其他新的不符合情况或带来重大的信息安全风险。制定详细的纠正措施计划；应制定一个详细的纠正措施计划，该计划应优先考虑那些可能再次发生且后果更为严重的不符合部分；计划中应明确各项纠正措施的负责人和执行的具体时间表，以确保计划的有效实施。按计划执行纠正措施：纠正措施必须严格按照制定的计划进行执行，以确保其有效性和及时性。对纠正措施的有效性进行评审。在执行了纠正措施后，应对其有效性进行公正的、基于证据的评审，以确认是否已经彻底处理了导致不符合的根本原因，并能够有效防止类似情况的再次发生；评审的结果应进行文件化记录，并与所有相关的角色和利益方进行及时有效地沟通。纠正措施的结果与改进机会纠正措施中的新改进机会；在实施纠正措施的过程中，组织可能会发现新的改进机会；这些机会可能源于对不符合项的深入分析，或是在纠正措施执行过程中观察到的潜在优化点；当发现这类改进机会时，组织应对其进行相应处理，评估其可行性和潜在影响，然后将其纳入组织的持续改进计划中。必要时对信息安全管理体系进行变更；纠正措施的实施有时可能需要对现有的信息安全管理体系（ISMS）进行变更；这些变更可能是为了消除不符合项的根本原因，或是为了利用在纠正措施中发现的改进机会；当确定需要对ISMS进行变更时，组织应遵循既定的变更管理流程，确保变更的实施不会对ISMS的整体有效性和稳定性造成负面影响。维护跟踪不符合项和纠正措施；组织应建立和维护一个用于跟踪不符合项和纠正措施的注册表或类似系统；这个注册表可以是一个物理的文档、电子表格、数据库应用程序或其他适合组织需求的工具；注册表应包含关于不符合项的详细描述，如发现的时间、地点、涉及的人员或系统，以及不符合的具体标准或要求等；注册表还应记录纠正措施的计划和实施细节，包括负责实施的人员、计划的完成时间以及实际的完成情况等；注册表还应用于评估纠正措施的效果，包括是否成功解决了不符合项以及是否采取了有效措施防止类似问题的再次发生；组织应定期对注册表进行全面评审，以确保对纠正措施的需求进行了正确的评价，并及时更新注册表以反映最新的不符合项和纠正措施情况。保留成文信息记录不符合的性质和后续措施；组织应详细记录不符合的性质，即不符合的具体情况、类型和严重程度；应记录针对这些不符合所采取的后续措施，包括即时的应对措施和长期的纠正措施。记录纠正措施的结果；除了记录不符合的情况外，还应系统记录纠正措施的实施结果；这包括纠正措施是否有效解决了不符合，是否达到了预期的效果，以及是否需要进一步的行动。重要步骤的文件化；不符合管理的所有重要步骤，从最初的发现到最终的纠正，都应以文件形式记录下来；纠正措施管理的所有关键步骤，如根本原因分析、措施的评审、决定采取的具体措施、对信息安全管理体系的评审和必要时的变更，也都应形成详细的文件记录。证据的有效性。成文信息不仅要全面，还需包含能够证明所采取措施是否达到预期效果的客观证据；这意味着组织需要收集和保留相关的数据、记录或报告，以证明其纠正措施的有效性和不符合处理的彻底性。对预防措施的理解未明确提出预防措施要求：在ISO/IEC27001:2022标准中，并没有明确对“预防措施”这一术语提出具体的要求；管理体系作为预防工具：标准中未单独列出预防措施的原因在于，正式的管理体系（如信息安全管理体系ISMS）的设计本身，就是为了作为一个预防性的工具。体系的建立、实施、运行和维护过程中，已经内置了对预防措施的考虑；通用要求涵盖预防措施：在ISO管理体系标准中，存在通用的要求，这些要求实质上涵盖了“预防措施”的概念。具体来说，组织需要“确定与其意图相关的，且影响其实现信息安全管理体系预期结果能力的外部和内部因素”（见4.1），这一过程本身就是预防性的，因为它涉及对可能影响体系运行的因素进行前瞻性的识别和分析；风险评估与预防措施：标准要求组织“确定需要应对的风险和机会，以确保信息安全管理体系可达到预期结果，预防或减少不良影响，达到持续改进”（见6.1）。这里提到的风险评估和应对措施，同样涵盖了预防措施的精神，因为它包括对潜在不利情况的预防和对改进机会的把握。广阔的视角看待风险和机会：综上，标准虽然没有单独列出“预防措施”这一项，但通过上述两条通用要求见4.1和6.1的，实际上已经从一个更广阔、更全面的视角来看待和预防风险，并识别和利用改进的机会。持续改进总则持续改进的必要性：组织应致力于持续改进其信息安全管理体系的适宜性、充分性和有效性。这是确保信息安全管理体系能够适应组织变化、满足新的安全挑战，并不断提升其保护信息资产能力的基础；系统方法的应用：采用持续改进的系统方法，可以使信息安全管理体系更加高效和有效。这种方法不仅关注问题的解决，还注重预防措施的实施，从而避免组织在信息安全方面过于被动；信息安全管理的引导作用：信息安全管理体系应成为组织运营活动的引导者，而不仅仅是响应者。通过主动识别和管理信息安全风险，信息安全管理体系能够帮助组织避免陷入被动应对问题的局面；设定持续改进的目标：最高管理者在持续改进过程中起着关键作用。他们可以设定明确的目标，如提升信息安全管理体系的有效性、降低成本或提高过程成熟度，从而为整个组织指明改进的方向。这些目标应可测量，以便组织能够跟踪和评估其改进的成果。信息安全管理体系的持续进化信息安全管理体系的动态适应与持续优化动态适应；组织及其运营环境是不断变化的，非静态的；信息系统所面临的风险和威胁方式也在迅速发展变化；信息安全管理体系不可能完美无缺，总有改进的空间；即便在组织和环境相对稳定的情况下，也应寻求改进信息安全管理体系的方法。持续优化。信息安全管理体系应被视为业务运营不可分割的一部分，需要持续进化、学习和适应；为了使信息安全管理体系能够适应变化，应定期评估其目的性、有效性以及与组织目标的符合程度；不可因为某项措施在过去有效就认为它永远有效，也不应认为任何措施是“超限”的，而应持续寻求改进。评估与改进信息安全管理体系。评估与改进信息安全管理体系的基础；持续改进信息安全管理体系需要对体系及其要素进行全面评估；评估时应综合考虑内部和外部因素、相关方的要求以及绩效评价的结果；评估的三个方面；适宜性：评估信息安全管理体系是否妥善地处理了外部和内部事项、相关方要求、建立的信息安全目标和确定的信息安全风险；充分性：检查信息安全管理体系流程和信息安全控制是否与组织的总体目的、活动和过程相兼容；有效性：验证信息安全管理体系是否达到了预期结果，是否满足相关方要求，并有效管理信息安全风险以达到信息安全目标，同时确保资源的匹配。（效率分析；评估还可包括对信息安全管理体系及其要素的效率进行分析；考虑资源使用的适宜性，识别效率不足可能带来的风险，并探寻提高效率的机会。改进与不符合或风险的关系；举例说明，改进并不一定与不符合或风险直接相关；对信息安全管理体系要素的评估可能表明它超出了要求或缺乏效率，从而提供了通过变更评估要素来改进体系的机会。管理不符合与发现改进机会：在管理不符合项和采取纠正措施的过程中，组织还可以发现改进信息安全管理体系的机会。实施改进措施改进机会的发现与处理；当组织发现存在改进的机会时，应依据6.1.1的要求进行处理；应评价拟建立的纠正措施是否具备实施的价值与意义，即是否值得投入资源进行改进；确定需要对信息安全管理体系及其哪些要素进行变更，以便实现预期的改进效果；组织应策划并实现这些针对机会的应对措施，确保能够带来实际的好处，并且不会引发新的不符合情况；应对已实施的措施进行有效性评价，验证其是否真正达到了预期的改进目标。改进措施的实施与风险管理组织在应对改进机会时，应采取一系列相应的措施；这些措施包括评价拟建立的纠正措施、确定对信息安全管理体系及其要素的必要变更、策划和实现针对机会的应对措施；所有这些措施都应当被视为组织对风险和机会进行整体应对的一部分，与组织的风险管理策略保持一致；应对每项措施的有效性进行评价，以确保改进措施不仅得到实施，而且真正有效。生产管理系统敏感数据泄露风险应对与纠正措施案例【案例背景】某大型制造企业在进行内部信息安全审计时，发现其生产管理系统中的敏感数据（如生产配方、工艺流程）存在泄露风险，这严重违反了公司的信息安全策略和ISO/IEC27001:2022的要求。为了迅速应对这一不符合情况，公司决定采取一系列具体的纠正和预防措施。a)对不符合做出反应：立即措施：暂停了生产管理系统的