ISO/IEC 27001: 2022标准解读(24)正文 10 改进/10.2 不符合及纠正措施
ISO/IEC 27001:2013标准 正文 10 改进/10.1 不符合及纠正措施 |
10.1 不符合及纠正措施 当发生不符合时,组织应: a) 对不符合做出反应,适用时: 1) 采取措施,以控制并予以纠正; 2) 处理后果; b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生: 1) 评审不符合; 2) 确定不符合的原因; 3) 确定类似的不符合是否存在,或可能发生; c) 实现任何需要的措施; d) 评审任何所采取的纠正措施的有效性; e) 必要时,对信息安全管理体系进行变更。 纠正措施应与所遇到的不符合的影响相适合。 组织应保留文件化信息作为以下方面的证据: f) 不符合的性质及所采取的任何后续措施; g) 任何纠正措施的结果。 |
标准解析:
- 本条款要求基本与ISO 9001:2015要求是一致的,因此在实施过程中,无需单独形成程序文件,只要把ISO 9001:2015体系中《不符合控制程序》适用范围扩大至信息安全管理体系即可(可适当增加信息安全内容);
- 发现不符合可以是在信息安全管理体系的运行过程中,不符合也可以是来自内部审核、外部审核等;
- 发现不符合后,应采取措施,如立即纠正不符合,原因分析,防止再次发生的措施,措施有效性评价等(如,不符合项报告等)。
实施本条款应输出的文档:
- 《不符合控制程序》;
- 不符合项报告、不符合问题整改跟踪记录等;
- 信息安全事故(或异常)处理记录。
本条款审核要点:
- 内外部审核不符合事项及其整改记录;
- 信息安全事故(或异常)处理记录;
- 信息安全目标以及绩效监测记录,未达标整改记录;
- 信息安全运行记录(如机房点检巡检记录,安全软件监控记录等),以及异常情况的整改跟踪记录。