ISO/IEC 27001: 2022标准 正文 10 Improvement 改进/10.2 Nonconformity and corrective action 不符合及纠正措施

10.2 Nonconformity and corrective action 不符合及纠正措施

When a nonconformity occurs, the organization shall:
当发生不符合时,组织应:

a) react to the nonconformity, and as applicable:
a) 对不符合做出反应,适用时:

1) take action to control and correct it;
1) 采取措施,以控制并予以纠正;

2) deal with the consequences;
2) 处置后果;

b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生:

1) reviewing the nonconformity;
1) 评审不符合;

2) determining the causes of the nonconformity; and
2) 确定不符合的原因;以及

3) determining if similar nonconformities exist, or could potentially occur;
3) 确定类似的不符合是否存在,或可能发生;

c) implement any action needed;
c) 实施任何需要的措施;

d) review the effectiveness of any corrective action taken; and
d) 评审任何所采取的纠正措施的有效性;以及

e) make changes to the information security management system, if necessary.
e) 必要时,对信息安全管理体系进行变更。

Corrective actions shall be appropriate to the effects of the nonconformities encountered.
纠正措施应与所遇到的不符合的影响相适合。

Documented information shall be available as evidence of:
文件化信息应予以保留,以作为以下方面的证据:

f) the nature of the nonconformities and any subsequent actions taken;
f) 不符合的性质及所采取的任何后续措施;

g) the results of any corrective action.
g) 任何纠正措施的结果。
ISO/IEC 27001:2013标准 正文 10 改进/10.1 不符合及纠正措施

10.1 不符合及纠正措施

当发生不符合时,组织应:

a) 对不符合做出反应,适用时:
1) 采取措施,以控制并予以纠正;
2) 处理后果;

b) 通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生:
1) 评审不符合;
2) 确定不符合的原因;
3) 确定类似的不符合是否存在,或可能发生;

c) 实现任何需要的措施;

d) 评审任何所采取的纠正措施的有效性;

e) 必要时,对信息安全管理体系进行变更。

纠正措施应与所遇到的不符合的影响相适合。

组织应保留文件化信息作为以下方面的证据:

f) 不符合的性质及所采取的任何后续措施;

g) 任何纠正措施的结果。

标准解析:

  1. 新版把ISO/IEC 27001:2013中的10.2与10.1的顺序位置对了一下,另外新版中的10.2与ISO/IEC 27001:2013中的10.1比较,也有轻微的变更,如在新版中10.2a)1)句尾的“and”被删除了,还有新版中的“文件化信息应予以保留,以作为以下方面的证据”这句话,是重新组织了语言,但是整个条款意涵没有发生变化,因此在实施过程中,无需做特别的变化。
  2. 本条款要求基本与ISO 9001:2015要求是一致的,因此在实施过程中,无需单独形成程序文件,只要把ISO 9001:2015体系中《不符合控制程序》适用范围扩大至信息安全管理体系即可(可适当增加信息安全内容);
  3. 发现不符合可以是在信息安全管理体系的运行过程中,不符合也可以是来自内部审核、外部审核等;
  4. 发现不符合后,应采取措施,如立即纠正不符合,原因分析,防止再次发生的措施,措施有效性评价等(如,不符合项报告等)。

实施本条款应输出的文档

  1. 《不符合控制程序》;
  2. 不符合项报告、不符合问题整改跟踪记录等;
  3. 信息安全事故(或异常)处理记录。

本条款审核要点:

  1. 内外部审核不符合事项及其整改记录;
  2. 信息安全事故(或异常)处理记录;
  3. 信息安全目标以及绩效监测记录,未达标整改记录;
  4. 信息安全运行记录(如机房点检巡检记录,安全软件监控记录等),以及异常情况的整改跟踪记录。

ISO/IEC 27001:2013标准解读(21)正文 10 改进/10.1 不符合及纠正措施