資訊安全管理系統(ISMS)新版ISO/IEC 27001:2013標準之「
改善(Improvement)」章節本文,相較舊版條文(2005版),新版條文(2013版)做了相當幅度調整,新版章節編號由第8節改為第10節,主要調整在於新版條文捨去「預防措施(Preventive action)」小節,只保留「矯正措施(Correction action)」。
ISMS舊版條文將「
改善」分為「矯正措施」與「預防措施」兩部份。
- 「矯正措施」係針對已發現之不符合事項(nonconformities)經由發生原因辨識、評估矯正需求後著手改善,以導正該不符合事項並期不再重複發生。
- 「預防措施」則著眼於具潛在不符合事項(potential nonconformities)之消弭,同樣透過原因辨識、矯正需求評估等改善方式進行。
新版條文延續舊版條文之矯正措施,除以該不符合事項不再發生為目標外,更進一步期使該不符合事項不在他處發生(occur elsewhere),比較舊條文,雖不在文字上強調「預防措施」但實具預防措施之精神,新版條文具體提供了一種發現潛在不符合事項的方法,那就是由已發現之不符合事項發想,檢視別處是否有令此不符合事項再次發生之環境,進而事先消弭之。
此外,在本文9.3管理審查一節指出,資訊安全績效之回饋包括不符合項目及矯正措施、監督及量測結果、稽核結果及資訊安全目標等之達成趨勢,所謂趨勢是對過去一段時間之紀錄觀察,實質上也是預防措施之展現。
