這是 ISO 27001 的最後一個章節，要表達的精神很簡單！

就是如果有人發現【機房的門沒有關】，請當下【立即關上】，然後去詢問是剛剛進出的人員忘記關。
當然大家就都會否認啊 XD
所以可能就會【加裝門禁系統】去控管機房沒關的狀況。
經費有限的話，也遇過用【機房巡檢表】來控管【機房的門沒有關】的風險。

矯正：立即改善，不讓風險擴大

矯正措施：分析根因，使該不符合事項不再發生

預防措施：在還沒有發生不符合事項時，對於潛在風險做主動性管控。

「【機房巡檢表】，這也行？」
「欸，這不是不行，只要證明【機房巡檢表】可以有效改善機房沒關這個情況，就行！」

• 不符合事項：【機房的門沒有關】
• 矯正：【立即關上】
• 矯正措施：探索為何機房的門會沒有關的【根因】，並提供矯正措施：【加裝門禁系統】或是【機房巡檢表】。
• 持續改善：持續監控或審查去觀察是否不符合事項再發生。

改善這一節的追蹤幾乎都是由內部、外部稽核 或是 管理審查後續的不符合事項，
如果有改完之後，就會依頻率慢慢將不符合事項結案，追蹤其他的項目，
當然也遇過沒有【不符合事項】需要【改善】的情況，這個時候就能有更多時間可以去驗證其他範圍的項目囉！

根因分析的要點

• 先確認是否要進行根因分析，因不是每件事都需要進行
• 利用腦力激盪的方式，將每一個可能都寫下來
• 將原因進行分解，最後進行分類與排除
• 如果最後還是找不到根因或是目前無法解決，以人員訓練與定期審查的降低風險的方式進行

= = = = = = = = = = ． = = = = = = = = = = ．= = = = = = = = = = ． = = = = = = = = = =

10.改善

10.1 不符合項目及矯正措施

不符合項目發生時，組織應有下列作為。
(a)對不符合項目反應，並於適當時採取下列作為。
(1)採取行動以控制並矯正之。
(2)處理其後果。
(b)藉由下列作為，評估對消除不符合項目之原因的行動之需要，使其不再發生且不於他處發生。
(1)審查不符合項目。
(2)決定不符合項目之原因。
(3)決定是否有類似之不符合項目存在，或可能發生。
(c)實作所有所需行動。
(d)審查所有所採取矯正措施之有效性。
(e)若必要時，則對資訊安全管理系統進行變更。
矯正措施應切合所遇到之不符合項目。
組織應保存文件化資訊，以作為下列事項之證據。
(f)不符合項目之本質及後續採取之所有行動。
(g)所有矯正措施之結果。

10.2 持續改善

組織應持續改善資訊安全管理系統之合宜性、適切性及有效性。

• 持續追蹤改善情況是否再發生。

參考文獻

國家標準(CNS)網路服務系統：https://www.cnsonline.com.tw/

恐怖遊戲推薦：

Pulang : Insanity《回歸:瘋狂》

魯迪一家家境貧窮，為了給孩子和老婆好的生活環境，決定尋求邪惡巫術發大財。遊戲又稱回歸:瘋狂。

https://store.steampowered.com/app/1069210/Pulang_Insanity__Directors_Cut/

阿津版本：https://youtu.be/RLKUgpy4zLo