壹拾、 第十章 改進
本章節討論的是不符合事項的改進以及持續改善。首先要知道甚麼是不符合事項,不符合就是不滿足要求,要求是甚麼?
• ISO 27001標準的要求
• 資訊安全管理系統的政策、程序、規範及控制措施
• 法令、合約及客戶的要求
舉例來說:標準要求矯正措施必須要有文件化的資訊,而組織缺乏文件化資訊;組織自行定義的內部稽核程序中律定稽核報告的格式及內容,而組織未依照格式要求進行報告;與第三方合約中要求定期執行某項報告,而組織未依照合約提供報告…以上種種都是屬於不符合事項。當發生不符合事項時,組織必須對不符合事項做出及時反應並處理後續後果,透過檢討不符合事項來確定發生的根因及是否存在類似不符合事項或其可能發生的情況,進一步評估採取措施以消除不符合事項的發生原因,使其不再發生或在其他地方發生。組織執行所需的任何矯正措施必須審查其有效性,並在必要時對資訊安全管理系統進行變更。
一旦發現不符合事項,如果認為應有適當的系統性應對措施,則管理審查、內部稽核以及合規性和績效評估的輸出均可作為不符合事項及矯正措施的基礎,以減輕其後果並通過更新流程和程序消除根本原因,以避免再次發生。必須評估和記錄所採取措施的有效性,以及矯正措施和所取得結果的原始報告資訊。ISO 27001要求組織不斷改進其ISMS,這些改進來自許多活動,矯正措施就是一種推動改進並解決管理系統內部缺陷的機制。不符合事項被發現的範例如下:
• 資訊安全管理系統範圍內活動展現不足之處
• 失效的控制措施
• 未遵守資訊安全管理系統規範之資訊安全事件
• 客戶的抱怨
• 使用者或供應商的警示
• 監控或量測的結果不符合可接受準則
• 目標未達成
不符合事項及矯正措施須考量的重點如下:
• 建立評估準則,例如:不符合事項的影響及其重複發生性
• 考量其他時間或地點是否有相同不符合事項發生、後果及邊際效應及如何矯正
• 執行全面且完整的發生原因調查分析,考量不符合事項如何發生?從何處開始?(例如錯誤來自人員、程序或工具)、將所有已知的因素納入分析
• 執行對於資訊安全管理系統之後果分析,在其他地方是否因為使用相同的工具等導致會有相同的不符合事項發生,確認屬於單一事件或是系統性事件
• 計畫矯正措施時應考量對於不符合事項的後果、影響及邊際效應的因素,不可因為執行矯正行動破壞整體資訊安全管理系統
• 依照計畫執行矯正行動
• 基於事實及文件化資訊的要求,衡量矯正措施的有效性,評估不符合事項是否已經消除。
執行完矯正措施並將不符合事項消除後,須注意對於資訊安全管理系統是否有新的機會產生,可以用來促進持續改善,從不符合事項發現到最後改正完畢,相關必要的文件化資訊仍需要保留,例如:根本原因分析、決策過程、矯正措施執行紀錄、追蹤紀錄、審查紀錄等。