在以前的管理系統標準強調的「預防措施」，在本章節中一樣是有類似的措施，比如說矯正措施就是為了不讓不符合事項再度發生，已經有預防的用意，但是ISO 27001所採用的高階管理架構強調的是從第四章全景分析獲得基本資訊，到第六章執行相關分析並決定其管控措施以面對機會與風險，這些管控措施也已經包含預防的作用在裡面，到第十章的矯正是維繫整個管理系統循環的基礎，就像我們在之前提到的飛輪一樣，持續不斷帶領系統能夠繼續改善及精進，這就是10.2持續改進所要強調的，沒有一個資訊安全管理系統是完美的，組織所面臨的環境變化不斷，如果管理系統不能持續精進，就無法配合組織的成長，借用從A到A+的一句話，良好是卓越的敵人，如果自認為管理系統目前這樣就可以，那就沒有成長的空間，所以持續改善就是利用前面所設定的各種機制，第四章全景分析、第六章風險規劃、第八章風險處理及第九章監控審查、內部稽核、管理審查去發現管理系統可以精進的地方，例如：去年風險可接受等級為6，經過風險處理之後，今年需要處理的風險項目大幅降低，可以檢討將接受等級降低為5，讓風險更加降低，確保管理系統得以持續改善，而系統化的方式有助於持續改善的執行，例如：管理審查設定持續改善的目標，經由系統管理方式去達成目標，更有助於持續改善不會流於形式及口號。可以進行持續改善的機會如下：
• 內部稽核
• 管理審查
• 外部稽核
• 安全事件
• 安全審查和測試
• 矯正措施
貫穿整個條文的要求，可以知道ISO 27001還是依照PDCA的循環來執行管理系統應該做的事，下圖顯示條文與PDCA循環的關係：

圖三十三、PDCA循環

(一) 計劃
• 建立控制目標並確認由誰負責實現目標
• 建立控制措施以實現控制目標並確認負責執行這些措施的人員
• 定義績效指標，以對照控制目標衡量績效
• 定義測量績效的過程，包括測量點、計算指標的方法和誤差範圍
• 定義矯正措施以將控制措施保持在正常範圍內
(二) 執行
• 持續衡量目標的實施情形，執行ISMS中的控制措施
• 如果發現缺陷或不符合事項，則採取矯正措施
(三) 查核
• 監控控制措施指標並將績效與控制目標進行比較
• 如果控制措施超出正常有效範圍，則對已實施的對策及其負責人員進行監督。
• 根據控制目標撰寫帶有管理關鍵績效指標的安全報告。這些報告應包括針對所需管理決策的行動建議，他們應加強超出正常範圍但仍在誤差範圍內的安全措施。
(四) 行動
• 做出恢復控制措施的全部目標有效性所需的管理決策。決策應下達到營運階層中以供實施。
• 做出的決定應適當記錄包括對應之說明。

寫了一段時間的解析，終於發布完了，因為改版關係所後面的控制措施就不再發表，如果對控制措施有興趣，可以等我將新版要求研究後再來寫。
謝謝大家