一個有效的管理制度,除了要依照制度所規定的過程,在規定的時間內執行及產生必要的結果 (或記錄) 外,根據管理系統的PDCA精神,若在執行過程中發現潛在的風險、不合理的作法或是錯誤的結果時,就必須要施予矯正活動以修正制度上的問題,這個活動稱為矯正行動 (Corrective Action)。
與ISMS的其他制度一樣,矯正行動也需要一個固定過程,在主條文10.2中規定了當出現不符合事項 (Nonconformity) 時,組織應採取的行動;除了矯正不符合事項外,還要規劃防止未來再度發生相同事項的行動,這個行動稱為預防行動 (Preventive Action),因此,一個不符合事項的矯正,必須要包含下列三件事:
矯正行動通常會是一個短期的、能立即見效的活動,預防行動則會是一個長期的、能持續維持其效果的活動;例如電腦中毒是一個不符合事項 (A.8.7防範惡意軟體),「將病毒清除」是一個矯正行動,但「找出電腦中毒的原因,並施加控制措施以避免電腦再次中毒」,則是預防行動;因此每個不符合事項的矯正活動都要包含這兩種行動,但有時實務上不符合事項可能尚未導致問題的發生,以致於可能不需要採取矯正行動,這時就只需要執行預防行動即可。
組織要制訂一個矯正活動的過程,這個過程要包含針對原因分析、矯正行動與預防行動的審查、行動的執行、及矯正與預防行動執行的有效性,並且留存過程所執行的記錄以作為證據;由於不符合事項有可能是因為制度設計的缺失或不洽當導致,或者是因為新的風險發生或原本規劃中未考慮到的風險出現,這時就需要修改制度,而修改制度的過程 (如文件變更審查、文件版本變更、內容異動等) 也會作為矯正活動的證據。
另外,不符合事項的來源,不一定只有內部稽核,制度執行過程中出現重大問題、重大瑕疪、發生資訊安全事故或來自第二方、第三方稽核發現等,都是可能的來源,只要發現不符合事項或潛在不符合事項,就可以啟動矯正活動的過程,稽核活動會將「組織是否有持續監控制度是否有不完善之處或發現問題是否有進行及時的矯正及採取預防措施」列為重點檢查項目,而這也是組織有針對ISMS執行PDCA持續改善的最重要證據。
這裡有一個實務上的提示,在執行矯正過程時,執行矯正的人員與確認結果的人員不可以是同一個人 (在小型組織很可能會發生這種情況),因為這會違反職務區隔要求 (A.5.3),也會引起球員兼裁判之嫌,因此操作時要特別注意這點。