Yêu cầu 10.2 – Cải tiến liên tục

Điều khoản 10.2 bao gồm những gì?

Có một số cơ chế đã được đề cập trong ISO 27001 để đánh giá và cải tiến liên tục ISMS bao gồm:

• 6.1 đánh giá rủi ro và điều trị – đang diễn ra
• 6.2 mục tiêu giám sát, đo lường và đánh giá – đang diễn ra
• 9.2 Kiểm toán nội bộ – đang diễn ra
• 9.3 đánh giá quản lý – đang diễn ra
• 10.1 sự không phù hợp và hành động khắc phục – đang diễn ra
• Phụ lục A 5 – đánh giá chính sách – đang diễn ra
• Phụ lục A 7 – sự tham gia và nhận thức của nguồn nhân lực
• Phụ lục A 16 – sự cố, sự kiện và điểm yếu về bảo mật – đang diễn ra
• Phụ lục A 18 – đánh giá tuân thủ – đang diễn ra
• Kiểm toán bên ngoài chung (ví dụ để chứng nhận UKAS của các tổ chức được chứng nhận ISO)

Hầu hết những điều trên thường xảy ra mà không cần phải đưa vào danh sách cải tiến cụ thể (do đó hãy nêu rõ điều đó trong chính sách) và có thể được chứng minh như một phần của quá trình cải tiến liên tục nhằm nghiêm túc thực hiện hoạt động ISMS.

Những cải tiến cũng có thể đến từ nhiều nơi khác và chúng ta nên khuyến khích chúng được ghi chép lại trong quá trình cải tiến ISMS. Những cải tiến này bao gồm:

• Yêu cầu hoặc mối quan tâm của khách hàng
• Dữ liệu xu hướng từ các hệ thống hoạt động khác
• Các quan sát khác ví dụ từ nhà cung cấp hoặc các bên quan tâm khác

Cũng hữu ích khi xác định điều gì không phải là cải tiến trong hệ thống quản lý bảo mật thông tin. Ví dụ, khi điều hành một bộ phận dịch vụ tiếp nhận các câu hỏi về sản phẩm, sẽ rất khó để coi mọi phiếu yêu cầu là cơ hội để cải tiến, trong khi các vấn đề lặp lại có thể là sự không tuân thủ hoặc là một lĩnh vực chung cần cải tiến – vì vậy hãy đảm bảo rằng điều gì được và điều gì không được xem xét rõ ràng.