[ISO27001] 10. 개선

목차



10. 개선(Improvement)

10.1 부적합 및 시정 조치(Nonconformity and corrective action)

부적합이 발생하면 조직은

  1. 통제 및 시정을 위한 조치와 결과의 처리를 포함하여 부적합에 대한 대처를 수행해야하며,
  2. 부적합이 재발하거나 다른 곳에서 발생하지 않도록 부적합에 대한 검토, 원인 파악, 유사 부적합의 존재나 잠재적 부적합의 발생 가능성을 파악하여 부적합의 원인을 제거하기 위한 조치의 필요성을 평가해야 한다.
  3. 이에 따라, 필요한 조치를 구현하고
  4. 시정 조치의 효과성을 검토해야하며
  5. 필요한 경우 정보보호 경영시스템의 변경을 해야한다.

발생한 부적합의 영향에 따라 적절한 시정 조치를 해야하며, 조직은 부적합과 이에 따른 조치의 특성 그리고 시정 조치의 결과를 문서 정보로 유지해야 한다.


10.2 지속적 개선(Continual improvement)

조직은 정보보호 경영시스템의 적정성, 정확성, 효과성을 지속적으로 개선해야 한다.