信息安全管理之PDCA过程中保持和改进ISMS

4.保持和改进ISMS

组织针对内部评审、管理评审的结果报告，应定期（一般不超过一年）进行ISMS 改进，采取合适的纠正和预防措施，同时需要从其他组织或组织自身的安全经验中吸取教训。组织还应向所有相关方（上级组织、国家信息安全监管部门、民间信息安全机构等）沟通措施和改进情况，其详细程度应与组织所处的行业环境（例如组织是否属于关键信息基础设施）相适应，需要时，与相关方商定如何进行改进，并确保改进达到了预期目标。