7.1 总则 

管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS，以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持（见4.3.3）。 

7.2 评审输入 

管理评审的输入应包括： 

a) ISMS审核和评审的结果； 

b) 相关方的反馈； 

c) 组织用于改进ISMS执行情况和有效性的技术、产品或程序； 

d) 预防和纠正措施的状况； 

e) 以往风险评估没有充分强调的脆弱点或威胁； 

f) 有效性测量的结果； 

g) 以往管理评审的跟踪措施； 

h) 可能影响ISMS的任何变更； 

i) 改进的建议。 

7.3 评审输出 

管理评审的输出应包括与以下方面有关的任何决定和措施： 

a) ISMS有效性的改进； 

b) 风险评估和风险处理计划的更新； 

c) 必要时修改影响信息安全的程序和控制措施，以响应内部或外部可能影响ISMS的事态，包括以下的变更： 

1) 业务要求； 

2) 安全要求； 

3) 影响现有业务要求的业务过程； 

4) 法律法规环境； 

5) 合同义务； 

6) 风险级别和/或接受风险的准则。 

d) 资源需求； 

e) 如何测量控制措施有效性的改进。 

8 ISMS改进 

8.1 持续改进 

组织应通过使用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审（见第7章），持续改进ISMS的有效性。 

8.2 纠正措施 

组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。形成文件的纠正措施程序，应规定以下方面的要求： 

a) 识别不符合； 

b) 确定不符合的原因； 

c) 评价确保不符合不再发生的措施需求； 

d) 确定和实施所需要的纠正措施； 

e) 记录所采取措施的结果（见4.3.3）； 

f) 评审所采取的纠正措施。 

8.3 预防措施 

组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施程序，应规定以下方面的要求： 

a) 识别潜在的不符合及其原因； 

b) 评价防止不符合发生的措施需求； 

c) 确定和实施所需要的预防措施； 

d) 记录所采取措施的结果（见4.3.3）； 

e) 评审所采取的预防措施。 

组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。 

预防措施的优先级要根据风险评估的结果确定。 

注：预防不符合的措施通常比纠正措施更节约成本。 

 5/5   首页 上一页 3 4 5