10.1 การปรับปรุงอย่างต่อเนื่อง
องค์กรต้องทำการปรับปรุงความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง
10.2 ความไม่สอดคล้องและการปรับปรุงแก้ไข
เมื่อความไม่สอดคล้องเกิดขึ้น องค์กรต้อง:
- a) ตอบสนองต่อความไม่สอดคล้อง และตามความเหมาะสม
- ดำเนินการเพื่อควบคุมและแก้ไข;
- รับมือกับผลกระทบที่ตามมา
- b) ประเมินความจำเป็นสำหรับดำเนินการการขจัดสาเหตุของความไม่สอดคล้อง เพื่อไม่ให้ความไม่สอดคล้องเกิดขึ้นซ้ำ หรือไม่เกิดขึ้นที่อื่น ๆ โดย
- ทบทวนความไม่สอดคล้อง
- ระบุสาเหตุของความไม่สอดคล้อง และ
- ระบุ ถ้าความไม่สอดคล้องที่คล้ายกันมีอยู่ หรือสามารถมีโอกาสเกิดขึ้นได้
- c) ดำเนินการปฏิบัติที่จำเป็น
- d) ทบทวนประสิทธิผลของการปฏิบัติการแก่ไข และ
- e) ทำการเปลี่ยนแปลงระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ถ้าจำเป็นการปฏิบัติการแก้ไขต้องเหมาะสมต่อผลกระทบของความไม่สอดคล้องที่พบ
เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดง
- f) ลักษณะของความไม่สอดคล้อง และการปฏิบัติใดๆ ที่ได้ดำเนินการ และ
- g) ผลลัพธ์ของการปฏิบัติการแก้ไข
---
International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html