[Day16]ISO 27001 标准：持续改善

这是 ISO 27001 的最後一个章节，要表达的精神很简单！

就是如果有人发现【机房的门没有关】，请当下【立即关上】，然後去询问是刚刚进出的人员忘记关。
当然大家就都会否认啊 XD
所以可能就会【加装门禁系统】去控管机房没关的状况。
经费有限的话，也遇过用【机房巡检表】来控管【机房的门没有关】的风险。

矫正：立即改善，不让风险扩大

矫正措施：分析根因，使该不符合事项不再发生

预防措施：在还没有发生不符合事项时，对於潜在风险做主动性管控。

「【机房巡检表】，这也行？」
「欸，这不是不行，只要证明【机房巡检表】可以有效改善机房没关这个情况，就行！」

• 不符合事项：【机房的门没有关】
• 矫正：【立即关上】
• 矫正措施：探索为何机房的门会没有关的【根因】，并提供矫正措施：【加装门禁系统】或是【机房巡检表】。
• 持续改善：持续监控或审查去观察是否不符合事项再发生。

改善这一节的追踪几乎都是由内部、外部稽核 或是 管理审查後续的不符合事项，
如果有改完之後，就会依频率慢慢将不符合事项结案，追踪其他的项目，
当然也遇过没有【不符合事项】需要【改善】的情况，这个时候就能有更多时间可以去验证其他范围的项目罗！

根因分析的要点

• 先确认是否要进行根因分析，因不是每件事都需要进行
• 利用脑力激荡的方式，将每一个可能都写下来
• 将原因进行分解，最後进行分类与排除
• 如果最後还是找不到根因或是目前无法解决，以人员训练与定期审查的降低风险的方式进行

= = = = = = = = = = ． = = = = = = = = = = ．= = = = = = = = = = ． = = = = = = = = = =

10.改善

10.1 不符合项目及矫正措施

不符合项目发生时，组织应有下列作为。
(a)对不符合项目反应，并於适当时采取下列作为。
(1)采取行动以控制并矫正之。
(2)处理其後果。
(b)藉由下列作为，评估对消除不符合项目之原因的行动之需要，使其不再发生且不於他处发生。
(1)审查不符合项目。
(2)决定不符合项目之原因。
(3)决定是否有类似之不符合项目存在，或可能发生。
(c)实作所有所需行动。
(d)审查所有所采取矫正措施之有效性。
(e)若必要时，则对资讯安全管理系统进行变更。
矫正措施应切合所遇到之不符合项目。
组织应保存文件化资讯，以作为下列事项之证据。
(f)不符合项目之本质及後续采取之所有行动。
(g)所有矫正措施之结果。

10.2 持续改善

组织应持续改善资讯安全管理系统之合宜性、适切性及有效性。

• 持续追踪改善情况是否再发生。

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

Pulang : Insanity《回归:疯狂》

鲁迪一家家境贫穷，为了给孩子和老婆好的生活环境，决定寻求邪恶巫术发大财。游戏又称回归:疯狂。

https://store.steampowered.com/app/1069210/Pulang_Insanity__Directors_Cut/

阿津版本：https://youtu.be/RLKUgpy4zLo