4.保持和改進(jìn)ISMS

組織針對(duì)內(nèi)部評(píng)審、管理評(píng)審的結(jié)果報(bào)告，應(yīng)定期（一般不超過一年）進(jìn)行ISMS 改進(jìn)，采取合適的糾正和預(yù)防措施，同時(shí)需要從其他組織或組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。組織還應(yīng)向所有相關(guān)方（上級(jí)組織、國家信息安全監(jiān)管部門、民間信息安全機(jī)構(gòu)等）溝通措施和改進(jìn)情況，其詳細(xì)程度應(yīng)與組織所處的行業(yè)環(huán)境（例如組織是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施）相適應(yīng)，需要時(shí)，與相關(guān)方商定如何進(jìn)行改進(jìn)，并確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。