信息安全管理体系应该包括文件化的程序,以:
□ 识别风险评估中没有充分涉及的薄弱点或威胁;
□ 识别可能为组织所用,提供其信息安全管理体系业绩或有效性的技术、产品或程序;
□ 识别可能需要进行信息安全管理体系评审的环境变化;
□ 管理者应该定期对信息安全管理体系进行评审,评审应该被文件化;
□ 必要时,对影响信息安全的程序进行修改,以响应可能影响信息安全管理体系的内部或外部事件。
