8/ Tính toàn vẹn
2.7. NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT
2.7.1. Nâng cấp thƣờng xuyên
Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống quản lý ATTT thông qua việc tận dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng như các kết quả xem xét của ban quản lý (xem 2.6).
2.7.2. Hành động khắc phục
Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống quản lý ATTT. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:
1/. Xác định các vi phạm.
2/. Tìm ra nguyên nhân của các vi phạm trên.
3/. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm xuất hiện trở lại. 4/. Quyết định và triển khai các hành động khắc phục cần thiết.
5/. Lập hồ sơ các kết quả khi thực hiện các hành động trên. 6/. Xem xét lại các hành động khắc phục đã được thực hiện.
2.7.3. Hành động phòng ngừa
Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn có thể phát sinh với hệ thống quản lý ATTT để có các biện pháp bảo vệ và phòng ngừa. Các hành động bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:
1/. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.
2/. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện. 3/. Xác định và triển khai các hành động trên.
4/. Lập hồ sơ về các hành động này (xem 2.3.3.3). 5/. Xem xét các hành động đã được thực hiện trên.
Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên kết quả của quá trình đánh giá rủi ro.
Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi khắc phục sự cố do các vi phạm gây ra.