4.保持和改进ISMS
组织针对内部评审、管理评审的结果报告,应定期(一般不超过一年)进行ISMS 改进,采取合适的纠正和预防措施,同时需要从其他组织或组织自身的安全经验中吸取教训。组织还应向所有相关方(上级组织、国家信息安全监管部门、民间信息安全机构等)沟通措施和改进情况,其详细程度应与组织所处的行业环境(例如组织是否属于关键信息基础设施)相适应,需要时,与相关方商定如何进行改进,并确保改进达到了预期目标。