4.保持和改進ISMS

組織針對內部評審、管理評審的結果報告，應定期（一般不超過一年）進行ISMS 改進，采取合適的糾正和預防措施，同時需要從其他組織或組織自身的安全經驗中吸取教訓。組織還應向所有相關方（上級組織、國家信息安全監管部門、民間信息安全機構等）溝通措施和改進情況，其詳細程度應與組織所處的行業環境（例如組織是否屬于關鍵信息基礎設施）相適應，需要時，與相關方商定如何進行改進，并確保改進達到了預期目標。