Manter e melhorar o SGSI
A organização deve regularmente :
a) Implementar as melhorias identificadas no SGSI.
b) Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.
c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.