不符合、纠正措施和预防措施是信息安全管理系统的重要概念。

    不符合：是指实施、维持并改进所要求的一个或多个信息安全管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

    纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：

    识别信息安全管理体系实施、运作过程中的不符合； 确定不符合的原因； 评价确保不符合不再发生的措施要求； 取定并实施所需的纠正措施； 记录所采取措施的结果； 评审所采取措施的有效性，预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序 应该规定以下方面的要求：

    识别潜在不符合及其原因； 确定并实施所需的预防措施； 记录所采取措施的结果； 评审所采取的预防措施； 识别已变化的风险，并确保对发生重大变化的风险作出判断并且予以关注。

http://icp.zhiyuanit.com