c)  用于改善ISMS/ITSMS绩效和有效性而在公司中使用的技术、产品和程序

d)  预防和纠正措施的状况

e)  初始风险评价中未列出的脆弱性和威胁

f)  风险评估的结果、应对风险和机遇措施的有效性

g)  有效性、绩效度量的结果

h)  前次管理评审后的跟踪措施

i)  影响ISMS/ITSMS的任何改变

j)  改进的建议

管理评审的输出

a)  改善ISMS/ITSMS的有效性

b)  更新风险评估和风险处理计划

当发生以下导致影响ISMS的内外部事件时，应对信息安全有关的程序做必要的更改；

商务要求

安全要求

影响外部商务要求的商务过程

法律法规环境

合同责任

风险水平和（或）风险接受水平

c)  资源需求

d)  对测量控制措施有效性的改进

9.4  服务报告

组织应确定报告的要求和用途。

关于服务管理体系和服务的绩效、有效性的报告应使用服务管理体系和服务交付活动产生的信息。服务报告应包括趋势。

组织应基于服务报告的结果决策和采取措施。已协定的措施应和其他相关方沟通。

注：需要的报告在本标准的相关条款要求，也可以生成额外的报告。

10. 改进

10.1 不符合及纠正措施

10.1.1 当发生不符合时，组织应：

a)对不符合做出反应，适用时：

1）采取措施，以控制并予以纠正；

2）处置后果；

b)通过以下活动，评价是否需要采取措施，以消除产生不符合的原因，避免其再次发生或在其他场合发生；

1）评审不符合；

2）确定不符合的原因；

3）确定类似的不符合是否存在，或可能发生的情况；

c)实现任何需要的措施；

d)评审任何所采取的纠正措施的有效性；

e)必要时，对服务管理体系进行变更。

纠正措施应适用于遇到的不符合的影响。

10.1.2 组织应保留形成文件的信息，作为下列事项的证据：

a）不合格的性质以及随后所采取的措施；

b）任何纠正措施的结果。

10.2 持续改进

组织应持续改进信息安全/信息技术服务管理体系和服务的适用性、充分性和有效性。

授权决策时，组织应确定适用于改进机会的评估标准。评估标准应包括和信息安全/信息技术服务管理目标保持一致。

改进机会应保留文件化信息。

组织应对同意的改进机会进行管理，包括下列活动：

a) 在质量、价值、能力、成本、成果、资源利用率和风险降低等方面设置一个或者多个改进目标；