ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

10 Улучшение

 

10.1 Несоответствие и корректирующие действия

При появлении несоответствия организация должна:

a) реагировать на несоответствие и, если применимо:

1) предпринять необходимые действия, чтобы контролировать и устранить его;

2) устранять последствия несоответствия;

b) оценивать необходимость корректирующих действий по устранению причин несоответствия, чтобы избежать его повторения или появления в другом месте посредством:

1) анализа несоответствия;

2) определения причин появления несоответствия;

3) определения наличия подобных несоответствий или потенциальных(ой) возможностей(и) их возникновения;

c) выполнять необходимые корректирующие действия;

d) анализировать результативность предпринятых корректирующих действий;

e) вносить при необходимости изменения в систему менеджмента информационной безопасности.

Корректирующие действия должны быть адекватны последствиям выявленных несоответствий.

Организация должна хранить документированную информацию в качестве свидетельства:

f) о характере несоответствий и любых последующих предпринимаемых действиях;

g) результатах любых корректирующих действий.