10.1. No conformidades y acciones correctivas

Cuando ocurra una no conformidad, la empresa debe:

a) Reaccionar ante la no conformidad y según sea aplicable
b) Evaluar la necesidad de acciones para eliminar las causa de la no conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte.
c) Implantar cualquier acción necesaria
d) Revisar la eficacia de las acciones correctivas tomadas
e) Hacer cambios en el Sistema de Gestión de Seguridad de la Información
La organización debe conservar la información documentada adecuada, como evidencia de:
a) La naturaleza de las no conformidades y cualquier acción posterior tomada
b) Los resultados de cualquier acción correctiva