# 10.2 Afwijkingen en corrigerende maatregelen

Wanneer zich een afwijking voordoet, moet de organisatie:

a)  op de afwijking reageren, en indien van toepassing:

    1.  maatregelen treffen om de afwijking te beheersen en te corrigeren;

    2.  de consequenties aanpakken;

b)  de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich niet elders voordoet, door:

    1.  de afwijking te beoordelen;

    2.  de oorzaken van de afwijking vast te stellen; en

    3.  vast te stellen of zich gelijksoortige afwijkingen voordoen of kunnen voordoen;

c)  de benodigde maatregelen implementeren;

d)  de doeltreffendheid van getroffen corrigerende maatregelen beoordelen; en

e)  zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.

Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen. Gedocumenteerde informatie moet beschikbaar zijn als bewijs van:

f)  de aard van de afwijkingen en de vervolgens getroffen maatregelen;

g)  de resultaten van corrigerende maatregelen.