Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта
10.2 Несоответствия и корректирующие действия
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 10 п. 1 пп. 3
10.1.3 Организация должна хранить документированную информацию в качестве объективных свидетельств, включающую:
- а) описание несоответствий и последующих предпринятых действий;
- b) результаты корректирующих действий.
Р. 10 п. 1 пп. 2
10.1.2 При возникновении несоответствия организация должна:
- а) реагировать на несоответствие и. если применимо:
- 1) выполнять действия по управлению и корректировке;
- 2) устранять последствия;
- b) оценить необходимость действий по устранению причин несоответствия, чтобы не допустить его возникновения в дальнейшем, путем:
- 1) проведения анализа несоответствия;
- 2) определения причин несоответствия;
- 3) определения наличия подобных несоответствий и возможности их возникновения в дальнейшем;
- с) предпринять все необходимые действия;
- d) провести анализ результативности предпринятых корректирующих действий;
- е) внести изменения в СМНД, если это необходимо.
Корректирующие действия должны соответствовать последствиям несоответствий.
NIST Cybersecurity Framework (RU):
RS.IM-2
RS.IM-2: Обновляются стратегии реагирования
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
RC.IM-1
RC.IM-1: Планы восстановления включают извлеченные уроки
RC.IM-2
RC.IM-2: Обновляются стратегии восстановления
RS.IM-1
RS.IM-1: Планы реагирования включают извлеченные уроки
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
10.1
10.1 Несоответствие и корректирующие действия
При появлении несоответствия организация должна:
а) реагировать на несоответствие и, если применимо:
1) предпринять необходимые действия, чтобы контролировать и устранить его;
2) устранять последствия несоответствия;
b) оценивать необходимость корректирующих действий по устранению причин несоответствия, чтобы избежать его повторения или появления в другом месте посредством:
1) анализа несоответствия;
2) определения причин появления несоответствия;
3) определения наличия подобных несоответствий или потенциальных(ой) возможностей(и) их возникновения; с) выполнять необходимые корректирующие действия;
d) анализировать результативность предпринятых корректирующих действий;
е) вносить при необходимости изменения в систему менеджмента информационной безопасности.
Корректирующие действия должны быть адекватны последствиям выявленных несоответствий.
Организация должна хранить документированную информацию в качестве свидетельства:
f) о характере несоответствий и любых последующих предпринимаемых действиях;
g) результатах любых корректирующих действий.
При появлении несоответствия организация должна:
а) реагировать на несоответствие и, если применимо:
1) предпринять необходимые действия, чтобы контролировать и устранить его;
2) устранять последствия несоответствия;
b) оценивать необходимость корректирующих действий по устранению причин несоответствия, чтобы избежать его повторения или появления в другом месте посредством:
1) анализа несоответствия;
2) определения причин появления несоответствия;
3) определения наличия подобных несоответствий или потенциальных(ой) возможностей(и) их возникновения; с) выполнять необходимые корректирующие действия;
d) анализировать результативность предпринятых корректирующих действий;
е) вносить при необходимости изменения в систему менеджмента информационной безопасности.
Корректирующие действия должны быть адекватны последствиям выявленных несоответствий.
Организация должна хранить документированную информацию в качестве свидетельства:
f) о характере несоответствий и любых последующих предпринимаемых действиях;
g) результатах любых корректирующих действий.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
10.2 Nonconformity and corrective action
10.2 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
When a nonconformity occurs, the organization shall:
- a) react to the nonconformity, and as applicable:
- 1) take action to control and correct it;
- 2) deal with the consequences;
- b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
- 1) reviewing the nonconformity;
- 2) determining the causes of the nonconformity; and
- 3) determining if similar nonconformities exist, or could potentially occur;
- c) implement any action needed;
- d) review the effectiveness of any corrective action taken; and
- e) make changes to the information security management system, if necessary.
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
Documented information shall be available as evidence of:
Documented information shall be available as evidence of:
- f) the nature of the nonconformities and any subsequent actions taken, and
- g) the results of any corrective action.
NIST Cybersecurity Framework (EN):
RS.IM-2
RS.IM-2: Response strategies are updated
PR.IP-7
PR.IP-7: Protection processes are improved
RC.IM-1
RC.IM-1: Recovery plans incorporate lessons learned
RC.IM-2
RC.IM-2: Recovery strategies are updated
RS.IM-1
RS.IM-1: Response plans incorporate lessons learned
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.