15.2.1 Conformidade com as políticas e normas de segurança da informação
Controle
Convém que gestores garantam que todos os procedimentos de segurança da informação dentro da sua área
de responsabilidade estão sendo executados corretamente para atender à conformidade com as normas e
políticas de segurança da informação.
Diretrizes para implementação
Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da
informação dentro da sua área de responsabilidade com as políticas de segurança da informação, normas e
quaisquer outros requisitos de segurança.
Se qualquer não-conformidade for encontrada como um resultado da análise crítica, convém que os gestores:
-
a) determinem as causas da não-conformidade;
-
b) avaliem a necessidade de ações para assegurar que a não-conformidade não se repita;
-
c) determinem e implementem ação corretiva apropriada;
-
d) analisem criticamente a ação corretiva tomada.
Convém que os resultados das análises críticas e das ações corretivas realizadas pelos gestores sejam
registrados e que esses registros sejam mantidos. Convém que os gestores relatem os resultados para as
pessoas que estão realizando a análise crítica independente (ver 6.1.8), quando a análise crítica independente
for realizada na área de sua responsabilidade.
Informações adicionais
A monitoração operacional de sistemas em uso é apresentada em 10.10.