10 Melhoria
10.1 Não conformidade e ação corretiva
Quando uma não conformidade ocorre, a organização deve:
a) reagir à não conformidade, e conforme apropriado:
1) tomar ações para controlar e corrigi-la; e
2) tratar com as consequências;
b) avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou ocorrência, por um dos seguintes meios:
1) analisando criticamente a não conformidade;
2) determinando as causas da não conformidade; e
3) determinando se não conformidades similares existem, ou podem potencialmente ocorrer.
c) implementar quaisquer ações necessárias;
d) analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e
e) realizar mudanças no sistema de gestão da segurança da informação, quando necessário.
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
A organização deve reter informação documentada como evidência da:
a) natureza das não conformidades e quaisquer ações subsequentes tomadas; e
b) resultados de qualquer ação corretiva.
A não-conformidade é um problema que foi encontrado e, como tal, a organização irá reagir. A norma recomenda que a organização:
• Reaja, com ações para controle e correção e tratamento das consequências;
• Avalie a necessidade de ações para eliminar as causas (encontrar a causa e se existem não-conformidades similares);
• Implemente as ações necessárias;
• Analise criticamente a eficácia das ações tomadas;
• Realize mudanças no SGSI, se necessário; e
• Retenha toda a documentação pertinente.
Mas, veja que, mesmo sem decorar as regras, o bom senso pode nos ajudar!
a) não fazer nada?
b) não fazer nada?
c) não fazer nada?
d) verificar se existem outros problemas semelhantes – já é fazer alguma coisa;
e) forçar o problema novamente? Mas ele já foi encontrado...
Resposta certa, alternativa d).