10.1不符合及糾正措施

當發生不符合時，組織應：

a)對不符合做出反應，適用時：

1)采取措施，以控制并予以糾正；

2)處理后果；

b)通過以下活動，評價采取消除不符合原因的措施的需求，以防止不符合再發生，或在其他地方發生：

1)評審不符合；

2)確定不符合的原因；

3)確定類似的不符合是否存在，或可能發生；

c)實現任何需要的措施；

d)評審任何所采取的糾正措施的有效性；

e)必要時，對信息安全管理體系進行變更。

糾正措施應與所遇到的不符合的影響相適合。

組織應保留文件化信息作為以下方面的證據：

f)不符合的性質及所采取的任何后續措施；

g)任何糾正措施的結果。