Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1) maatregelen treffen om de afwijking te beheersen en te corrigeren, en
2) de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat de afwijking zich niet herhaalt of zich elders voordoet, door:
1) de afwijking te beoordelen;
2) de oorzaken van de afwijking vast te stellen, en
3) vast te stellen of zich gelijksoortige afwijkingen voordoen of zouden kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen;
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen.
De organisatie moet gedocumenteerde informatie [A1>bijhouden als bewijs<A1] van:
f) de aard van de afwijkingen en de vervolgens genomen maatregelen; en
g) de resultaten van corrigerende maatregelen.
De organisatie moet continu de geschiktheid, [A1>toereikendheid<A1] en doeltreffendheid van het managementsysteem voor informatiebeveiliging verbeteren.