Стб iso/iec 27001-2011 информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

СТБ ISO/IEC 27001-2011 "ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МЕТОДЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ"

1 Область применения

1.1 Общие положения

Настоящий стандарт предназначен для применения организациями любой формы собственности (например, коммерческими предприятиями, государственными органами, некоммерческими организациями). Настоящий стандарт устанавливает требования к разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению документально оформленной СМИБ в контексте общих бизнес-рисков организации. Стандарт устанавливает требования к внедрению средств управления безопасностью с учетом потребностей конкретных организаций и их подразделений.

СМИБ разрабатывается с целью обеспечения выбора адекватных и соразмерных средств управления безопасностью, которые предназначены для защиты информационных активов и придают уверенность заинтересованным сторонам.

Примечание 1 – Термин «бизнес» в настоящем стандарте следует понимать в широком смысле как основные виды деятельности для целей существования организации.

Примечание 2 – ISO/IEC 27002 содержит руководство по внедрению, которое может использоваться при разработке средств управления.

1.2 Применение

Требования, установленные в настоящем стандарте, являются общими и предназначены для применения всеми организациями независимо от вида, размера и характера деятельности. Если организация заявляет о соответствии настоящему стандарту, исключение любого из требований, указанных в разделах 4–8, недопустимо.

Любое исключение средств управления, обусловленное необходимостью удовлетворения критерию приемлемости риска, должно быть обосновано, а также должны быть представлены объективные свидетельства того, что связанные риски приняты ответственными лицами. В случае исключения каких-либо средств управления заявления о соответствии настоящему стандарту неприемлемы, кроме случаев, когда такое исключение не влияет на способность и/или ответственность организации по обеспечению информационной безопасности, отвечающей требованиям, определенным при оценке риска, а также применимым правовым или другим обязательным требованиям.

Примечание – Если организация уже имеет действующую систему менеджмента бизнес-процессов (например, связанную с ISO 9001 или ISO 14001), тогда в большинстве случаев предпочтительнее выполнять требования настоящего стандарта в рамках существующей системы менеджмента.

2 Нормативные ссылки

Для применения настоящего стандарта необходим следующий ссылочный стандарт. Для недатированных ссылок применяют последнее издание ссылочного стандарта (включая все его изменения).

ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Свод правил по менеджментуинформационной безопасности

3 Термины и определения

В настоящем стандарте применяют следующие термины с соответствующими определениями:

3.1 актив (asset): Все, что имеет ценность для организации.

[ISO/IEC 13335-1:2004]

3.2 доступность (availability): Свойство нахождения в состоянии готовности и пригодности для использования по запросу авторизованного логического объекта.

[ISO/IEC 13335-1:2004]

3.3 конфиденциальность (confidentiality): Свойство, заключающееся в том, что информация не может стать доступной или открытой неавторизованным лицам, логическим объектам или процессам.

[ISO/IEC 13335-1:2004]

3.4 информационная безопасность (information security): Сохранение конфиденциальности, целостности и доступности информации, а также другие свойства, такие как аутентичность, подотчетность, неопровержимость и безотказность.

[ISO/IEC 17799:2005]

3.5 событие в области информационной безопасности (information security event): Идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение политики информационной безопасности или отказ средств защиты, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью.

[ISO/IEC TR 18044:2004]

3.6 инцидент в области информационной безопасности (information security incident): Одно или ряд нежелательных или непредвиденных событий в области информационной безопасности, при которых имеется значительная вероятность компрометации бизнес-операций и угрозы информационной безопасности.

[ISO/IEC TR 18044:2004]

3.7 система менеджмента информационной безопасности; СМИБ (information security management system; ISMS): Часть общей системы менеджмента для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности, использующая подход, основанный на бизнес-рисках.

Примечание – Система менеджмента включает структуру, политики, деятельность по планированию, ответственность, действия, процедуры, процессы и ресурсы организации.

3.8 целостность (integrity): Свойство сохранения точности и полноты активов.

[ISO/IEC 13335-1:2004]

3.9 остаточный риск (residual risk): Риск, остающийся после обработки риска.

[ISO/IEC Guide 73:2002]

3.10 принятие риска (risk acceptance): Решение о принятии риска.

[ISO/IEC Guide 73:2002]

3.11 анализ риска (risk analysis): Систематическое использование информации для идентификации источников и определения риска.

[ISO/IEC Guide 73:2002]

3.12 оценка риска (risk assessment): Общий процесс анализа и оценивания риска.

[ISO/IEC Guide 73:2002]

3.13 оценивание риска (risk evaluation): Процесс сравнения определенного ранее риска с установленными критериями риска для определения его значимости.

[ISO/IEC Guide 73:2002]

3.14 менеджмент риска (risk management): Координированные действия по руководству и управлению организацией в отношении риска.

[ISO/IEC Guide 73:2002]

3.15 обработка риска (risk treatment): Процесс выбора и применения мер для изменения риска.

[ISO/IEC Guide 73:2002]

Примечание – В настоящем стандарте термин «средство управления» используется в качестве синонима к слову «мера».

3.16 положение о применимости (statement of applicability): Документально оформленное положение, описывающее цели и средства управления, соответствующие и применимые к системе менеджмента информационной безопасности организации.

Примечание – Цели и средства управления основываются на результатах и выводах процедур оценки и обработки рисков, правовых и законодательных требованиях, контрактных обязательствах и бизнес-требованиях организации к информационной безопасности.

4 Система менеджмента информационной безопасности

4.1 Общие требования

Организация должна разработать, внедрить, обеспечить функционирование, осуществлять мониторинг, анализировать, поддерживать и постоянно улучшать документально оформленную СМИБ в контексте бизнес-деятельности организации и рисков, с которыми она сталкивается. Описанный в настоящем стандарте процесс основывается на модели PDCA, показанной на рисунке 1.

Рисунок 1 – Модель PDCA применительно к процессам СМИБ

4.2 Разработка системы менеджмента информационной безопасности и управление ею

4.2.1 Разработка системы менеджмента информационной безопасности

Организация должна:

a) определить область применения и границы распространения СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, включая подробные сведения и обоснование любых исключений из области применения (см. 1.2);

b) определить политику СМИБ с учетом характеристик бизнеса, организации, ее расположения, активов и технологий, которая:

1) включает инфраструктуру для постановки целей и устанавливает основные направления и принципы деятельности в области информационной безопасности;

2) принимает во внимание бизнес-требования, правовые или другие обязательные требования, а также контрактные обязательства по обеспечению безопасности;

3) согласуется со стратегией менеджмента рисков организации, в соответствии с которой будет осуществляться разработка и поддержка СМИБ;

4) разрабатывает критерии для оценивания рисков [см. 4.2.1, перечисление c)];

5) одобрена руководством.

Примечание – В настоящем стандарте политика СМИБ рассматривается как документ более высокого уровня по отношению к политикам информационной безопасности. Эти политики могут быть описаны в одном документе;

c) определить подход к оценке рисков в организации:

1) определять методологию оценки рисков в соответствии с требованиями СМИБ, в том числе требованиями информационной безопасности бизнеса, правовыми и другими обязательными требованиями;

2) разработать критерии принятия рисков и идентифицировать приемлемые уровни риска [см. 5.1, перечисление f)].

Выбранная методология оценки рисков должна обеспечивать сопоставимые и воспроизводимые результаты.

Примечание – Существуют различные методологии оценки рисков. Примеры таких методологий рассмотрены в ISO/IEC TR 13335-3 «Информационные технологии. Руководство по управлению безопасностью информационных технологий. Часть 3. Методы менеджмента безопасности IT»;

d) идентифицировать риски:

1) идентифицировать активы в пределах области применения СМИБ и владельцев данных активов.

Термин «владелец» определяет лицо или логический объект, на которые руководством возложена ответственность за управление созданием, разработкой, поддержкой, использованием и безопасностью активов. Термин «владелец» не означает, что данное лицо фактически имеет права собственности на этот актив;

2) идентифицировать угрозы для этих активов;

3) идентифицировать уязвимости, которые могут возникнуть при этих угрозах;

4) идентифицировать последствия для активов, к которым могут привести потеря конфиденциальности, целостности и доступности;

e) анализировать и оценивать риски:

1) провести оценку воздействий бизнеса на организацию, которые могут возникать в результате нарушений безопасности с учетом последствий потери конфиденциальности, целостности или доступности активов;

2) провести оценку реальной вероятности нарушения безопасности с учетом доминирующих угроз и уязвимостей, а также последствий, связанных с этими активами, и используемых в настоящее время средств управления;

3) определить уровни рисков;

4) определить, являются ли риски приемлемыми или требуют ли обработки с использованием критериев приемлемости рисков, установленных в 4.2.1, перечисление c)2);

f) идентифицировать и оценивать возможные варианты обработки рисков.

Возможные действия включают:

1) применение соответствующих средств управления;

2) сознательное и объективное принятие рисков при условии, что они полностью удовлетворяют политикам организации и критериям принятия рисков [см. 4.2.1, перечисление c)2)];

3) избежание рисков;

4) передачу соответствующих бизнес-рисков другим сторонам, например страховым компаниям, поставщикам;

g) выбирать цели и средства управления для обработки рисков.

Цели и средства управления должны выбираться и использоваться так, чтобы обеспечить соответствие требованиям, идентифицированным в процессе оценки и обработки рисков. При этом должны учитываться критерии принятия рисков [см. 4.2.1, перечисление c)2)], а также правовые, другие обязательные и контрактные требования.

Цели и средства управления должны быть частью этого процесса и выбираться из числа приведенных в приложении A как соответствующие для охвата идентифицированных требований.

Перечень целей и средств управления, приведенный в приложении A, не является исчерпывающим, и могут быть выбраны дополнительные цели и средства управления.

Примечание – В приложении A содержится полный перечень целей и средств управления, которые в большинстве случаев были определены как характерные для организаций. Пользователи настоящего стандарта должны обращаться к приложению A как к отправной точке для выбора средства управления и обеспечения того, что ни один из основных вариантов средств управления не был упущен;

h) получить одобрение руководства по предлагаемым остаточным рискам;

i) получить санкцию руководства на внедрение и обеспечение функционирования СМИБ;

j) разработать положение о применимости.

Положение о применимости должно включать:

1) цели и средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], и обоснование этого выбора;

2) реализуемые в настоящее время цели и внедряемые средства управления [см. 4.2.1, перечисление e)2)];

3) исключенные цели и средства управления, предусмотренные приложением A, и обоснование их исключения.

Примечание – Положение о применимости содержит свод решений, касающихся обработки рисков. Обоснование исключений обеспечивает перекрестную проверку, позволяющую определить, что ни одно средство управления не было непреднамеренно исключено.

4.2.2 Внедрение и обеспечение функционирования системы менеджмента информационной безопасности

Организация должна:

a) разработать план обработки рисков, в котором идентифицированы соответствующие действия руководства, ресурсы, ответственность и приоритеты в отношении менеджмента рисков информационной безопасности (см. раздел 5);

b) реализовывать план обработки рисков для достижения идентифицированных целей управления, который включает финансирование и распределение ролей и ответственности;

c) внедрить средства управления, выбранные в соответствии с 4.2.1 [перечисление g)], для достижения целей управления;

d) определять способ измерения результативности выбранных средств управления или групп средств управления и установить, как должны будут выполняться данные измерения для оценки результативности средств управления, с целью получения сопоставимых и воспроизводимых результатов [см. 4.2.3, перечисление c)].

Примечание – Измерение результативности средств управления позволяет руководителям и персоналу определить, насколько средства управления позволяют достигать запланированных целей управления;

e) реализовывать программы по подготовке и повышению осведомленности (см. 5.2.2);

f) осуществлять менеджмент функционирования СМИБ;

g) осуществлять менеджмент ресурсов СМИБ (см. 5.2);

h) внедрить процедуры и другие средства управления, позволяющие обеспечить быстрое обнаружение событий и реагирование на инциденты в области безопасности [см. 4.2.3, перечисление a)].

4.2.3 Мониторинг и анализ системы менеджмента информационной безопасности

Организация должна:

a) выполнять процедуры мониторинга и анализа и применять другие средства управления, для того чтобы:

1) своевременно обнаруживать ошибки в результатах обработки;

2) своевременно идентифицировать неудавшиеся и успешные попытки нарушения и инциденты в области безопасности;

3) предоставить руководству возможность определить, что деятельность по обеспечению безопасности реализуется посредством делегирования полномочий персоналу или внедряется с применением информационных технологий;

4) способствовать обнаружению событий в области безопасности и таким образом предотвращать инциденты в области безопасности посредством использования показателей;

5) определять, являются ли предпринятые действия результативными для устранения нарушений безопасности;

b) регулярно проводить анализ результативности СМИБ (включая оценку соответствия политике и целям СМИБ и анализ средств управления), принимая во внимание результаты аудитов безопасности, инциденты, результаты измерений результативности, предложения и обратную связь от всех заинтересованных сторон;

c) измерять результативность средств управления с целью верификации соответствия требованиям безопасности;

d) анализировать оценки рисков через запланированные интервалы, а также остаточные риски и идентифицированные приемлемые уровни риска, принимая во внимание изменения в:

1) организации;

2) технологиях;

3) бизнес-целях и процессах;

4) идентифицированных угрозах;

5) результативности применяемых средств управления;

6) внешних событиях, таких как изменения в правовых или других обязательных требованиях, контрактных обязательствах и изменения социально-психологического климата;

e) проводить внутренние аудиты СМИБ через запланированные интервалы (см. раздел 6).

Примечание – Внутренние аудиты, иногда называемые аудитами первой стороной, проводятся организацией самостоятельно или от ее имени для внутренних целей;

f) регулярно проводить анализ СМИБ со стороны руководства, чтобы гарантировать адекватность ее области применения и идентификацию улучшений в процессах СМИБ (см. 7.1);

g) обновлять планы в области безопасности, учитывая результаты деятельности по мониторингу и анализу;

h) вести записи действий и событий, которые могли повлиять на результативность или функционирование СМИБ (см. 4.3.3).

4.2.4 Поддержка и улучшение системы менеджмента информационной безопасности

Организация должна регулярно:

a) внедрять идентифицированные улучшения в СМИБ;

b) предпринимать соответствующие корректирующие и предупреждающие действия в соответствии с 8.2 и 8.3. Извлекать уроки из опыта других организаций и самой организации в области обеспечения безопасности;

c) обеспечивать обмен информацией о действиях и улучшениях со всеми заинтересованными сторонами с уровнем детализации, соответствующим обстоятельствам, и при необходимости согласовывать дальнейшую деятельность;

d) обеспечивать, что улучшения достигают намеченных целей.

4.3 Требования к документации

4.3.1 Общие положения

Документация должна включать записи решений руководства, обеспечивать прослеживаемость действий по решениям руководства и политикам и воспроизводимость записанных результатов.

Важно обеспечить возможность продемонстрировать обратную связь от выбранных средств управления к результатам оценки рисков и процесса обработки рисков и, следовательно, к политике и целям СМИБ.

Документация СМИБ должна включать:

a) документально оформленные заявления о политике [см. 4.2.1, перечисление b)] и целях СМИБ;

b) область применения СМИБ [см. 4.2.1, перечисление a)];

c) процедуры и средства управления, поддерживающие СМИБ;

d) описание методологии оценки рисков [см. 4.2.1, перечисление c)];

e) отчет об оценке рисков [см. 4.2.1, перечисления c) – g)];

f) план обработки рисков [см. 4.2.2, перечисление b)];

g) документированные процедуры, необходимые для результативного планирования, обеспечения функционирования и управления процессами в области информационной безопасности, и описание того, как измерять результативность средств управления [см. 4.2.3, перечисление c)];

h) записи, требуемые согласно настоящему стандарту (см. 4.3.3);

i) положение о применимости.

Примечание 1 – Там, где в настоящем стандарте употребляется термин «документированная процедура», это означает, что процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии.

Примечание 2 – Степень документированности СМИБ в разных организациях может различаться в зависимости от:

– размера организации и вида деятельности;

– области применения и сложности требований безопасности и системы, менеджмент которой осуществляется.

Примечание 3 – Документы и записи могут быть в любой форме и на носителях любого типа.

4.3.2 Управление документами

Документы, требуемые СМИБ, должны быть защищены и находиться под управлением. Должна быть разработана документированная процедура для определения действий по осуществлению менеджмента, необходимых для:

a) одобрения документов на адекватность до их выпуска;

b) анализа, актуализации по мере необходимости и повторного одобрения документов;

c) обеспечения идентификации изменений и текущего статуса пересмотра документов;

d) обеспечения наличия соответствующих версий документов в местах их применения;

e) обеспечения сохранения документов четкими и легко идентифицируемыми;

f) обеспечения доступности документов тем, кто в них нуждается, и передачи, хранения и уничтожения документов в соответствии с процедурами, применимыми к их классификации;

g) обеспечения идентификации документов внешнего происхождения;

h) обеспечения управления распространением документов;

i) предотвращения непреднамеренного использования устаревших документов;

j) применения соответствующей идентификации устаревших документов, оставленных для каких-либо целей.

4.3.3 Управление записями

Для предоставления свидетельств соответствия требованиям и результативного функционирования СМИБ необходимо установить и вести записи. Записи должны быть защищены и находиться под управлением. В СМИБ должны быть учтены любые соответствующие правовые или другие обязательные требования и контрактные обязательства. Записи должны оставаться четкими, легко идентифицируемыми и доступными. Средства управления, необходимые для идентификации, хранения, защиты, извлечения, определения сроков хранения и изъятия записей, должны быть документированы и внедрены.

Записи должны отражать выполнение процессов, определенных в соответствии с 4.2, и все случаи возникновения инцидентов информационной безопасности, связанных со СМИБ.

Пример – Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудита, заполненные формы авторизации доступа.

5 Ответственность руководства

5.1 Обязательства руководства

Руководство должно предоставить свидетельства принятых обязательств по разработке, внедрению, обеспечению функционирования, мониторингу, анализу, поддержке и улучшению СМИБ посредством:

a) установления политики СМИБ;

b) обеспечения установления целей и разработки планов СМИБ;

c) определения ролей и ответственности в области информационной безопасности;

d) доведения до сведения организации важности достижения целей в области информационной безопасности и соответствия политике в области информационной безопасности, ее ответственности перед законом и необходимости постоянного улучшения;

e) выделения достаточных ресурсов для разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ (см. 5.2.1);

f) установления критериев принятия рисков и их приемлемых уровней;

g) обеспечения проведения внутренних аудитов СМИБ (см. раздел 6);

h) проведения анализа СМИБ со стороны руководства (см. раздел 7).

5.2 Менеджмент ресурсов

5.2.1 Обеспечение ресурсами

Организация должна определить и предоставить ресурсы, необходимые для:

a) разработки, внедрения, обеспечения функционирования, мониторинга, анализа, поддержки и улучшения СМИБ;

b) обеспечения поддержки бизнес-требований процедурами информационной безопасности;

c) идентификации и изучения правовых и других обязательных требований и контрактных обязательств в области безопасности;

d) поддержания адекватной безопасности посредством правильного применения всех внедренных средств управления;

e) проведения анализа при необходимости и принятия соответствующих мер по его результатам;

f) повышения результативности СМИБ при необходимости.

5.2.2 Подготовка, осведомленность и компетентность

Организация должна обеспечить, чтобы весь персонал, который наделен ответственностью, определенной в СМИБ, обладал достаточной компетентностью для выполнения поставленных задач путем:

a) определения необходимой компетентности для персонала, выполняющего работу, которая влияет на СМИБ;

b) обеспечения подготовки или осуществления других действий (например, наем компетентного персонала) для удовлетворения этих потребностей;

c) оценивания результативности предпринятых действий;

d) поддержания в рабочем состоянии записей об образовании, подготовке, навыках, опыте и квалификации (см. 4.3.3).

Организация должна также обеспечить осведомленность персонала об актуальности и важности его деятельности в области информационной безопасности и вкладе в достижение целей СМИБ.

6 Внутренние аудиты системы менеджмента информационной безопасности

Организация должна проводить внутренние аудиты СМИБ через запланированные интервалы, чтобы определить, что цели управления, средства управления, процессы и процедуры СМИБ:

a) соответствуют требованиям настоящего стандарта и соответствующим законодательным или другим обязательным требованиям;

b) соответствуют идентифицированным требованиям в области информационной безопасности;

c) результативно внедряются и поддерживаются;

d) функционируют должным образом.

Программа аудита должна планироваться с учетом статуса и важности процессов и областей, подлежащих аудиту, а также результатов предыдущих аудитов. Должны быть определены критерии, область, частота и методы аудита. Выбор аудиторов и проведение аудитов должны обеспечивать объективность и беспристрастность процесса аудита. Аудиторы не должны проводить аудит своей собственной работы.

Ответственность и требования для планирования и проведения аудита и для отчетности о результатах и ведения записей (см. 4.3.3) должны быть установлены в документированной процедуре.

Руководство, несущее ответственность за область, подлежащую аудиту, должно обеспечить, чтобы действия по устранению обнаруженных несоответствий и их причин предпринимались без необоснованной задержки. Последующие действия должны включать верификацию предпринятых действий и составление отчета о результатах верификации (см. раздел 8).

Примечание 1 – Рекомендации, приведенные в ISO 19011 «Руководство по аудиту систем менеджмента качества и/или систем экологического менеджмента», могут быть полезны для проведения внутреннего аудита СМИБ.

7 Анализ системы менеджмента информационной безопасности со стороны руководства

7.1 Общие положения

Руководство должно через запланированные интервалы (не менее одного раза в год) анализировать СМИБ организации в целях обеспечения ее постоянной пригодности, адекватности и результативности. В анализ следует включать оценку возможностей для улучшения и потребности в изменениях СМИБ, в том числе политики и целей информационной безопасности. Результаты анализа должны быть четко документированы, а записи должны поддерживаться в рабочем состоянии (см. 4.3.3).

7.2 Входные данные для анализа

Входные данные для анализа со стороны руководства должны включать:

a) результаты аудитов и анализов СМИБ;

b) обратную связь от заинтересованных сторон;

c) методы, средства или процедуры, которые могут быть использованы в организации для улучшения функционирования и повышения результативности СМИБ;

d) статус предупреждающих и корректирующих действий;

e) уязвимости или угрозы, которые не были адекватно учтены при предыдущей оценке рисков;

f) результаты измерений результативности;

g) действия, предпринятые по итогам предыдущих анализов со стороны руководства;

h) любые изменения, которые могли повлиять на СМИБ;

i) рекомендации по улучшению.

7.3 Выходные данные анализа

Выходные данные анализа со стороны руководства должны включать все решения и действия, относящиеся к:

a) повышению результативности СМИБ;

b) обновлению плана оценки и обработки рисков;

c) изменению процедур и средств управления, влияющих на информационную безопасность, с целью обеспечения реагирования на внутренние или внешние события, которые могут оказать воздействие на СМИБ, включая изменения в:

1) бизнес-требованиях;

2) требованиях безопасности;

3) бизнес-процессах, обеспечивающих выполнение существующих бизнес-требований;

4) правовых или других обязательных требованиях;

5) контрактных обязательствах;

6) уровнях риска и/или критериях принятия рисков;

d) потребностям в ресурсах;

e) улучшению способов измерения результативности средств управления.

8 Улучшение системы менеджмента информационной безопасности

8.1 Постоянное совершенствование

Организация должна постоянно повышать результативность СМИБ посредством использования политики в области информационной безопасности, целей в области информационной безопасности, результатов аудитов, анализа событий по результатам мониторинга, корректирующих и предупреждающих действий и анализа со стороны руководства (см. раздел 7).

8.2 Корректирующие действия

Организация должна предпринимать действия по устранению причин несоответствий требованиям СМИБ с целью предупреждения их повторного возникновения. Документированная процедура по корректирующим действиям должна определять требования к:

a) идентификации несоответствий;

b) определению причин несоответствий;

c) оцениванию необходимости действий, чтобы избежать повторения несоответствия;

d) определению и осуществлению необходимых корректирующих действий;

e) записям результатов предпринятых действий (см. 4.3.3);

f) анализу предпринятых корректирующих действий.

8.3 Предупреждающие действия

Организация должна определять действия по устранению причин потенциальных несоответствий требованиям СМИБ с целью предупреждения их возникновения. Предпринимаемые предупреждающие действия должны соответствовать последствиям потенциальных проблем. Документированная процедура по предупреждающим действиям должна определять требования к:

a) идентификации потенциальных несоответствий и их причин;

b) оцениванию необходимости действий для предупреждения возникновения несоответствий;

c) определению и осуществлению необходимых предупреждающих действий;

d) записям результатов предпринятых действий (см. 4.3.3);

e) анализу предпринятых предупреждающих действий.

Организация должна идентифицировать изменившиеся риски и идентифицировать требования к предупреждающим действиям, акцентируя внимание на существенно изменившихся рисках.

Приоритетность предупреждающих действий должна определяться на основе результатов оценки рисков.

Примечание – Действия по предупреждению несоответствий часто более экономически выгодны, чем корректирующие действия.