Что такое iso iec
Стандарты DIN, EN, ISO и IEC в чем различия?
DIN, EN, ISO и IEC в чем различия?
DIN = стандарты в Германии
EN = стандарты в Европе
ISO = Международные стандарты (механика)
IEC = Международные стандарты (электротехника и электротехника)
Когда стандарт EN включен в каталог стандартизации, решается в рамках стандартизированного процесса. В принципе, любой член европейской организации по стандартизации может предложить стандарт. В дополнение к стандарту DIN, стандарт EN утвердился в большинстве существующих стандартов в Германии. Поэтому многие стандарты имеют обозначение DIN EN, и часто они также стандартизированы ISO.
ISO и IEC: Международные стандарты
ISO означает «Международная организация по стандартизации» и, следовательно, обозначает международные стандарты. Организация была основана в 1946 году, чтобы установить отраслевые стандарты, упростить технические правила и сделать их международными. Стандарты ISO носят в основном механический характер. Стандарты ISO также могут существовать сами по себе или включаться в список европейских или национальных стандартов с добавлением ISO. В конечном итоге это означает только то, что, например, немецкий стандарт DIN соответствует международным требованиям.
В частности, малым и средним компаниям зачастую трудно идти в ногу с джунглями стандартов DIN, EN и ISO, не говоря уже об участии в работе по стандартизации. Каждый может внести свой вклад в установление новых стандартов: производители, потребители, университеты и исследовательские институты могут присылать экспертов, которые принимают решение о новых стандартах в комитет и проверяют существующие, чтобы убедиться, что они актуальны.
Немецкие, европейские или международные стандарты важны для сопоставимости продуктов, решений и услуг. Менее важно, имеют ли они сертификаты DIN, EN или ISO. Более того: национальные стандарты в настоящее время становятся все более сопоставимыми на международном уровне. Сегодня это уже невозможно без стандартов: они создают доверие, делают продукты сопоставимыми и служат международным языком для торговых партнеров.
Стандарты помогают сделать продукты и решения сопоставимыми, а также являются движущими силами инноваций. Соблюдение стандартов создает доверие и, следовательно, является двигателем продаж.
CENELEC = Comité Européen de Normalization Electrotechnique (Европейский комитет по электротехнической стандартизации)
DIN = Немецкий институт стандартизации
VDE = Ассоциация электротехники, электроники и информационных технологий
ISO = Международная организация по стандартизации CIE = Международная комиссия по освещению (Международная комиссия по освещению)
CEN = Comité Européen de Normalization (Европейский комитет по стандартизации)
Стандарты управления информационной безопасностью ISO/IEC 27001:2013
Обзор ISO/IEC 27001
Международная организация по стандартизации (ISO) — это независимая неправительственная организация и крупнейший в мире разработчик рекомендательных международных стандартов. Международная электротехническая комиссия (МЭК) является ведущей мировой организацией по подготовке и публикации международных стандартов для электрических, электронных и смежных технологий.
Семейство стандартов ISO/IEC 27000, опубликованное в рамках объединенного подкомитета ISO/IEC, описывает сотни элементов управления и механизмов контроля, чтобы помочь организациям любых типов и размеров в вопросах обеспечения безопасности информационных активов. Эти глобальные стандарты обеспечивают платформу для политик и процедур, которые включают в себя все юридические, физические и технические аспекты контроля, участвующие в процессах управления информационными рисками для организации.
ISO/IEC 27001 — это стандарт безопасности, который официально определяет систему управления информационной безопасностью (СУИБ), предназначенную для обеспечения информационной безопасности под явным контролем управления. В качестве официальной спецификации он устанавливает требования, которые определяют порядок внедрения, контроля, поддержания и непрерывного улучшения СУИБ. Кроме того, он предписывает набор советов и рекомендаций, которые включают требования к документации, зоны разделения ответственности, доступность, контроль доступа, безопасность, аудит, а также корректирующие и профилактические меры. Сертификация по ISO/IEC 27001 помогает организациям соблюдать множество нормативных и законодательных требований, связанных с безопасностью информации.
Microsoft и ISO/IEC 27001
Международное признание и применимость ISO / IEC 27001 является основной причиной, по которой сертификация по этому стандарту выдвинута на передний план подхода корпорации Майкрософт к внедрению и управлению информационной безопасностью. Получение корпорацией Майкрософт сертификата ISO / IEC 27001 указывает на ее приверженность выполнению обещаний клиентам с точки зрения корпоративного соответствия требованиям безопасности. В настоящее время как Azure общедоступный, так и Azure для Германии проходят проверку один раз в год на соответствие стандарту ISO / IEC 27001 сторонним уполномоченным органом по сертификации, обеспечивая независимую проверку наличия средств управления безопасностью и их эффективной работы.
Узнайте о преимуществах ISO/IEC 27001 в облачной службе Microsoft: Загрузите ISO/IEC 27001: 2013
Затрагиваемые облачные платформы и службы Майкрософт
Azure, Dynamics 365 и ISO 27001
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO 27001:2013.
Office 365 и ISO 27001
Облачные среды Office 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
Этот раздел посвящен следующим облачным средам Office 365.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Access Online, Azure Active Directory, Azure Communications Service, диспетчер соответствия требованиям, защищенное хранилище, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, клиентский портал Office 365, микрослужбы Office 365 (в том числе Kaizala, ObjectStore, Sway, Power Automate, служба документов PowerPoint Online, служба аннотации запросов, Синхронизация сведений о школе, Siphon, Speech, StaffHub, программа приложений eXtensible), Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power BI, Project Online, шифрование службы с помощью ключа клиента, SharePoint Online, Skype для бизнеса, Stream |
| GCC | Azure Active Directory, Azure Communications Service, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
| GCC High | Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
| DoD | Azure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Центр безопасности и соответствия требованиям Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса |
Аудит, отчеты и сертификаты Office 365
Облачные службы Office 365 подлежат аудиту не менее одного раза в год по стандарту ISO 27001:2013.
Оценки и отчеты Office 365
Вопросы и ответы
Почему важно соответствие Office 365 требованиям ISO/IEC 27001?
Соответствие этим стандартам, подтвержденное аккредитованным аудитором, показывает, что корпорация Майкрософт использует международно признанные процессы и передовые практики для управления инфраструктурой и организацией, которые поддерживают и предоставляют свои услуги. Сертификат подтверждает, что корпорация Майкрософт применила рекомендации и общие принципы для инициирования, внедрения, поддержки и улучшения подхода к управлению информационной безопасностью.
Где можно получить отчеты аудита по ISO 27001 и SCOPE для служб Office 365?
На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. Вы можете воспользоваться порталом для запроса отчетов, что позволит вашим аудиторам сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.
Проводятся ли ежегодные тесты на предмет сбоев инфраструктуры Office 365?
Да. Ежегодный процесс сертификации ISO / IEC 27001 для группы облачной инфраструктуры и операций Майкрософт включает в себя аудит операционной устойчивости. Для просмотра последнего сертификата щелкните ссылку под ним.
С чего мне начать свои действия по обеспечению соответствия стандарту ISO/IEC 27001 для моей организации?
Внедрение ISO/IEC 27001 является стратегическим обязательством. В качестве отправной точки обращайтесь к каталогу ISO/IEC 27000.
Можно ли использовать соответствие стандарту ISO/IEC 27001 для служб Office 365 в сертификации моей организации?
Да. Если вашей организации требуется сертификат ISO/IEC 27001 для реализаций, развернутых в службах Майкрософт, то можно использовать применимые сертификаты в процессе оценки соответствия требованиям. Однако вы несете ответственность за привлечение аудитора для оценки средств и процессов управления в рамках вашей организации, а также за соответствие вашей реализации требованиям стандарта ISO/IEC 27001.
Оценка риска с помощью диспетчера соответствия требованиям (Майкрософт)
Диспетчер соответствия требованиям (Майкрософт) — это предварительная функция в Центре соответствия требованиям Microsoft 365, помогающая понять состояние вашей организации в отношении соответствия требованиям и принять меры по снижению рисков. В диспетчере соответствия требованиям есть встроенная оценка регламента для клиентов, использующих Корпоративный E5. Найдите шаблон для создания оценки на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Что такое сертификация ISO 27001 и зачем мы ее прошли
Что конкретно сертифицировалось, и как этот процесс проходил.
Недавно компания TÜV AUSTRIA выдала нам сертификат, подтверждающий, что мы применяем систему менеджмента информационной безопасности в соответствии со стандартом ISO/IEC 27001:2013 к процессам «Доставка вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network (KSN), их безопасное хранение в Kaspersky Lab Distributed File System (KLDFS) и обеспечение доступа». Мы решили рассказать подробнее о том, что это за сертификация, зачем она нужна и почему это так важно для нас.
Что такое ISO 27001
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. По большому счету это коллекция «лучших практик», которая позволяет выбрать меры управления безопасностью таким образом, чтобы обеспечить защиту информации и предоставить клиентам соответствующие гарантии.
При проведении сертификации независимая компания TÜV AUSTRIA направляет аудиторов, основной целью которых является проверка процессов обеспечения информационной безопасности на соответствие «лучшим мировым практикам». В рамках проверок аудиторы оценивают многочисленные процессы компании в разных подразделениях — HR, IT, R&D, Security — и составляют отчет, который в целях дополнительного подтверждения беспристрастности анализируют другие независимые эксперты и выясняют, насколько правильно был проведен аудит. И только после этого выдается сертификат, свидетельствующий о том, что система управления информационной безопасностью находится на высоком уровне.
Что мы сертифицировали
Наших клиентов в первую очередь интересует, обеспечена ли максимальная безопасность процессов передачи вредоносных и подозрительных объектов (файлов) для проведения автоматизированных и ручных проверок антивирусными экспертами. А также безопасно ли эти вредоносные файлы хранятся в нашей инфраструктуре. Данная область, можно сказать, является одной из центральных в антивирусной компании. Поэтому мы решили сертифицировать механизмы доставки вредоносных и подозрительных файлов с помощью инфраструктуры Kaspersky Security Network и их безопасное хранение в Kaspersky Lab Distributed File System. Но это не значит, что аудиторы проверяли исключительно эту область. В компании многие сервисы и процессы устроены сходным образом.
На безопасность любого процесса влияет множество факторов, и система менеджмента информационной безопасности способна обеспечить распознавание этих факторов и своевременную защиту от них. Многие вопросы в ней являются базовыми: кто имеет доступ к информационным системам и критичным данным? Как проверяют этих людей при отборе на должность? Как в компании работают с документами и информационными системами? Как здесь отзывают права доступа при увольнении сотрудников? Насколько сотрудники осведомлены о возможных киберугрозах и противодействии им? Как администраторы работают с компьютерами, на которых осуществляются критические операции? Как процессы обеспечены документами и ресурсами? В системе защиты рассматриваются также и новые типы угроз и противодействия им: например, защита от APT-атак, обеспечение защиты при использовании новейших технологий, в том числе с применением алгоритмов машинного обучения.
Поэтому аудиторы проверяли документацию, общались с сотрудниками из разных отделов, анализировали как технические аспекты защиты информации, так и организационные, например процессы рекрутинга, увольнения, профессионального обучения. Изучали, как IT-служба поддерживает корпоративную сеть, посещали центры обработки данных. Наблюдали, как сотрудники трудятся на рабочих местах, выясняли, не завалялись ли где съемные носители или распечатки, блокируется ли монитор, когда специалисты куда-то отходят, что выведено на экранах мониторинга и дашбордах. Проверяли, какие программы используют сотрудники в работе. То есть анализировали практики, которые распространяются на всю компанию. Особое внимание aудиторы уделили проверке системных процессов управления информационной безопасностью, таких как анализ безопасности руководством, управление рисками, инцидентами, корректирующими действиями, проведение аудитов, обеспечение осведомленности и непрерывности бизнеса.
Что дальше?
Теперь все заинтересованные клиенты могут ознакомиться с сертификатом, являющимся заключением уважаемой компании. Надо сказать, вопрос о наличии сертификата ISO 27001 стал все чаще возникать при проведении тендеров. Потому что сертифицированные сервисы задействованы большинством наших решений.
Но на этом работа не останавливается. Раз в три года нам предстоит проводить ресертификацию, то есть повторный аудит, и подтверждать право владения сертификатом. Кроме того, ежегодно аудитор будет делать точечные проверки.
Дополнительную информацию о сертификате можно получить здесь.
Сертификация ISO27001
Однажды мой хороший друг сказал мне: «вся индустрия аудита основана на том, что люди друг другу врут». Это как нельзя лучше отражало истинную причину почему банкам и другим финансовым институтам нужно получать заключение внешних аудиторов каждый год – для того, чтобы другие институты верили их финансовой отчетности.
Похожая ситуация в ИТ. Любая компания может сказать: «мы защищаем свои системы и следим за безопасностью передачи данных. Но так ли это? И насколько хорошо защищают? Cертификация ISO 27001 отвечает на эти вопросы за вас, и позволяет сэкономить время на доказательствах. Под катом пример подготовки к сертификации ISO 27001 одной маленькой, европейской ИТ компании.
Предыстория
ISO 27001 — это международный стандарт, в котором собраны требования для создания и развития системы менеджмента информационной безопасности. Сертификация ISO 27001 особенно актуальна для крупных компаний, но в последнее время его стали требовать от маленьких компаний на этапе обсуждения контракта.
Раньше было так: Заказчик предоставляет альтернативу: либо у подрядчика есть сертификат ISO 27001, либо если компания не прошла сертификацию, можно продемонстрировать в соответствии с официальными договорными обязательствами, что у компании есть «план безопасности».
Сегодня альтернатива становится сложной, все больше и больше компаний выбирая между двумя разными подрядчиками, остановятся на тех, у кого уже есть ISO сертификат.
Компания, в которой проходила подготовка к сертификации, продает услуги по информационной безопасности, поэтому здесь вопрос получения сертификата стал по сути вопросом сохранения своего места на рынке:
Коротко о стандарте
ISO 27001 состоит из двух частей – Body (основная часть стандарта, своего рода стратегия) и Annex A (114 потенциально применимых контролей).
Body of the Standard:
О компании, которая получает сертификацию:
ИТ консалтинг, всего 25 человек сотрудников, из которых двое это топ менеджмент и двое это администрация. Основные данные хранятся на внешних облачных серверах. В процессе 2020 года администрация (бухгалтерия, учет времени сотрудников) также переехали с внутренних серверов на внешние сервисы.
Из поставщиков – внешние услуги техподдержки, а также все «физические» поставщики, охрана офиса, уничтожение старого оборудования, документов.
В команду проекта по подготовке к сертификации вошли старший консультант, он же внутренний сотрудник, который понятия не имел о том, как устроены информационные системы компании и внешний консультант по информационной безопасности и законодательству. И, конечно, топ менеджмент.
С чего начать и чем закончить
Вот здесь хорошо описаны стадии принятия сертификации. Особенно остро отрицание, гнев, ярость проходят в маленькой и уютной компании. Здесь любая бюрократическая новация наталкивается на стену непонимания, документация устаревает раньше чем ее успеваешь дописать, а основная сложность это объяснить сотруднику-старожилу зачем ему вдруг нужно менять годами устоявшиеся практики.
Зато именно в маленьких компаниях нагляднее всего видны результаты подготовки.
Несколько практических советов на этапе старта проекта:
Стандарт диктует: «определите границы и сферы информационных систем».
Это можно сделать либо простым изложением на бумаге, но для нас по-настоящему все началось с нарисованной схемы информационных систем. Это кажется очень просто, и в маленькой компании даже лишним – и так все все понимают, — но, удивительное дело, картинка меняет все.
Первая кривоватая схема где были обозначены ноутбуки, сервера, VPN и Firewalls была встречена на ура и указала на много не замеченных деталей: протоколы VPN, backups, позже добавились облачные серверы, etc.
Самый простой инструмент работы и самый эффективный – общая папка в SharePoint, где под каждый контроль и пункт стандарта есть отдельная подпапка с соответствующим названием, где сохраняется вся документация.
В нашем случае то, что мы давали «отлежаться» нашим политикам и потом возвращались к ним и переписывали, сказалось на качестве только лучшим образом. Они получились своего рода «выдержанным». Все лишнее стало нагляднее отследить, к тому же за год, то, что мы начинали писать в начале 2020 уже потеряло актуальность. Но слегка изменить политику всегда проще, чем заново ее написать.
План vs реальность
План подготовки к ISO 27001 был следующий:
▍Из положительного:
▍Из отрицательного:
▍Из практических результатов:
Оповещение сотрудников
Оповещение сотрудников о подготовке к сертификации это одновременно и возможность закрыть пункт A_7.2.2 Awareness, а также получить обратную связь на все написанные политики и процедуры.
В нашем случае удачной находкой стал чеклист для сотрудников. Политик много, и часто уже после прочтения первой появляется сонливость и уверенность в том, что все всему соответствует и нет необходимости читать дальше.
Загвоздка в том, что сертифицирующий орган будет спрашивать с сотрудников чтобы их действия соответствовали формальным процедурам написанным в документах. И желательно чтобы все отвечали примерно одно и то же.
Чеклист это просто список вопросов, разбитых по темам, например:
Тема: Безопасность офиса
— Я знаю, как активировать систему сигнализации
— Я знаю, как действовать в случае утери входного баджа
И т.д., такой чеклист сильно упрощает коммуникацию и снимает головную боль, появляется что-то практическое, с чем можно работать.
Что было дальше
Подготовка к сертификации не означает саму сертификацию. Впереди аудит сертифицирующего органа, интервью, предоставление доказательств действующих контролей. Кроме того, когда все пройдет успешно, надо будет подтверждать сертификацию каждый год. Но со временем это перестает казаться чем-то сложным или необычным. Совсем как простой финансовый аудит.
Переход к ISO/IEC 27001:2013. Тонкости перевода и не только
ISO/IEC 27001 — международный стандарт по информационной безопасности. Cодержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
В стандарте ISO/IEC 27001 (ISO 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. ISO 27001 устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы. Настоящий стандарт подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения Системы Менеджмента Информационной Безопасности (СМИБ).
А нам-то что?
Само по себе прохождение аудита на соответствие 27001 не дает для бизнеса ничего, кроме гордости за свое ИБ-подразделение (поправьте меня, если я не прав). Однако может существенно облегчить прохождение таких важных аудитов, как, например, PCI DSS.
Однако, как мне кажется, любая крупная компания с международным бизнесом стремится получить заветную корочку.
Изменения в терминах
Кто-то скажет: «Как же так?!». Но постойте, ведь это логично: далеко не всякая информация, которую нужно защищать, является активом компании (в том смысле, в котором его употребляет, например, Роберт Кийосаки).
Например, возможности по улучшению программного обеспечения включают в себя фикс конкретных багов, изменение архитектуры и даже, возможно, какие-то меры воздействия на вендора, предоставляющего это ПО, на уровне соглашений.
«Action» превратился в «Objective» — это текущая цель, конкретная и измеримая, в отличие от глобальной цели («Goal»).
В остальном, все также. Information Security — это обеспечение конфиденциальности, целостности и доступности, а риск-менеджмент осуществляется по методу Plan-Do-Check-Act.
По пунктам
Некоторые пункты совершенно новые, в некоторых добавились подпункты. Приведу (а, заодно, и переведу) основные из них.
п. 6.1.1:
Во время планирования СМИБ, организация должна определить риски и возможности (opportunities), что должно быть направлено на:
a) подтверждение того, что СМИБ способна достичь ожидаемых от нее результатов;
b) предотвращение или сокращение нежелательных эффектов; и
c) достижение непрерывного совершенствования.
п. 6.1.2 сводится к тому, что в организации должна быть формализована методология оценки рисков. При этом, при идентификации рисков за каждым из них обязательно должен закрепляться владелец – это новое требование [6.1.2 с) 2)].
п. 6.2:
Возможности (opportunities) ИБ должны:
b) быть измеримыми (если применимо);
с) брать во внимание применимые требования ИБ и результаты оценки и обработки рисков.
Во время планирования достижения возможностей ИБ организация должна определить:
f) что должно быть сделано;
g) какие ресурсы требуются;
h) кто будет ответственным;
i) когда нужно закончить; и
j) как будут оцениваться результаты.
п. 7.4 Взаимодействие – новый пункт.
Организация должна определить необходимость внутренних и внешних взаимодействий, относящихся к СМИБ, включая:
a) О чем;
b) когда;
c) с кем;
d) кто;
e) с помощью каких средств.
Аудитору можно продемонстрировать, например, записи в календаре outlook. Обычно, в них есть весь требуемый перечень.
п. 9.1 Мониторинг, измерение, анализ и оценка
Организация должна определить:
c) когда и
b) кто будет осуществлять мониторинг и измерения;
f) кто будет проводить анализ и оценку результатов.
Из п. 9.3 (Management review) исключено требование о ежегодном пересмотре СМИБ со стороны руководства.
п.10.1 Несоответствия и корректирующие действия
Когда обнаруживается несоответствие, организация должна:
a) отреагировать на несоответствие, и, если применимо:
1) принять меры по его контролю и корректировке; и
2) работать с последствиями;
e) если необходимо, внести изменения в СМИБ.
Организация должна сохранить задокументированную информацию как доказательство:
f) природы несоответствий и последующих принятых мер, и
g) результатов корректирующих действий.