Как се прилагат коригиращите действия според ISO/IEC 27001?

Какво е коригиращо действие?

Коригиращато действие е дейност/и, предприета за отстраняване на причината за възникнало несъответствие и предотвратяване повторната му поява. Важен момент тук е определянето на правилните коригиращи действия. Опитът показва, че често коригиращите действия се бъркат с корекцията. Корекцията е дейност насочена към отстраняване на несъответствието, докато коригиращите действия към причината.

Например, констатирано е несъответствие: антивирусният софтуер не е актуализиран. Корекцията ще бъде актуализиране на софтуера, а коригиращото действие ще бъде насочено към причината за пропуска – не е определено лице за актуализирането или лицето е пропуснало поради натоварване с допълнителни задължения или може би не знае, че това е негов ангажимент.

Изисквания

Изискванията относно прилагането на коригиращи действия са посочени в т.10.2 от ISO/IEC 27001:2022 и включват последователност от следните действия:

• идентифициране на несъответствието – какъв е точно проблемът? Уверете се, че разбирате какъв е проблемът, който трябва да се реши.
• реагиране спрямо несъответствието – как може да се спре проблемът, докато се коригира първопричината? На този етап се предприемат действия за отстраняване или ограничаване на проблема, докато се установи причината за неговото възникване. Направете корекция, за да спрете проблема за момента, докато търсите основната причина. Причината не винаги е ясна от пръв поглед;
• определяне на основната причина за несъответствието – това е най-сложната част. Как да сте сигурни, че сте открили истинската причина за проблема, а не само повърхностното му проявление? Съществуват различни начини, като задаване на въпроса „защо“ пет пъти докато откриете първопричината, или по-сложни методи като диаграмата на Ишикава;
• оценяване на необходимостта от прилагане на коригиращи действия. След установяване на причината за възникване на несъответствието, организацията трябва да реши необходимо ли е прилагането на коригиращи действия и ако да какви да бъдат те – какво ще трябва да се промени в начина на работа, така че да се премахне основната причина. Когато се планира промяна, важен момент е оценяване на рисковете и възможностите. Важно е да сте сигурни, че промените, които сте решили да направите, няма да причинят допълнителни проблеми – има ли риск резултатът от процеса да причини проблем в друг процес? Понякога за отстраняване на причината са необходими сериозни инвестиции. В този случай е необходимо да се анализират и оценят разходите и възвръщаемостта на инвестицията – коригиращите действия трябва да бъдат подходящи за последствията от откритите несъответствия;
• изпълнение на коригиращите действия – изпълнение на определените в предходната точка коригиращи действия;
• проверка на ефикасността предприетите коригиращи действия. След изпълнение на планираните действия, изчакайте подходящо време и се уверете, че проблемът няма да се появи отново. Ако въпреки всичко, проблемът се появи отново трябва да се запитате дали сте определили истинската първопричина. Това е най-важната стъпка от процеса, но и най-пренебрегваната от организациите. Вариант е проверката да се извършва по време на прегледа от ръководството;
• промяна на СУСИ – голяма част от коригиращите действия са насочени към промяна на правилата на работа, което от своя страна води до промяна на някои части от системата за управление – оперативни политики за сигурност, процедури или инструкции. Уверете се, че правилата са променени и че персоналът е запознат с промените.

Изискване на ISO/IEC 27001:2022 е информацията за естеството на несъответствието, за предприетите действия и за резултатите от тях да бъде документирана. Добра практика е да се използва формуляр за коригиращи действия, който да следва стъпките на процеса, за да се гарантира, че няма да се пропусне някоя от тях. Наличието на добър систематичен процес е важно условие за намиране и отстраняване на коренната причина за възникващите в организацията несъответствия.

Защо коригиращите действия са важни?

Когато се опитвате да игнорирате проблем, който не се дължи на еднократна грешка, а по-скоро е причинен от проблем в системата, можете да загубите много време, усилия и пари. Ето защо коригиращите действия са важни. Ако служителите непрекъснато коригират възникнали проблеми или трябва да бъдат постоянно бдителни, за да улавят проблеми, които се случват постоянно, тогава можете да спестите много ресурси, като предприемете коригиращи действия, за да спрете проблемите да се случват отново и отново. Процесът на коригиращите действия затова е част от СУСИ, за да ви спести време и пари.

 

Източник на изображението