reagir à não conformidade e, conforme apropriado, tomar ações para controlá-la e corrigi-la, lidar com as consequências, avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua repetição ou ocorrência em outro lugar, por um dos seguintes meios, analisando criticamente a não conformidade, determinando as causas da não conformidade, determinando se não conformidades similares existem, ou se podem potencialmente ocorrer, implementar quaisquer ações necessárias, analisar criticamente a eficácia de quaisquer ações corretivas tomadas, realizar mudanças no sistema de gestão da segurança da informação, quando necessário.