Se qualquer não-conformidade for encontrada como um resultado da análise crítica nas áreas sobre o cumprimento das políticas e normas de segurança da informação, NÃO convém que os gestores
a) registrem os resultados das análises e das ações corretivas e que esses registros sejam mantidos.
b) determinem as causas da não-conformidade.
c) determinem e implementem ação corretiva apropriada.
d) analisem criticamente a ação corretiva tomada.
e) avaliem a necessidade de ações para assegurar que a conformidade não se repita.