Die Organisation muss Prozesse erstellen, implementieren, bewerten und aufrechterhalten, um Feedback zu ihrer Compliance-Leistung aus verschiedenen Quellen zu suchen und zu erhalten. Die Informationen müssen analysiert und kritisch beurteilt werden, um die Grundursachen der Non-Compliance zu ermitteln, sicherzustellen, dass geeignete Maßnahmen getroffen werden, und diese Informationen in die geforderte, regelmäßige Risikobeurteilung wiederzugeben.

Diese Frage bildet Kapitel 9.1.2 der ISO 37301 ab.

Musterprozess:

Wir haben einen Prozess festgelegt, wie und wie oft wir Feedback einholen und dieses Feedback einfließen lassen in die Risikobewertung und in die Verbesserung unseres CMS-Systems.