Een correctief actieplan is een formeel, gedocumenteerd antwoord op non-conformiteiten of bevindingen die zijn geïdentificeerd tijdens interne audits, externe beoordelingen of incidentonderzoeken. Het specificeert de hoofdoorzaak van elke bevinding, de te nemen corrigerende acties, verantwoordelijke partijen, deadlines en verificatiecriteria om te bevestigen dat het probleem is opgelost.
CAP's zijn een verplicht onderdeel van ISO 27001-compliance, aangezien de standaard vereist dat organisaties non-conformiteiten aanpakken en herhaling voorkomen. Goed gestructureerde CAP's tonen aan certificatie-instellingen aan dat een organisatie bevindingen serieus neemt en een systematische aanpak heeft voor het oplossen ervan. Het bijhouden van CAP's in een gecentraliseerd GRC-platform waarborgt zichtbaarheid, verantwoordelijkheid en tijdige afronding.