ISMS-纠正和预防措施管理程序.docx

纠正和预防措施管理程序ISMS-0004-2022纠正和预防措施管理程序1目的为了对信息安全与服务管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析,并采取纠正或预防措施,消除产生不符合（潜在不符合）原因，以防再发生类似不符合。特制定纠正预防措施控制程序。2范围适用于对信息安全与服务管理体系纠正预防措施的管理。3职责1.1 运营管理部是纠正预防措施的归口管理部门，负责收集信息并组织责任部门分析原因，制定纠正预防措施,并跟踪验证纠正预防措施实施情况。1.2 产品研发中心负责主管业务范围内运行时的监控，发现不符合项，并进行纠正预防措施。3. 4管理者代表负责监督、协调纠正预防措施的实施。4程序3.1 不符合的识别3.1.1 制定纠正措施项目的主要依据：a）信息安全事件；b）信息安全监控中发现的不符合；c）内、外部审核中发现的不符合，以及管理评审的改进指令；d）各种数据分析的报告等。3.1.2 2制定预防措施项目的主要依据：a）潜在的信息安全事故；b）各种数据分析的报告等。3.1.3 各部门对过程、体系的不合格根据评审结论,采取措施实施纠正并进行了有效地处理后,将有关信息报运营管理部。3.2 不符合（潜在不符合）的原因确定第1次修改3.3 .1运营管理部依据收集的信息进行分类，对反复发生的和较严重的不符合，组织有关部门人员进行现状调查。4. 2.2根据调查结果，确定产生不符合的原因，可采用统计技术等方法进行分析并予以记录。4.3评价确保不符合（潜在不符合）的措施要求4. 3.1针对确定的原因，项目管理部负责组织有关部门人员进行评价是否需要采取纠正或预防措施,评价考虑的重点是从成本、业绩、可信性等方面考虑,应与所发生不合格的影响程度相适应。5. 3.2可能产生信息安全事故的不符合和体系运行中发生的重大不符合，必须采取纠正预防措施。6. 3.3纠正预防措施是偶然发生的或资源投入较大的或承担较高风险的可暂不采取。5. 3.4其他情况由评价人员根据实际自定。4.4纠正预防措施的实施4. 4.1依据评价结果,对应采取纠正预防措施的不符合时，形成纠正预防措施实施记录，落实不符合的责任部门。5. 4.2确定的纠正预防措施内容要有责任部门和完成时间的要求,不符合的责任部门按照纠正预防措施实施记录的要求，认真实施纠正措施，并对措施的实施进行监视,同时将实施的结果记入纠正预防措施实施记录。6. 4.3内部审核过程中发现的不符合所采取的纠正措施执行内部审核管理程序。4.5 纠正、预防措施的控制及记录4. 5.1责任部门按纠正预防措施计划时间要求,组织实施纠正预防措施。5. 5.2实施过程应做好记录。纠正预防措施完成后,应将结果填入纠正预防措施实施记录中，向运营管理部报告,待进行效果验证和评审。6. 5.3在纠正和预防措施实施中，管理者代表负责配置必要的资源，协助分析原因和确定责任部门，并监督措施的实施。7. 5.4由纠正措施引起体系文件的更改，执行文件管理程序8. 5.5纠正预防措施的相关记录作为下次管理评审的输入。4.6 纠正措施的评审4.6.1根据责任部门的报告，运营管理部应组织有关部门人员进行现场评审验证,评审其能否防止类似的不合格再发生。4. 6.2评审验证后,应将结果记入纠正预防措施实施记录中。5引用文件5.1信息安全事件管理程序5. 2信息系统监控管理程序5. 3信息安全合规性管理程序5.4内部审核管理程序5. 5文件管理程序5.6 网络安全管理程序5.7 技术薄弱点管理程序