纠正和预防措施控制制度.docx

纠正和预防措施控制制度文件编号：1 .目的和范围为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。2 .引用文件1）下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2） GBZT22080-2008/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求3） GBZT22081-2008/ISO/IEC27002:2013信息技术安全技术信息安全管理实施细则4）文件控制制度5）信息安全交流控制制度3 .职责和权限1）信息安全工作小组： 负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况； 负责与相关部门共同制定纠正预防措施。2）各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。4 .持续改进1）为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以最佳的成本获得满足信息安全管理体系的要求。2）通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审，持续改进信息安全管理体系的有效性。3）信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去，使其成为正式的方法，有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按文件控制制度进行。5 .纠正措旅制度51信息的收集和汇总分析1）不符合的信息可能来自： 法律法规的变更产生的不符合； 员工、顾客及相邻部门和群众的意见和投诉； 资产识别及评价发现的不符合； 内部和外部审核及管理评审发现的不符合； 体系运行中发现的问题； 检查与监督过程中发现的不符合； 事故调查时发现的不符合问题； 信息交流发现的不符合； 其它途径发现的不符合。2）信息安全工作小组对管理体系实施运行情况，尤其对内审、外审、管理评审以及有效性测量中的审核、检查发现事项通知单和信息安全事件，进行收集汇总。3）信息安全工作小组对所有的不符合项，进行原因分析，找出主要原因，确定需要采取纠正措施的不符合项，并填入审核、检查发现事项通知单。5.2. 下达任务在明确责任部门后，信息安全工作小组给相关责任部门下达审核、检查发现事项通知单。5.3. 纠正措施的实施不符合项的责任部门根据审核、检查发现事项通知单的要求，在规定的期限内组织相关人员进行实施。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责，确保按期完成。5.4. 监督和效果验证1）纠正措施完成后，责任部门通知信息安全工作小组对纠正措施进行验证，信息安全工作小组组织有关人员进行验证，并记录在体系改进记录表上，并提报给信息安全委员会；2）信息安全工作小组对纠正措施的实施结果和效果作最终的确认。6.预防措施制度6.1. 分析潜在不符合项的原因1）信息安全工作小组利用对潜在不符合项情况以及各部门日常发现报告的重大安全隐患（安全薄弱点），确定可能需要采取预防措施的问题和需求，组织相关部门进行原因分析，分析确定潜在不符合及其原因，评价防止不符合发生的措施的需求。2）采取预防措施应与潜在问题的影响程度相适应，对于以下情况的潜在不符合应采取预防措施： 可能造成信息安全事故； 可能影响客户满意程度、造成客户抱怨与投诉； 可能影响企业形象与经济利益； 可能造成生产经营业务中断。6.2. 预防措施的实施1）信息安全工作小组根据分析的潜在不符合项原因，制定相应的预防措施,确定责任部门和责任人，规定具体的方法和完成时间。并形成审核、检查发现事项通知单。2）信息安全工作小组下达审核、检查发现事项通知单，经信息安全工作小组批准后，由相关责任部门执行。3）不符合项的责任部门根据审核、检查发现事项通知单的要求，在规定的期限内完成。对于跨部门的纠正/预防措施，由信息安全工作小组负责协调，确保按期完成。6.3. 监督和验证 ）在预防措施完成后，由信息安全工作小组组织有关人员对其进行验证，并记录在审核、检查发现事项通知单上。验证内容包括： 预防措施是否按预防措施计划的要求实施； 是否消除了潜在不符合的原因。2）进行验证和评价时，验证方法有： 向有关人员了解情况； 进行相关的检验和试验； 必要时组织内审或管理评审。3）验证结果提报给信息安全委员会，由信息安全委员会对纠正措施的实施结果和效果作最终的确认。7.实施策略对于内审、外审、管理评审、有效性测量、信息安全事件监控中的发现事项需填写审核、检查发现事项通知单，通知相关需改进部门。将发现事项记录在体系改进记录表中，对纠正和预防情况进行跟踪验证。在对于非上述活动中的改进措施，按信息安全交流控制制度要求填写信息安全管理体系意见表，将发现事项记录在体系改进记录表中，对纠正和预防情况进行跟踪验证。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责。8.相关记录编号记录名称保管场所保存期限保存形式备注1体系改进记录表总裁办3年纸质/电子2审核、检查发现事项通知单总裁办3年纸质/电子本制度相关修改及解释权属于信息安全组织文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：文档审批人签字：