ISMS-2005不符合與糾正預(yù)防措施控制程序

不符合與糾正預(yù)防措施控制程序制定單位：XXX安全部制定日期：202X年11月18日序號(hào)修訂日期修訂條款修訂內(nèi)容1202X年11月18日制訂V1.0修訂為無(wú)2年月日章條款修訂為3年月日章條款修訂為4年月日章條款修訂為5年月日章條款修訂為6年月日章條款修訂為修訂記錄注：制度的修訂直接于正文完成，“修訂記錄”僅記錄修訂痕跡。不符合與糾正預(yù)防措施控制程序文件編號(hào)：ISMS-2005第一條范圍本程序適用于公司為消除信息安全不符合或者潛在不符合事項(xiàng)所采取的糾正預(yù)防措施的控制。第二條目的為對(duì)不符合事項(xiàng)進(jìn)行分析、采取措施進(jìn)行消除，為消除潛在不符合的情況進(jìn)行預(yù)防，以逐步改進(jìn)和完善信息安全管理體系，特制定本程序。第三條職責(zé)XXX安全部為公司信息安全管理體系糾正預(yù)防措施的歸口管理部門，負(fù)責(zé)組織相關(guān)部門進(jìn)行信息安全數(shù)據(jù)的收集及分析，確定不符合原因，評(píng)價(jià)糾正預(yù)防措施的需求，組織相關(guān)部門制定糾正預(yù)防措施，并由XXX安全部負(fù)責(zé)跟蹤驗(yàn)證。第四條程序（一）糾正預(yù)防措施信息來(lái)源有：1.公司內(nèi)外安全事件記錄、事故報(bào)告、薄弱點(diǎn)報(bào)告；2.日常管理檢查及技術(shù)檢查中指出的不符合項(xiàng)；3.信息安全監(jiān)控記錄；4.內(nèi)、外部審核報(bào)告及管理評(píng)審報(bào)告中的不符合項(xiàng)；5.相關(guān)方的建議或反饋；6.風(fēng)險(xiǎn)評(píng)估報(bào)告；7.其他有價(jià)值的信息等。（二）XXX安全部每半年組織相關(guān)部門依據(jù)上述條款所規(guī)定的信息來(lái)源，確定不符合事項(xiàng)并分析原因，評(píng)價(jià)防止不符合發(fā)生的措施需求，并形成《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。采取糾正預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)，對(duì)于以下情況的不符合應(yīng)采取糾正預(yù)防措施：1.可能造成信息安全事故；2.可能影響公司的企業(yè)形象與經(jīng)濟(jì)利益；3.可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中斷。對(duì)于各部門日常發(fā)現(xiàn)報(bào)告的重大安全隱患（安全薄弱點(diǎn)），XXX安全部應(yīng)組織有關(guān)部門進(jìn)行原因分析，制定糾正預(yù)防措施。（三）需制定糾正預(yù)防措施時(shí)，XXX安全部應(yīng)將有關(guān)不符合信息及原因填入《糾正預(yù)防措施申請(qǐng)書》，組織有關(guān)部門制定糾正預(yù)防措施對(duì)策，確定實(shí)施糾正預(yù)防措施的部門，填入《糾正預(yù)防措施申請(qǐng)書》，經(jīng)批準(zhǔn)后予以實(shí)施。（四）當(dāng)問(wèn)題原因不確定或責(zé)任重大時(shí)，由采取糾正預(yù)防措施的部門呈報(bào)公司信息安全最高責(zé)任者，必要時(shí)，應(yīng)提交公司信息安全管理委員會(huì)進(jìn)行專題研究，商討對(duì)策。（五）實(shí)施糾正預(yù)防措施的部門應(yīng)按照《糾正預(yù)防措施申請(qǐng)書》要求認(rèn)真執(zhí)行，并將執(zhí)行結(jié)果記入相應(yīng)《糾正預(yù)防措施申請(qǐng)書》中。（六）XXX安全部對(duì)糾正預(yù)防措施實(shí)施結(jié)果進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果記錄在《糾正預(yù)防措施申請(qǐng)書》上。驗(yàn)證內(nèi)容包括：1.糾正預(yù)防措施是否按糾正預(yù)防措施計(jì)劃的要求實(shí)施；2.是否消除了不符合的原因。（七）經(jīng)過(guò)驗(yàn)證效果不理想，負(fù)責(zé)制定糾正預(yù)防措施的部門應(yīng)重新編制《糾正預(yù)防措施申請(qǐng)書》并依據(jù)本程序第四條第（三）點(diǎn)要求實(shí)施。（八）糾正預(yù)防措施涉及文件更改時(shí)，應(yīng)對(duì)文件進(jìn)行評(píng)審。（九）XXX安全部應(yīng)做好糾正預(yù)防措施相關(guān)記錄的保存。管理評(píng)審前，將各部門所采取的糾正預(yù)防措施的有關(guān)情況匯總，提交管理評(píng)審。第五條記錄記錄名稱保存部門保存期限《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》XXX安全部3年《糾正預(yù)防措施申請(qǐng)書》XXX安全部3年附件:糾正預(yù)防措施申請(qǐng)書ISMS-4009編號(hào)：日期：提出原因：ISMS內(nèi)部審核【】ISMS外部審核【】信息安全月度檢查【】問(wèn)題統(tǒng)計(jì)分析【】管理評(píng)審【】其他【】問(wèn)題描述：糾正/預(yù)防措施建議：補(bǔ)救措施【】糾正措施【】預(yù)防措施【】不合格發(fā)現(xiàn)部門：糾正/預(yù)防措施責(zé)任部門：完成期限：提出人：日期：批準(zhǔn)人：日期：責(zé)任部門負(fù)責(zé)人認(rèn)可：日期：責(zé)任部門原因分析：計(jì)劃采取的糾正/預(yù)防措施：計(jì)劃完成日期：責(zé)任部門負(fù)責(zé)人簽字：已經(jīng)采取的糾正/預(yù)防措施：執(zhí)行人簽字：完成日期：責(zé)