不符合和纠正措施管理程序2019年IEC ISO27001 信息安全管理体系文件

1、XXX有限公司2019年最新IS027001:2013 信息安全管理体系认证程序文件文件编制编制日期年 月曰文件接 收部门总经理管代 行政部品质部 物流部財务部 业务部口文件审核审核日期年 月曰文件批准批准日期年 月曰文件编号受控状态接收人员发布日期2019年04月20日0受控非受控发放编号不符合和纠正措施管理程序1.0目的通过编制不符合和纠正措施管理程序，规范针对不符合采取纠正 措施的管理过程，确保当企业在经营管理过程因俏息安全问题导致出 现事件、不符合的情况时，及时采取纠正措施，减少和/或消除因事 事件、不符合发生造成的不良损失和影响。2.0范围：本程序适用于针对因信息安全有关的不符合以及

2、内部管 理体系审核的不符合而采取的纠正措施的管理。3.0术语和定义3.1不符合：对要求的不满足。3.2纠正：消除已查明的不符合的措施。3.3纠正措施：消除不符合成因以防止再次发生的措施。4.0职责和权限1 IT 部4. 1. 1负责对信息安全的纠正措施的实施状态进行跟踪监督；4. 1. 2必要时，将整改状态定期捉交公司管理层。4.2其他相关部门4.2.1协助1T部处理与本部门因信息安全有关的不符合采取纠 正措施。5.0程序内容1不合格信息的收集IT部和有关部门通过例行监罟检杳、日常的信息交流， 内部体系审核会议等方式发现并提出不符合。5. 2纠正措施的制定和实施5. 2. 1各主管部门必须按照

3、各Fl的职责要求分别对不符 合情况进行调杳或分析其原因，开展“PDCA”活动，填入纠正 措施单，并制定相应的纠正措施，传递到IT部，由IT部汇总。5. 2. 2在有必要时IT部可以组织信息安全分析会讨论信 息安全的纠正措施。5. 2. 3涉及内部管理体系审核不合格的纠正措施，参照 内部审核程序。对于单个部门不能解决的问题，则采用 “POCA” o5.3纠正措施的验证有关信息安全管理的不符合纠正措施实施由IT部验i正。5. 3. 1纠正措施若涉及文件的修改，责任部门按文件控 制程序修改相应的文件，以防止类似不合格再次发现。5. 3. 2如果验证纠正措施效果无效时，由IT部要求相关 部门重新制定纠

4、正措施。直致消除不符合为止。5.4纠正措施的推广运用时，相关主管部门注意把已采取并落实有效的纠正措 施沿用到其它类似的不符合中，以消除造成不符合的根源。5.5纠正措施的信息提交1T理评审IT部负责收集有关信息安全的纠正措施方而的信息，提交总 经理用于管理评审。0支持性文件6.1文件控制程序6.2内部审核程序0相关记录7. 1 纠正措施记录表事件、不符合报告信息沟通记录表附表一：纠正措施记录表事件、不符合描述:记录人：FI期；年月日原因分析及纠正措施：措施批准人；实施负贵人:日期年日纠正记录：实施负责人日期：年月日实施效果脸证：验证人:日期：年月日附表二：信息沟通记录表时间对方联系人对方联系电话接电话人员部门主管签字信息寧由总经理馳示接受部门处理结 果接收人签字部门主管签字附表三：不符合报告发现日期不符合来源发现人资任部门部门负责人不符合工作