纠正和预防措施控制程序（ISO27001-2013）

信息安全交流控制制度ISMS-B-08第页TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 持续改进 35. 纠正措施制度 35.1.信息的收集和汇总分析 35.2.下达任务 45.3.纠正措施的实施 45.4.监督和效果验证 46. 预防措施制度 56.1.分析潜在不符合项的原因 56.2.预防措施的实施 56.3.监督和验证 67. 实施策略 68. 相关记录 7

目的和范围为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《文件控制制度》《信息安全交流控制制度》职责和权限信息安全工作小组：负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因，并跟踪验证纠正预防措施实施情况；负责与相关部门共同制定纠正预防措施。各部门：负责本部门的不符合原因分析及纠正、预防措施的制定和实施。持续改进为了消除不符合项或潜在的不符合项的产生，所采取的纠正、预防措施应与问题大小和风险程度相适应，以最佳的成本获得满足信息安全管理体系的要求。通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审，持续改进信息安全管理体系的有效性。信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去，使其成为正式的方法，有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。纠正措施制度信息的收集和汇总分析不符合的信息可能来自：法律法规的变更产生的不符合；员工、顾客及相邻部门和群众的意见和投诉；资产识别及评价发现的不符合；内部和外部审核及管理评审发现的不符合；体系运行中发现的问题；检查与监督过程中发现的不符合；事故调查时发现的不符合问题；信息交流发现的不符合；其它途径发现的不符合。信息安全工作小组对管理体系实施运行情况，尤其对内审、外审、管理评审以及有效性测量中的《审核、检查发现事项通知单》和信息安全事件，进行收集汇总。信息安全工作小组对所有的不符合项，进行原因分析，找出主要原因，确定需要采取纠正措施的不符合项，并填入《审核、检查发现事项通知单》。下达任务在明确责任部门后，信息安全工作小组给相关责任部门下达《审核、检查发现事项通知单》。纠正措施的实施不符合项的责任部门根据《审核、检查发现事项通知单》的要求，在规定的期限内组织相关人员进行实施。对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责，确保按期完成。监督和效果验证纠正措施完成后，责任部门通知信息安全工作小组对纠正措施进行验证，信息安全工作小组组织有关人员进行验证，并记录在《体系改进记录表》上，并提报给信息安全委员会；信息安全工作小组对纠正措施的实施结果和效果作最终的确认。预防措施制度分析潜在不符合项的原因信息安全工作小组利用对潜在不符合项情况以及各部门日常发现报告的重大安全隐患（安全薄弱点)，确定可能需要采取预防措施的问题和需求，组织相关部门进行原因分析，分析确定潜在不符合及其原因，评价防止不符合发生的措施的需求。采取预防措施应与潜在问题的影响程度相适应，对于以下情况的潜在不符合应采取预防措施：可能造成信息安全事故；可能影响客户满意程度、造成客户抱怨与投诉；可能影响企业形象与经济利益；可能造成生产经营业务中断。预防措施的实施信息安全工作小组根据分析的潜在不符合项原因，制定相应的预防措施，确定责任部门和责任人，规定具体的方法和完成时间。并形成《审核、检查发现事项通知单》。信息安全工作小组下达《审核、检查发现事项通知单》，经信息安全工作小组批准后，由相关责任部门执行。不符合项的责任部门根据《审核、检查发现事项通知单》的要求，在规定的期限内完成。对于跨部门的纠正/预防措施，由信息安全工作小组负责协调，确保按期完成。监督和验证在预防措施完成后，由信息安全工作小组组织有关人员对其进行验证，并记录在《审核、检查发现事项通知单》上。验证内容包括：预防措施是否按预防措施计划的要求实施；是否消除了潜在不符合的原因。进行验证和评价时，验证方法有：向有关人员了解情况；进行相关的检验和试验；必要时组织内审或管理评审。验证结果提报给信息安全委员会，由信息安全委员会对纠正措施的实施结果和效果作最终的确认。实施策略对于内审、外审、管理评审、有效性测量、信息安全事件监控中的发现事项需填写《审核、检查发现事项通知单》，通知相关需改进部门。将发现事项记录在《体系改进记录表》中，对纠正和预防情况进行跟踪验证。在对于非上述活动中的改进措施，按《信息安全交流控制制度》要求