ISMS-2005不符合与纠正预防措施控制程序

不符合与纠正预防措施控制程序制定单位：XXX安全部制定日期：202X年11月18日序号修订日期修订条款修订内容1202X年11月18日制订V1.0修订为无2年月日章条款修订为3年月日章条款修订为4年月日章条款修订为5年月日章条款修订为6年月日章条款修订为修订记录注：制度的修订直接于正文完成，“修订记录”仅记录修订痕迹。不符合与纠正预防措施控制程序文件编号：ISMS-2005第一条范围本程序适用于公司为消除信息安全不符合或者潜在不符合事项所采取的纠正预防措施的控制。第二条目的为对不符合事项进行分析、采取措施进行消除，为消除潜在不符合的情况进行预防，以逐步改进和完善信息安全管理体系，特制定本程序。第三条职责XXX安全部为公司信息安全管理体系纠正预防措施的归口管理部门，负责组织相关部门进行信息安全数据的收集及分析，确定不符合原因，评价纠正预防措施的需求，组织相关部门制定纠正预防措施，并由XXX安全部负责跟踪验证。第四条程序（一）纠正预防措施信息来源有：1.公司内外安全事件记录、事故报告、薄弱点报告；2.日常管理检查及技术检查中指出的不符合项；3.信息安全监控记录；4.内、外部审核报告及管理评审报告中的不符合项；5.相关方的建议或反馈；6.风险评估报告；7.其他有价值的信息等。（二）XXX安全部每半年组织相关部门依据上述条款所规定的信息来源，确定不符合事项并分析原因，评价防止不符合发生的措施需求，并形成《信息安全风险评估报告》。采取纠正预防措施应与潜在问题的影响程度相适应，对于以下情况的不符合应采取纠正预防措施：1.可能造成信息安全事故；2.可能影响公司的企业形象与经济利益；3.可能造成生产经营业务中断。对于各部门日常发现报告的重大安全隐患（安全薄弱点），XXX安全部应组织有关部门进行原因分析，制定纠正预防措施。（三）需制定纠正预防措施时，XXX安全部应将有关不符合信息及原因填入《纠正预防措施申请书》，组织有关部门制定纠正预防措施对策，确定实施纠正预防措施的部门，填入《纠正预防措施申请书》，经批准后予以实施。（四）当问题原因不确定或责任重大时，由采取纠正预防措施的部门呈报公司信息安全最高责任者，必要时，应提交公司信息安全管理委员会进行专题研究，商讨对策。（五）实施纠正预防措施的部门应按照《纠正预防措施申请书》要求认真执行，并将执行结果记入相应《纠正预防措施申请书》中。（六）XXX安全部对纠正预防措施实施结果进行验证，并将验证结果记录在《纠正预防措施申请书》上。验证内容包括：1.纠正预防措施是否按纠正预防措施计划的要求实施；2.是否消除了不符合的原因。（七）经过验证效果不理想，负责制定纠正预防措施的部门应重新编制《纠正预防措施申请书》并依据本程序第四条第（三）点要求实施。（八）纠正预防措施涉及文件更改时，应对文件进行评审。（九）XXX安全部应做好纠正预防措施相关记录的保存。管理评审前，将各部门所采取的纠正预防措施的有关情况汇总，提交管理评审。第五条记录记录名称保存部门保存期限《信息安全风险评估报告》XXX安全部3年《纠正预防措施申请书》XXX安全部3年附件:纠正预防措施申请书ISMS-4009编号：日期：提出原因：ISMS内部审核【】ISMS外部审核【】信息安全月度检查【】问题统计分析【】管理评审【】其他【】问题描述：纠正/预防措施建议：补救措施【】纠正措施【】预防措施【】不合格发现部门：纠正/预防措施责任部门：完成期限：提出人：日期：批准人：日期：责任部门负责人认可：日期：责任部门原因分析：计划采取的纠正/预防措施：计划完成日期：责任部门负责人签字：已经采取的纠正/预防措施：执行人签字：完成日期：责