1、糾正預防控制程序撰寫： 發(fā)布：2020年8月1日文件編號：YJF-SP-006版本：A0文檔秘級：秘密版本歷史序號版本修訂內容修訂部門/人修訂時間1A0制定2020-8-12345一、目的為了提高員工信息平安防范意識和操作技能，保障公司信息平安，特制定信息平安 策略。1范圍本程序規(guī)定了*科技信息平安管理體系中為業(yè)務處理和IT服務 過程中現(xiàn)存和潛在的不合格原因的控制措施，以防止不合格或其他不期望情況的發(fā)生， 實現(xiàn)對信息平安管理體系的不斷完善和持續(xù)改進。2規(guī)范性引用文件以下文件中的條款通過本程序的引用而成為本程序的條款。凡注日期的引用文件， 其隨后所有的修改單（不包括勘誤的內容）或修改版均不適用于

2、本程序，然而，鼓勵根 據本程序達成協(xié)議的各方研究是否可使用這些文件的最新版本。但凡不注日期的引用文 件，其最新版本適用于本程序。YJF-SP-004內部審核控制程序YJF-SP-005 管理評審控制程序YJF-SP-001文件控制程序YJF-SP-002 記錄控制程序YJF-SP-003信息平安風險評估控制程序3術語和定義無4職責和權限1管理者代表a）負責審批管理評審所要求的糾正和預防措施，并監(jiān)督檢查實施情況；b）負責對各部門單位在實施糾正和預防措施過程中的組織與協(xié)調。4.2系統(tǒng)運維部a）負責組織對內、外審過程中發(fā)現(xiàn)的不合格項提出糾正和預防措施要求，并跟蹤 驗證和記錄實施情況；b）負責跟蹤驗證

3、管理評審所要求的糾正和預防措施的實施情況;c）負責對各單位、部門糾正和預防措施的控制情況進行監(jiān)督；d）負責對糾正和預防措施進行匯總分析，并將分析報告提交管理評審；e）負責對運行信息系統(tǒng)維護及通道、信息平安存在的不合格、事件進行處理分析, 及時實施糾正措施，確保通道暢通，系統(tǒng)正常運行。4.3其他部門負責本部門責任范圍內不合格或潛在不合格原因的調查分析及糾正和預防措施的 制定與實施，將實施結果及時報有關職能管理部門。5活動描述1糾正過程的管理1. 1評審已存在不合格5. 1. 1. 1已存在的不合格包括：平安管理不平安因素及發(fā)生的不平安事件；信息 平安管理體系運行的不合格項；客戶對信息平安不合格問

4、題的投訴；來自相關方的投訴。 不合格可分為輕微不合格、一般不合格和嚴重不合格。1. 1. 2已存在不合格信息的收集當存在以下情況時，均屬于己發(fā)生的不合格項，必須采取糾正措施：a）內外審核和管理評審中發(fā)現(xiàn)的一般不合格、嚴重不合格項或需重大改進問題；b）信息平安管理體系運行中出現(xiàn)的不合格項；c）發(fā)現(xiàn)某一過程失控。1. 1.3各責任部門收集和評審本部門的不合格信息，對未采取糾正措施又確實 需要的按職責上報職能管理部門。系統(tǒng)運維部收集內外審核和管理評審中發(fā)現(xiàn)的不合格項，以及需改進的 問題，按需要填寫“糾正/預防措施報告”，提出糾正措施要求。系統(tǒng)運維部收集和評審來自企業(yè)內部員工、各業(yè)務系統(tǒng)用戶等提出的信

5、 息平安相關的不合格信息，按需要填寫“糾正/預防措施報告”，提出糾正和預防措施 要求。提供的不合格信息形式可以是：內部工作聯(lián)系單，合理化建議和技術改 進意見表格，相關會議意見，來自客戶的普通的 、 和口頭建議，相關的社會媒 體報道等。對于已經收集到的不合格信息，按照“糾正/預防措施報告”進行填寫。1.2確定不合格的原因1.2. 1責任部門在收到“糾正/預防措施報告”后，應進行調查研究分析，可召 開分析會，原因分析應積極采用統(tǒng)計技術，查找可能產生不合格的原因：a）規(guī)程、標準及其他程序或規(guī)定不適當；b）人員缺乏培訓，平安意識不強或業(yè)務水平不夠；c）工作計劃控制不良，工時安排過緊，過程控制不當；d）

6、檢驗控制不良；e）人力資源和物質資源缺乏；f）信息平安方面缺乏相關設備配置、技術手段等；g）管理不嚴，缺乏有關程序規(guī)定等；h）其他原因。對重大問題產生的不合格，必要時由職能部門報管理者代表召開專門分 析會議，進行原因分析，并提出糾正措施方案。1.3確認糾正措施計劃1.3. 1責任部門對己發(fā)生的不合格或潛在的不合格因素，在充分分析原因的基 礎上，應確定糾正措施的具體實施部門，制定具體的糾正和預防措施計劃，并填寫在“糾 正/預防措施報告”上，報管理者代表批準后執(zhí)行。制定糾正措施的計劃應根據輕微不合格、一般不合格和嚴重不合格確定 計劃的優(yōu)先順序，對于嚴重不合格項，應在3個工作日內完成相應措施計劃的制

7、定和落 實；對于輕微和一般不合格，責任部門可以結合日常工作計劃予以安排、實施。3. 3糾正和預防措施應與問題的嚴重性和面臨的平安風險相適應。對嚴重不合格所確定的糾正措施，由職能管理部門報請管理者代表召開 有關部門參加的專門會議進行評審，必要時需進行試驗驗證，糾正措施計劃必須經管理 者代表審批，重大工程報告要報最高管理者審批。5. 1.4實施糾正措施5. 1.4. 1對于所有擬訂的糾正措施，在實施前先通過風險評價過程進行評審。責任部門應嚴格按審核批準的糾正措施要求組織實施，并按糾正措施要 求對管理和工作程序進行改進，實施中要力求實效，以防止不合格再發(fā)生。在實施糾正措施時，如出現(xiàn)問題要及時向職能部

8、門反映情況，當糾正措 施完成后，責任部門應將完成情況填寫在“糾正/預防措施報告”上。5. 1.5驗證所采取的糾正措施5. 1.5. 1對已完成的糾正和預防措施，職能管理部門應派人進行評審驗證，凡經 證實改進措施已完成，那么驗證人員和職能管理部門負責人應在“糾正/預防措施報告” 上做好驗證記錄。必要時職能部門也可組織有關部門進行實施評審驗證。凡發(fā)現(xiàn)糾正措施未到達預期目標，或糾正措施本身存在一定問題，那么應 要求部門重新分析原因制定糾正和預防措施計劃，按上述過程再次進行，直到糾正措施 有效為止。凡涉及有關文件要進一步充實完善或需要更新的規(guī)定，那么應按文件控 制程序規(guī)定進行修改或補充。糾正措施實施完

9、成并效果滿意后，職能管理部門和責任部門對所采取的 改進防措、記錄整理存檔，按4.0職責和權限分工，月末報各自分管部門。分管部門匯集整理各職能管理部門的“糾正/預防措施報告”并統(tǒng)一管理, 并將每個月提供的有關在公司相關會議上進行公布說明。5. 1.6記錄所采取措施的結果5. 1.6. 1糾正措施在實施過程中，職能管理部門應進行跟蹤監(jiān)督和檢查，以促進 糾正措施的實施。對糾正措施的實施，責任部門要做好各種記錄，記錄按記錄控制程序 規(guī)定執(zhí)行。責任部門應提供完成糾正措施及其效果的證實材料，并在“糾正/預防措施 報告”上填寫完成情況，并一起報給職能管理部門。5.2預防措施的管理2. 1收集潛在的不合格因素

10、可能引起潛在的不合格信息的收集當存在以下情況時，應考慮是否存在潛在的不合格項發(fā)生的可能性，并采取預防措 施：a）信息平安例行檢查中發(fā)現(xiàn)的可能引起信息平安類事件發(fā)生的不平安因素;b）內外審核和管理評審中發(fā)現(xiàn)的輕微不合格；C）發(fā)現(xiàn)信息平安管理體系運行中有出現(xiàn)不合格項的傾向；d）發(fā)現(xiàn)某一過程可能失控。各責任部門收集和評審本部門的可能發(fā)生不合格的信息，對未采取預防 措施又確實需要的按職責上報職能管理部門。系統(tǒng)運維部收集內外審核和管理評審中發(fā)現(xiàn)的不合格項，以及需改進的 問題，按需要填寫“糾正/預防措施報告”，提出糾正措施要求。系統(tǒng)運維部結合日常網絡與系統(tǒng)運行維護工作，收集相關不合格信息， 并按照有關規(guī)定

11、進行處理。2. 1.5收集潛在不合格信息的形式可以是來自公司內部工作聯(lián)系單，公司合理 化建議和技術改進意見表格，相關會議意見，來自顧客的普通的 、 和口頭建議, 相關的社會媒體報道等。2.2分析和確定潛在不合格的嚴重程度和原因2. 2.1相關責任部門在收到“糾正/預防措施報告”后，應進行調查研究分析， 可召開分析會，原因分析應積極采用統(tǒng)計技術，查找可能產生不合格的因素。2. 2.2對于可能引起嚴重不合格產生的因素，必要時由職能部門報管理者代表 召開專門分析會議，進行原因分析，并提出預防措施和實施方案。2. 2.3對于可能引起輕微或者一般性不合格的因素，由負責部門匯合職能部門 進行原因分析。2, 2.4對于已經確認的潛在的不合格因素，應