糾正和預防措施控制制度文件編號：.目的和范圍為了對信息安全管理體系運行出現(xiàn)的不符合事項（信息安全事故、審核中出現(xiàn)的不符合等）或潛在不符合事項進行分析、糾正，并為防止?jié)撛诓环享椀陌l(fā)生，采取預防措施，以消除造成實際或潛在的不符合項的原因，持續(xù)改進信息安全管理體系，特制定糾正和預防措施管理制度。本制度適用于信息安全管理體系各項活動中發(fā)生或可能發(fā)生的所有不符合項的糾正和預防措施的管理。.引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2008/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2008/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實施細則4）《文件控制制度》5）《信息安全交流控制制度》3,職責和權(quán)限1）信息安全工作小組：負責選派一名糾正和預防措施監(jiān)督員負責收集信息并組織責任部門分析原因，并跟蹤驗證糾正預防措施實施情況；負責與相關(guān)部門共同制定糾正預防措施。2）各部門：負責本部門的不符合原因分析及糾正、預防措施的制定和實施。.持續(xù)改進1）為了消除不符合項或潛在的不符合項的產(chǎn)生，所采取的糾正、預防措施應(yīng)與問題大小和風險程度相適應(yīng)，以最佳的成本獲得滿足信息安全管理體系的要求。2）通過應(yīng)用信息安全管理方針、目標及其有效性測量、審核結(jié)果、監(jiān)視事件的分析、糾正和預防措施和管理評審，持續(xù)改進信息安全管理體系的有效性。3）信息安全工作小組負責組織將證實有效的糾正、預防措施納入有關(guān)的管理和技術(shù)文件中去，使其成為正式的方法，有效地防止不符合項的發(fā)生。所引起的信息安全管理管理體系文件的更改和補充按《文件控制制度》進行。.糾正措施制度.信息的收集和匯總分析1）不符合的信息可能來自：法律法規(guī)的變更產(chǎn)生的不符合；員工、顧客及相鄰部門和群眾的意見和投訴；資產(chǎn)識別及評價發(fā)現(xiàn)的不符合；內(nèi)部和外部審核及管理評審發(fā)現(xiàn)的不符合；體系運行中發(fā)現(xiàn)的問題；檢查與監(jiān)督過程中發(fā)現(xiàn)的不符合；事故調(diào)查時發(fā)現(xiàn)的不符合問題；信息交流發(fā)現(xiàn)的不符合；其它途徑發(fā)現(xiàn)的不符合。2）信息安全工作小組對管理體系實施運行情況，尤其對內(nèi)審、外審、管理評審以及有效性測量中的《審核、檢查發(fā)現(xiàn)事項通知單》和信息安全事件，進行收集匯總。3）信息安全工作小組對所有的不符合項，進行原因分析，找出主要原因，確定需要采取糾正措施的不符合項，并填入《審核、檢查發(fā)現(xiàn)事項通知單》。52下達任務(wù)在明確責任部門后，信息安全工作小組給相關(guān)責任部門下達《審核、檢查發(fā)現(xiàn)事項通知單》。5-3.糾正措施的實施不符合項的責任部門根據(jù)《審核、檢查發(fā)現(xiàn)事項通知單》的要求，在規(guī)定的期限內(nèi)組織相關(guān)人員進行實施。對于需要跨部門協(xié)調(diào)解決糾正和預防措施由體系負責人組織召開工作會議討論并明確相關(guān)改進責任部門及改進職責，確保按期完成。5.4.監(jiān)督和效果驗證1）糾正措施完成后，責任部門通知信息安全工作小組對糾正措施進行驗證，信息安全工作小組組織有關(guān)人員進行驗證，并記錄在《體系改進記錄表》上，并提報給信息安全委員會；2）信息安全工作小組對糾正措施的實施結(jié)果和效果作最終的確認。6.預防措施制度分析潛在不符合項的原因1）信息安全工作小組利用對潛在不符合項情況以及各部門日常發(fā)現(xiàn)報告的重大安全隱患（安全薄弱點），確定可能需要采取預防措施的問題和需求，組織相關(guān)部門進行原因分析，分析確定潛在不符合及其原因，評價防止不符合發(fā)生的措施的需求。2）采取預防措施應(yīng)與潛在問題的影響程度相適應(yīng)，對于以下情況的潛在不符合應(yīng)采取預防措施：可能造成信息安全事故；可能影響客戶滿意程度、造成客戶抱怨與投訴；可能影響企業(yè)形象與經(jīng)濟利益；可能造成生產(chǎn)經(jīng)營業(yè)務(wù)中斷。預防措施的實施1）信息安全工作小組根據(jù)分析的潛在不符合項原因，制定相應(yīng)的預防措施，確定責任部門和責任人，規(guī)定具體的方法和完成時間。并形成《審核、檢查發(fā)現(xiàn)事項通知單》。2）信息安全工作小組下達《審核、檢查發(fā)現(xiàn)事項通知單》，經(jīng)信息安全工作小組批準后，由相關(guān)責任部門執(zhí)行。3）不符合項的責任部門根據(jù)《審核、檢查發(fā)現(xiàn)事項通知單》的要求，在規(guī)定的期限內(nèi)完成。對于跨部門的糾正/預防措施，由信息安全工作小組負責協(xié)調(diào)，確保按期完成。監(jiān)督和驗證1）在預防措施完成后，由信息安全工作小組組織有關(guān)人員對其進行驗證，并記錄在《審核、檢查發(fā)現(xiàn)事項通知單》上。驗證內(nèi)容包括：預防措施是否按預防措施計劃的要求實施；是否消除了潛在不符合的原因。2）進行驗證和評價時，驗證方法有：向有關(guān)人員了解情況；進行相關(guān)的檢驗和試驗；必要時組織內(nèi)審或管理評審。3）驗證結(jié)果提報給信息安全委員會，由信息安全委員會對糾正措施的實施結(jié)果和效果作最終的確認。.實施策略對于內(nèi)審‘、外審、管理評審、有效性測量、信息安全事件監(jiān)控中的發(fā)現(xiàn)事項需填寫《審核、檢查發(fā)現(xiàn)事項通知單》，通知相關(guān)需改進部門。將發(fā)現(xiàn)事項記錄在《體系改進記錄表》中，對糾正和預防情況進行跟蹤驗證。在對于非上述活動中的改進措施，按《信息安全交流控制制度》要求填寫《信息安全管理體系意見表》，將發(fā)現(xiàn)事項記錄在《體系改進記錄表》中，對糾正和預防情況進行跟蹤驗證。對于需要跨部門協(xié)調(diào)解決糾正和預防措施由體系負責人組織召開工作會議討論并明確相關(guān)改進責任部門及改進職責。.相關(guān)記錄

編號記錄名稱保管場所保存期限保存形式備注1體系改進記錄表總裁辦3年紙質(zhì)/電子2審核、檢查發(fā)現(xiàn)事項通知單總裁辦3年紙質(zhì)/電子本制度相關(guān)修改及解釋權(quán)屬于信息安