<XX信息科技有限公司>預(yù)防措施控制程序[XX-B-05]V1.0發(fā)布日期2013年03月10日發(fā)布部門信息安全管理小組實(shí)施日期2013年03月10日<XX信息科技有限公司>文件編號(hào)XX-B-05預(yù)防措施控制程序文件版次1.0密級(jí)機(jī)密目的為消除潛在的與信息安全管理體系要求不符合的原因，防止其發(fā)生，持續(xù)改進(jìn)和信息安全管理體系的有效性，特制定本程序。2范圍本程序適用于消除信息安全管理體系潛在不符合原因所采取的預(yù)防措施的管理。3職責(zé)3.1行政部負(fù)責(zé)組織相關(guān)部門進(jìn)行信息安全數(shù)據(jù)的收集及分析，確定潛在不符合原因，評(píng)價(jià)預(yù)防措施的需求，組織相關(guān)部門制定預(yù)防措施，并負(fù)責(zé)跟蹤驗(yàn)證。3.2信息安全管理小組負(fù)責(zé)收集和分析信息系統(tǒng)方面的事件和異常情況，確定潛在不符合原因，采取預(yù)防措施。4相關(guān)文件《信息安全管理手冊(cè)》《文件控制程序》5程序5.1預(yù)防措施信息來(lái)源組織內(nèi)外安全事件記錄、事故報(bào)告、薄弱點(diǎn)報(bào)告；日常管理檢查及技術(shù)檢查中指出的不符合；信息安全監(jiān)控記錄；內(nèi)、外部審核報(bào)告及管理評(píng)審報(bào)告中的不符合項(xiàng)；相關(guān)方的建議或抱怨；風(fēng)險(xiǎn)評(píng)估報(bào)告；其他有價(jià)值的信息等。5.2執(zhí)行時(shí)機(jī)行政部每半年組織相關(guān)部門利用5.1條款所規(guī)定的信息來(lái)源，分析確定潛在不符合及其原因，評(píng)價(jià)防止不符合發(fā)生的措施的需求，并形成《糾正與預(yù)防措施報(bào)告》。5.3預(yù)防措施要求采取預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)，對(duì)于以下情況的潛在不符合應(yīng)采取預(yù)防措施：可能造成信息安全事故；可能影響顧客滿意程度、造成顧客抱怨與投訴；可能影響本組織的組織形象與經(jīng)濟(jì)利益；可能造成業(yè)務(wù)中斷。5.4原因分析對(duì)于信息系統(tǒng)發(fā)現(xiàn)報(bào)告的重大安全隱患（安全薄弱點(diǎn))，行政部應(yīng)組織有關(guān)部門進(jìn)行原因分析，采取預(yù)防措施。5.5批準(zhǔn)需制定預(yù)防措施時(shí)，應(yīng)將有關(guān)潛在的不符合信息及原因填入《糾正與預(yù)防措施報(bào)告》，組織有關(guān)部門制定預(yù)防措施對(duì)策，確定實(shí)施預(yù)防措施的部門，并將相關(guān)信息填入《糾正與預(yù)防措施報(bào)告》，經(jīng)行政部批準(zhǔn)后予以實(shí)施。5.6重大事項(xiàng)處理當(dāng)問(wèn)題原因不確定或責(zé)任重大時(shí)，由采取預(yù)防措施的部門呈報(bào)公司總經(jīng)理。必要時(shí)，應(yīng)提交公司行政部進(jìn)行專題研究，商討對(duì)策。5.7實(shí)施記錄實(shí)施預(yù)防措施的部門應(yīng)按照《糾正與預(yù)防措施報(bào)告》要求認(rèn)真執(zhí)行，并將執(zhí)行結(jié)果記入相應(yīng)《糾正與預(yù)防措施報(bào)告》中。5.8驗(yàn)證行政部對(duì)預(yù)防措施實(shí)施結(jié)果進(jìn)行驗(yàn)證，并將驗(yàn)證結(jié)果記錄在《糾正與預(yù)防措施報(bào)告》上。驗(yàn)證內(nèi)容包括：預(yù)防措施是否按預(yù)防措施計(jì)劃的要求實(shí)施；是否消除了潛在不符合的原因。5.9返工處理經(jīng)驗(yàn)證效果不理想，負(fù)責(zé)制定預(yù)防措施的部門應(yīng)重新編制《糾正與預(yù)防措施報(bào)告》實(shí)施。5.10文件更改預(yù)防措施需要涉及文件更改的，應(yīng)對(duì)文件進(jìn)行評(píng)審，按《文件控制程序》更改文件。5.11記錄的保存行政部應(yīng)做好預(yù)防措施相關(guān)記錄的保