不符合與糾正預防措施控制程序制定單位：XXX安全部制定日期：202X年11月18日序號修訂日期修訂條款修訂內(nèi)容1202X年11月18日制訂V1.0修訂為無2年月日章條款修訂為3年月日章條款修訂為4年月日章條款修訂為5年月日章條款修訂為6年月日章條款修訂為修訂記錄注：制度的修訂直接于正文完成，“修訂記錄”僅記錄修訂痕跡。不符合與糾正預防措施控制程序文件編號：ISMS-2005第一條范圍本程序適用于公司為消除信息安全不符合或者潛在不符合事項所采取的糾正預防措施的控制。第二條目的為對不符合事項進行分析、采取措施進行消除，為消除潛在不符合的情況進行預防，以逐步改進和完善信息安全管理體系，特制定本程序。第三條職責XXX安全部為公司信息安全管理體系糾正預防措施的歸口管理部門，負責組織相關(guān)部門進行信息安全數(shù)據(jù)的收集及分析，確定不符合原因，評價糾正預防措施的需求，組織相關(guān)部門制定糾正預防措施，并由XXX安全部負責跟蹤驗證。第四條程序（一）糾正預防措施信息來源有：1.公司內(nèi)外安全事件記錄、事故報告、薄弱點報告；2.日常管理檢查及技術(shù)檢查中指出的不符合項；3.信息安全監(jiān)控記錄；4.內(nèi)、外部審核報告及管理評審報告中的不符合項；5.相關(guān)方的建議或反饋；6.風險評估報告；7.其他有價值的信息等。（二）XXX安全部每半年組織相關(guān)部門依據(jù)上述條款所規(guī)定的信息來源，確定不符合事項并分析原因，評價防止不符合發(fā)生的措施需求，并形成《信息安全風險評估報告》。采取糾正預防措施應與潛在問題的影響程度相適應，對于以下情況的不符合應采取糾正預防措施：1.可能造成信息安全事故；2.可能影響公司的企業(yè)形象與經(jīng)濟利益；3.可能造成生產(chǎn)經(jīng)營業(yè)務(wù)中斷。對于各部門日常發(fā)現(xiàn)報告的重大安全隱患（安全薄弱點），XXX安全部應組織有關(guān)部門進行原因分析，制定糾正預防措施。（三）需制定糾正預防措施時，XXX安全部應將有關(guān)不符合信息及原因填入《糾正預防措施申請書》，組織有關(guān)部門制定糾正預防措施對策，確定實施糾正預防措施的部門，填入《糾正預防措施申請書》，經(jīng)批準后予以實施。（四）當問題原因不確定或責任重大時，由采取糾正預防措施的部門呈報公司信息安全最高責任者，必要時，應提交公司信息安全管理委員會進行專題研究，商討對策。（五）實施糾正預防措施的部門應按照《糾正預防措施申請書》要求認真執(zhí)行，并將執(zhí)行結(jié)果記入相應《糾正預防措施申請書》中。（六）XXX安全部對糾正預防措施實施結(jié)果進行驗證，并將驗證結(jié)果記錄在《糾正預防措施申請書》上。驗證內(nèi)容包括：1.糾正預防措施是否按糾正預防措施計劃的要求實施；2.是否消除了不符合的原因。（七）經(jīng)過驗證效果不理想，負責制定糾正預防措施的部門應重新編制《糾正預防措施申請書》并依據(jù)本程序第四條第（三）點要求實施。（八）糾正預防措施涉及文件更改時，應對文件進行評審。（九）XXX安全部應做好糾正預防措施相關(guān)記錄的保存。管理評審前，將各部門所采取的糾正預防措施的有關(guān)情況匯總，提交管理評審。第五條記錄記錄名稱保存部門保存期限《信息安全風險評估報告》XXX安全部3年《糾正預防措施申請書》XXX安全部3年附件:糾正預防措施申請書ISMS-4009編號：日期：提出原因：ISMS內(nèi)部審核【】ISMS外部審核【】信息安全月度檢查【】問題統(tǒng)計分析【】管理評審【】其他【】問題描述：糾正/預防措施建議：補救措施【】糾正措施【】預防措施【】不合格發(fā)現(xiàn)部門：糾正/預防措施責任部門：完成期限：提出人：日期：批準人：日期：責任部門負責人認可：日期：責任部門原因分析：計劃采取的糾正/預防措施：計劃完成日期：責任部門負責人簽字：已經(jīng)采取的糾正/預防措施：執(zhí)行人簽字：完成日期：責