ISO27001糾正預(yù)防措施控制程序

中國3000萬經(jīng)理人首選培訓(xùn)網(wǎng)站ISO27001糾正預(yù)防措施控制程序1 適用 本程序適用于對本公司為消除信息安全不符合/潛在不符合原因所采取的糾正/預(yù)防措施的 控制。 2 目的 為對不符合/潛在不符合進(jìn)行分析、采取措施，并予以消除，以逐步改進(jìn)和完善信息安全管 理體系，特制定本程序。 3 職責(zé) 本公司行政部為公司信息安全管理體系糾正/預(yù)防措施的歸口管理部門，負(fù)責(zé)組織相關(guān)部門 進(jìn)行信息安全數(shù)據(jù)的收集及分析，確定不符合/潛在不符合原因，評價糾正/預(yù)防措施的需求， 組織相關(guān)部門制定糾正/預(yù)防措施，并由行政部組織相關(guān)部門負(fù)責(zé)跟蹤驗證。 4 程序4.1 糾正/預(yù)防措施信息來源有: a.公司內(nèi)外安全事件記錄、事故報告、薄弱點報告； b.日常管理檢查及技術(shù)檢查中指出的不符合； c.信息安全監(jiān)控記錄； d.內(nèi)、外部審核報告及管理評審報告中的不符合項； e.相關(guān)方的建議或抱怨；f.風(fēng)險評估報告；g.其他有價值的信息等。4.2 行政部每半年組織相關(guān)部門利用 4.1 條款所規(guī)定的信息來源，分析確定不符合/潛在不符 合及其原因，評價防止不符合發(fā)生的措施的需求，并形成 ISMS-4021信息安全風(fēng)險評估報 告。采取糾正/預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)，對于以下情況的不符合/潛在不 符合應(yīng)采取糾正/預(yù)防措施：a.可能造成信息安全事故； b.可能影響顧客滿意程度、造成顧客抱怨與投訴； c.可能影響本公司的企業(yè)形象與經(jīng)濟(jì)利益； d.可能造成生產(chǎn)經(jīng)營業(yè)務(wù)中斷。對于各部門日常發(fā)現(xiàn)報告的重大安全隱患（安全薄弱點)，行政部應(yīng)組織有關(guān)部門進(jìn)行原因 分析，采取糾正/預(yù)防措施。4.3 需制定糾正/預(yù)防措施時，行政部應(yīng)將有關(guān)不符合/潛在不符合信息及原因填入 ISMS-4071糾正/預(yù)防措施申請書，組織有關(guān)部門制定糾正/預(yù)防措施對策，確定實施糾正/預(yù)防措施 的部門，填入糾正/預(yù)防措施申請書，經(jīng)管理責(zé)任人批準(zhǔn)后予以實施。4.4 當(dāng)問題原因不確定或責(zé)任重大時，由采取糾正/預(yù)防措施的部門呈報公司信息安全最高責(zé) 任者，必要時，應(yīng)提交公司信息安全管理委員會進(jìn)行專題研究，商討對策。4.5 實施糾正/預(yù)防措施的部門應(yīng)按照糾正/預(yù)防措施申請書要求認(rèn)真執(zhí)行，并將執(zhí)行結(jié)果記入相應(yīng)糾正/預(yù)防措施申請書中。4.6 行政部組織相關(guān)人員對糾正/預(yù)防措施實施結(jié)果進(jìn)行驗證，并將驗證結(jié)果記錄在糾正/預(yù)防措施申請書上。 驗證內(nèi)容包括： a、糾正/預(yù)防措施是否按糾正/預(yù)防措施計劃的要求實施； b、是否消除了不符合/潛在不符合的原因。4.7 經(jīng)驗證效果不理想，負(fù)責(zé)制定糾正/預(yù)防措施的部門應(yīng)重新編制糾正/預(yù)防措施申請書， 依據(jù)本程序 4.3 要求實施。4.8 糾正/預(yù)防措施需要涉及文件更改的，應(yīng)對文件進(jìn)行評審，按 ISMS-2005文件和資料管 理程序更改文件。4.9 行政部應(yīng)做好糾正/預(yù)防措施相關(guān)記錄的保存。管理評審前，將各部門所采取的糾正/預(yù) 防措施的有關(guān)情況匯總，提交管理評審。 5 記錄1) ISMS-4021信息安全風(fēng)險評估報告保存部門為行政部，保管期限為 3 年2) ISMS-4071糾正/預(yù)防措施申請書保存部門為行政部，保管期限為 3 年ISO27001信息安全管理標(biāo)準(zhǔn)理解及內(nèi)審員培訓(xùn) 培訓(xùn)熱線25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理標(biāo)準(zhǔn)理解及內(nèi)審員培訓(xùn) 下載報名表 內(nèi)訓(xùn)調(diào)查表 【課程描述】ISO/IEC27001:2005信息技術(shù)安全管理體系要求用于組織的信息安全管理體系的建立和實施，保障組織的信息安全。本課程將詳述ISO 27001:2005/ISO 27002:2005標(biāo)準(zhǔn)的每一個要求，指導(dǎo)如何管理信息安全風(fēng)險，并附以大量的審核實戰(zhàn)案例以作說明。內(nèi)部審核部分將以ISO 19011:2002為基礎(chǔ)，教授學(xué)員如何策劃和實施信息安全管理體系內(nèi)部審核活動。掌握該體系的具體執(zhí)行程序和標(biāo)準(zhǔn)，并了解對該體系進(jìn)行檢查和審核的方法以及制作審核報告的技巧。 【課程幫助】如果你想對本課程有更深入的了解，請參考 德信誠ISO27001內(nèi)審員相關(guān)資料手冊【課程對象】信息安全管理人員，欲將ISO27001導(dǎo)入組織的人員，在ISO27001實施過程中承擔(dān)內(nèi)部審核工作的人員，有志于從事IT信息安全管理工作的人員。 【課程大綱】第一部分：ISO27001：2005信息安全概述、標(biāo)準(zhǔn)條款講解 信息安全概述：信息及信息安全，CIA目標(biāo)，信息安全需求來源，信息安全管理。 風(fēng)險評估與管理：風(fēng)險管理要素，過程，定量與定性風(fēng)險評估方法，風(fēng)險消減。 ISO/IEC 27001簡介：ISO27001標(biāo)準(zhǔn)發(fā)展歷史、現(xiàn)狀和主要內(nèi)容，ISO27001標(biāo)準(zhǔn)認(rèn)證。 信息安全管理實施細(xì)則：從十個方面介紹ISO27001的各項控制目標(biāo)和控制措施。 信息安全管理體系規(guī)范：ISO/IEC27001-2005標(biāo)準(zhǔn)要求內(nèi)容，PDCA管理模型，ISMS建設(shè)方法和過程。第二部分：ISO27001：2005信息安全管理體系文件建立（ISO27001與ISO9001、ISO14001管理體系如何整合） ISO27001與ISO9001、ISO14001的異同 ISO27001與ISO9001、ISO14001可以共用的程序文件和三級文件 如何將三體系整合降低公司的體系運行成本 ISO9001、ISO14001、ISO27001體系三合一整合案例分析第三部分：信息安全管理體系內(nèi)部審核技巧和認(rèn)證應(yīng)對案例分析 ISO27001：2005標(biāo)準(zhǔn)對內(nèi)審員的新要求 信息安全管