ISO270012013糾正和預(yù)防措施控制制度

1、糾正和預(yù)防措施控制制度目 錄1. 目的和范圍22. 引用文件23. 職責(zé)和權(quán)限24. 持續(xù)改進(jìn)35. 糾正措施制度35.1. 信息的收集和匯總分析 35.2. 下達(dá)任務(wù)45.3. 糾正措施的實(shí)施 45.4. 監(jiān)督和效果驗(yàn)證46. 預(yù)防措施制度56.1. 分析潛在不符合項(xiàng)的原因 56.2. 預(yù)防措施的實(shí)施 56.3. 監(jiān)督和驗(yàn)證67. 實(shí)施策略68. 相關(guān)記錄71 .目的和范圍為了對(duì)信息安全管理體系運(yùn)行出現(xiàn)的不符合事項(xiàng)（信息安全事故、審核中出現(xiàn)的不符合等）或潛在不符合事項(xiàng)進(jìn)行分析、糾正，并為防止?jié)撛诓环享?xiàng)的發(fā)生，采取預(yù)防措施，以 消除造成實(shí)際或潛在的不符合項(xiàng)的原因，持續(xù)改進(jìn)信息安全管理體系，特

2、制定糾正和預(yù)防措 施管理制度。本制度適用于信息安全管理體系各項(xiàng)活動(dòng)中發(fā)生或可能發(fā)生的所有不符合項(xiàng)的糾正和預(yù)防措施的管理。2 .引用文件1）下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件， 其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓 勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新 版本適用于本標(biāo)準(zhǔn)。2） GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求3） GB/T 22081-2016/ISO/IEC 27002:2013信息技術(shù)-安全技術(shù)-信息安全管理

3、實(shí)施細(xì)則4）文件控制制度5）信息安全交流控制制度3 .職責(zé)和權(quán)限1）信息安全工作小組：負(fù)責(zé)選派一名糾正和預(yù)防措施監(jiān)督員負(fù)責(zé)收集信息并組織責(zé)任部門分析原因，并 跟蹤驗(yàn)證糾正預(yù)防措施實(shí)施情況；負(fù)責(zé)與相關(guān)部門共同制定糾正預(yù)防措施。2）各部門：負(fù)責(zé)本部門的不符合原因分析及糾正、預(yù)防措施的制定和實(shí)施。4 .持續(xù)改進(jìn)1）為了消除不符合項(xiàng)或潛在的不符合項(xiàng)的產(chǎn)生，所采取的糾正、預(yù)防措施應(yīng)與問題大小和風(fēng)險(xiǎn)程度相適應(yīng)，以最佳的成本獲得滿足信息安全管理體系的要求。2）通過應(yīng)用信息安全管理方針、目標(biāo)及其有效性測(cè)量、審核結(jié)果、監(jiān)視事件的分析、糾 正和預(yù)防措施和管理評(píng)審，持續(xù)改進(jìn)信息安全管理體系的有效性。3）信息安全工作小組負(fù)責(zé)組織將證實(shí)有效的糾正、預(yù)防措施納入有關(guān)的管理和技術(shù)文件 中去，使其成為正式的方法，有效地防止不符合項(xiàng)的發(fā)生。所引起的信息安全管理 管理體系文件的更改和補(bǔ)充按文件控制制度進(jìn)行。5 .糾正措施制度5.1. 信息的收集和匯總分析1）不符合的信息可能來自：法律法規(guī)的變更產(chǎn)生的不符合；員工、顧客及相鄰部