不符合和糾正措施管理程序2019年IEC ISO27001 信息安全管理體系文件

1、XXX有限公司2019年最新IS027001:2013 信息安全管理體系認(rèn)證程序文件文件編制編制日期年 月曰文件接 收部門總經(jīng)理管代 行政部品質(zhì)部 物流部財(cái)務(wù)部 業(yè)務(wù)部口文件審核審核日期年 月曰文件批準(zhǔn)批準(zhǔn)日期年 月曰文件編號(hào)受控狀態(tài)接收人員發(fā)布日期2019年04月20日0受控非受控發(fā)放編號(hào)不符合和糾正措施管理程序1.0目的通過編制不符合和糾正措施管理程序，規(guī)范針對(duì)不符合采取糾正 措施的管理過程，確保當(dāng)企業(yè)在經(jīng)營(yíng)管理過程因俏息安全問題導(dǎo)致出 現(xiàn)事件、不符合的情況時(shí)，及時(shí)采取糾正措施，減少和/或消除因事 事件、不符合發(fā)生造成的不良損失和影響。2.0范圍：本程序適用于針對(duì)因信息安全有關(guān)的不符合以及

2、內(nèi)部管 理體系審核的不符合而采取的糾正措施的管理。3.0術(shù)語和定義3.1不符合：對(duì)要求的不滿足。3.2糾正：消除已查明的不符合的措施。3.3糾正措施：消除不符合成因以防止再次發(fā)生的措施。4.0職責(zé)和權(quán)限1 IT 部4. 1. 1負(fù)責(zé)對(duì)信息安全的糾正措施的實(shí)施狀態(tài)進(jìn)行跟蹤監(jiān)督；4. 1. 2必要時(shí)，將整改狀態(tài)定期捉交公司管理層。4.2其他相關(guān)部門4.2.1協(xié)助1T部處理與本部門因信息安全有關(guān)的不符合采取糾 正措施。5.0程序內(nèi)容1不合格信息的收集IT部和有關(guān)部門通過例行監(jiān)罟檢杳、日常的信息交流， 內(nèi)部體系審核會(huì)議等方式發(fā)現(xiàn)并提出不符合。5. 2糾正措施的制定和實(shí)施5. 2. 1各主管部門必須按照

3、各Fl的職責(zé)要求分別對(duì)不符 合情況進(jìn)行調(diào)杳或分析其原因，開展“PDCA”活動(dòng)，填入糾正 措施單，并制定相應(yīng)的糾正措施，傳遞到IT部，由IT部匯總。5. 2. 2在有必要時(shí)IT部可以組織信息安全分析會(huì)討論信 息安全的糾正措施。5. 2. 3涉及內(nèi)部管理體系審核不合格的糾正措施，參照 內(nèi)部審核程序。對(duì)于單個(gè)部門不能解決的問題，則采用 “POCA” o5.3糾正措施的驗(yàn)證有關(guān)信息安全管理的不符合糾正措施實(shí)施由IT部驗(yàn)i正。5. 3. 1糾正措施若涉及文件的修改，責(zé)任部門按文件控 制程序修改相應(yīng)的文件，以防止類似不合格再次發(fā)現(xiàn)。5. 3. 2如果驗(yàn)證糾正措施效果無效時(shí)，由IT部要求相關(guān) 部門重新制定糾

4、正措施。直致消除不符合為止。5.4糾正措施的推廣運(yùn)用時(shí)，相關(guān)主管部門注意把已采取并落實(shí)有效的糾正措 施沿用到其它類似的不符合中，以消除造成不符合的根源。5.5糾正措施的信息提交1T理評(píng)審IT部負(fù)責(zé)收集有關(guān)信息安全的糾正措施方而的信息，提交總 經(jīng)理用于管理評(píng)審。0支持性文件6.1文件控制程序6.2內(nèi)部審核程序0相關(guān)記錄7. 1 糾正措施記錄表事件、不符合報(bào)告信息溝通記錄表附表一：糾正措施記錄表事件、不符合描述:記錄人：FI期；年月日原因分析及糾正措施：措施批準(zhǔn)人；實(shí)施負(fù)貴人:日期年日糾正記錄：實(shí)施負(fù)責(zé)人日期：年月日實(shí)施效果臉證：驗(yàn)證人:日期：年月日附表二：信息溝通記錄表時(shí)間對(duì)方聯(lián)系人對(duì)方聯(lián)系電話接電話人員部門主管簽字信息寧由總經(jīng)理馳示接受部門處理結(jié) 果接收人簽字部門主管簽字附表三：不符合報(bào)告發(fā)現(xiàn)日期不符合來源發(fā)現(xiàn)人資任部門部門負(fù)責(zé)人不符合工作