糾正和預(yù)防措施控制程序（ISO27001-2013）

信息安全交流控制制度ISMS-B-08第頁(yè)TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 持續(xù)改進(jìn) 35. 糾正措施制度 35.1.信息的收集和匯總分析 35.2.下達(dá)任務(wù) 45.3.糾正措施的實(shí)施 45.4.監(jiān)督和效果驗(yàn)證 46. 預(yù)防措施制度 56.1.分析潛在不符合項(xiàng)的原因 56.2.預(yù)防措施的實(shí)施 56.3.監(jiān)督和驗(yàn)證 67. 實(shí)施策略 68. 相關(guān)記錄 7

目的和范圍為了對(duì)信息安全管理體系運(yùn)行出現(xiàn)的不符合事項(xiàng)（信息安全事故、審核中出現(xiàn)的不符合等）或潛在不符合事項(xiàng)進(jìn)行分析、糾正，并為防止?jié)撛诓环享?xiàng)的發(fā)生，采取預(yù)防措施，以消除造成實(shí)際或潛在的不符合項(xiàng)的原因，持續(xù)改進(jìn)信息安全管理體系，特制定糾正和預(yù)防措施管理制度。本制度適用于信息安全管理體系各項(xiàng)活動(dòng)中發(fā)生或可能發(fā)生的所有不符合項(xiàng)的糾正和預(yù)防措施的管理。引用文件下列文件中的條款通過(guò)本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門(mén)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《文件控制制度》《信息安全交流控制制度》職責(zé)和權(quán)限信息安全工作小組：負(fù)責(zé)選派一名糾正和預(yù)防措施監(jiān)督員負(fù)責(zé)收集信息并組織責(zé)任部門(mén)分析原因，并跟蹤驗(yàn)證糾正預(yù)防措施實(shí)施情況；負(fù)責(zé)與相關(guān)部門(mén)共同制定糾正預(yù)防措施。各部門(mén)：負(fù)責(zé)本部門(mén)的不符合原因分析及糾正、預(yù)防措施的制定和實(shí)施。持續(xù)改進(jìn)為了消除不符合項(xiàng)或潛在的不符合項(xiàng)的產(chǎn)生，所采取的糾正、預(yù)防措施應(yīng)與問(wèn)題大小和風(fēng)險(xiǎn)程度相適應(yīng)，以最佳的成本獲得滿(mǎn)足信息安全管理體系的要求。通過(guò)應(yīng)用信息安全管理方針、目標(biāo)及其有效性測(cè)量、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施和管理評(píng)審，持續(xù)改進(jìn)信息安全管理體系的有效性。信息安全工作小組負(fù)責(zé)組織將證實(shí)有效的糾正、預(yù)防措施納入有關(guān)的管理和技術(shù)文件中去，使其成為正式的方法，有效地防止不符合項(xiàng)的發(fā)生。所引起的信息安全管理管理體系文件的更改和補(bǔ)充按《文件控制制度》進(jìn)行。糾正措施制度信息的收集和匯總分析不符合的信息可能來(lái)自：法律法規(guī)的變更產(chǎn)生的不符合；員工、顧客及相鄰部門(mén)和群眾的意見(jiàn)和投訴；資產(chǎn)識(shí)別及評(píng)價(jià)發(fā)現(xiàn)的不符合；內(nèi)部和外部審核及管理評(píng)審發(fā)現(xiàn)的不符合；體系運(yùn)行中發(fā)現(xiàn)的問(wèn)題；檢查與監(jiān)督過(guò)程中發(fā)現(xiàn)的不符合；事故調(diào)查時(shí)發(fā)現(xiàn)的不符合問(wèn)題；信息交流發(fā)現(xiàn)的不符合；其它途徑發(fā)現(xiàn)的不符合。信息安全工作小組對(duì)管理體系實(shí)施運(yùn)行情況，尤其對(duì)內(nèi)審、外審、管理評(píng)審以及有效性測(cè)量中的《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》和信息安全事件，進(jìn)行收集匯總。信息安全工作小組對(duì)所有的不符合項(xiàng)，進(jìn)行原因分析，找出主要原因，確定需要采取糾正措施的不符合項(xiàng)，并填入《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》。下達(dá)任務(wù)在明確責(zé)任部門(mén)后，信息安全工作小組給相關(guān)責(zé)任部門(mén)下達(dá)《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》。糾正措施的實(shí)施不符合項(xiàng)的責(zé)任部門(mén)根據(jù)《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》的要求，在規(guī)定的期限內(nèi)組織相關(guān)人員進(jìn)行實(shí)施。對(duì)于需要跨部門(mén)協(xié)調(diào)解決糾正和預(yù)防措施由體系負(fù)責(zé)人組織召開(kāi)工作會(huì)議討論并明確相關(guān)改進(jìn)責(zé)任部門(mén)及改進(jìn)職責(zé)，確保按期完成。監(jiān)督和效果驗(yàn)證糾正措施完成后，責(zé)任部門(mén)通知信息安全工作小組對(duì)糾正措施進(jìn)行驗(yàn)證，信息安全工作小組組織有關(guān)人員進(jìn)行驗(yàn)證，并記錄在《體系改進(jìn)記錄表》上，并提報(bào)給信息安全委員會(huì)；信息安全工作小組對(duì)糾正措施的實(shí)施結(jié)果和效果作最終的確認(rèn)。預(yù)防措施制度分析潛在不符合項(xiàng)的原因信息安全工作小組利用對(duì)潛在不符合項(xiàng)情況以及各部門(mén)日常發(fā)現(xiàn)報(bào)告的重大安全隱患（安全薄弱點(diǎn))，確定可能需要采取預(yù)防措施的問(wèn)題和需求，組織相關(guān)部門(mén)進(jìn)行原因分析，分析確定潛在不符合及其原因，評(píng)價(jià)防止不符合發(fā)生的措施的需求。采取預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)，對(duì)于以下情況的潛在不符合應(yīng)采取預(yù)防措施：可能造成信息安全事故；可能影響客戶(hù)滿(mǎn)意程度、造成客戶(hù)抱怨與投訴；可能影響企業(yè)形象與經(jīng)濟(jì)利益；可能造成生產(chǎn)經(jīng)營(yíng)業(yè)務(wù)中斷。預(yù)防措施的實(shí)施信息安全工作小組根據(jù)分析的潛在不符合項(xiàng)原因，制定相應(yīng)的預(yù)防措施，確定責(zé)任部門(mén)和責(zé)任人，規(guī)定具體的方法和完成時(shí)間。并形成《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》。信息安全工作小組下達(dá)《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》，經(jīng)信息安全工作小組批準(zhǔn)后，由相關(guān)責(zé)任部門(mén)執(zhí)行。不符合項(xiàng)的責(zé)任部門(mén)根據(jù)《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》的要求，在規(guī)定的期限內(nèi)完成。對(duì)于跨部門(mén)的糾正/預(yù)防措施，由信息安全工作小組負(fù)責(zé)協(xié)調(diào)，確保按期完成。監(jiān)督和驗(yàn)證在預(yù)防措施完成后，由信息安全工作小組組織有關(guān)人員對(duì)其進(jìn)行驗(yàn)證，并記錄在《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》上。驗(yàn)證內(nèi)容包括：預(yù)防措施是否按預(yù)防措施計(jì)劃的要求實(shí)施；是否消除了潛在不符合的原因。進(jìn)行驗(yàn)證和評(píng)價(jià)時(shí)，驗(yàn)證方法有：向有關(guān)人員了解情況；進(jìn)行相關(guān)的檢驗(yàn)和試驗(yàn)；必要時(shí)組織內(nèi)審或管理評(píng)審。驗(yàn)證結(jié)果提報(bào)給信息安全委員會(huì)，由信息安全委員會(huì)對(duì)糾正措施的實(shí)施結(jié)果和效果作最終的確認(rèn)。實(shí)施策略對(duì)于內(nèi)審、外審、管理評(píng)審、有效性測(cè)量、信息安全事件監(jiān)控中的發(fā)現(xiàn)事項(xiàng)需填寫(xiě)《審核、檢查發(fā)現(xiàn)事項(xiàng)通知單》，通知相關(guān)需改進(jìn)部門(mén)。將發(fā)現(xiàn)事項(xiàng)記錄在《體系改進(jìn)記錄表》中，對(duì)糾正和預(yù)防情況進(jìn)行跟蹤驗(yàn)證。在對(duì)于非上述活動(dòng)中的改進(jìn)措施，按《信息安全交流控制制度》要求