东莞市有限公司 ISMS-COP01
纠正预防措施控制程序
1 适用
本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。
2 目的
为对不符合/潜在不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息安全管理体系,特制定本程序。
3 职责
本公司办公室为公司信息安全管理体系纠正/预防措施的归口管理部门,负责组织相关部门进行信息安全数据的收集及分析,确定不符合/潜在不符合原因,评价纠正/预防措施的需求,组织相关部门制定纠正/预防措施,并由办公室负责跟踪验证。
4 程序
4.1 纠正/预防措施信息来源有:
a. 公司内外安全事件记录、事故报告、薄弱点报告; b. 日常管理检查及技术检查中指出的不符合; c. 信息安全监控记录;
d. 内、外部审核报告及管理评审报告中的不符合项; e. 相关方的建议或抱怨; f. 风险评估报告; g. 其他有价值的信息等。
4.2 办公室每半年组织相关部门利用4.1条款所规定的信息来源,分析确定不符合/潜在不符合及其原因,评价防止不符合发生的措施的需求,并形成《信息安全风险评估报告》。采取纠正/预防措施应与潜在问题的影响程度相适应,对于以下情况的不符合/潜在不符合应采取纠正/预防措施:
a. 可能造成信息安全事故;
第16页 共106页
东莞市有限公司 ISMS-COP01
b. 可能影响顾客满意程度、造成顾客抱怨与投诉; c. 可能影响本公司的企业形象与经济利益; d. 可能造成生产经营业务中断。
对于各部门日常发现报告的重大安全隐患(安全薄弱点),办公室应组织有关部门进行原因分析,采取纠正/预防措施。
4.3 需制定纠正/预防措施时,办公室应将有关不符合/潜在不符合信息及原因填入《纠正/预防措施申请单》,组织有关部门制定纠正/预防措施对策,确定实施纠正/预防措施的部门,填入《纠正/预防措施申请单》,经管理责任人批准后予以实施。
4.4 当问题原因不确定或责任重大时,由采取纠正/预防措施的部门呈报公司信息安全最高责任者,必要时,应提交公司信息安全管理委员会进行专题研究,商讨对策。
4.5 实施纠正/预防措施的部门应按照《纠正/预防措施申请单》要求认真执行,并将执行结果记入相应《纠正/预防措施申请单》中。
4.6 办公室对纠正/预防措施实施结果进行验证,并将验证结果记录在《纠正/预防措施申请单》上。
验证内容包括:
a. 纠正/预防措施是否按纠正/预防措施计划的要求实施; b. 是否消除了不符合/潜在不符合的原因。
4.7 经验证效果不理想,负责制定纠正/预防措施的部门应重新编制《纠正/预防措施申请单》,依据本程序4.3要求实施。
4.8 纠正/预防措施需要涉及文件更改的,应对文件进行评审,按《文件和资料管理程序》更改文件。
4.9 办公室应做好纠正/预防措施相关记录的保存。管理评审前,将各部门所采取的纠正/预防措施的有关情况汇总,提交管理评审。
第17页 共106页
东莞市有限公司 ISMS-COP01
5 记录
管理评审控制程序
记录名称 《信息安全风险评估报告》 《纠正/预防措施申请单》
保存部门 办公室 办公室 保存期限 3年 3年 东莞市有限公司
文件编号:ISMS-COP04 编写:信息安全管理委员会 审核: 批准:陈世胜 发布版次:A/0版
状态:受控 2018年05月10日 2018年05月10日 2018年05月12日 2018年05月12日
第18页 共106页
东莞市有限公司 ISMS-COP01
生效日期: 分发:各部门
2018年05月18日 接受部门:各部门
变 更 记 录
变更日期 版本 A/0 变更说明 初始版本 编写 审核 批准 第19页 共106页
东莞市有限公司 ISMS-COP01
管理评审控制程序
1 适用
本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。
2 目的
为确保公司信息安全管理体系持续的适宜性、充分性和有效性,评估公司信息安全管理体系改进和变更的需要,包括信息安全方针、目标,特制定本程序。
3 相关文件
《信息安全手册》
4 实施程序
4.1 实施频率、时期
管理评审每年至少进行一次。
4.2 召集和参加评审者
4.2.1由总经理指示信息安全管理体系的管理者代表(以下简称管理者代表)召开管理评审会议。
4.2.2 参加管理评审会议者包括最高管理者、管理者代表及相关的部门长(或高级主管)。受召集的部门长因不得已的理由而无法出席时,可让其他管理者代其出席。
4.2.3除了每年定期召开一次管理评审会议外,最高管理者还可在发生以下情况时,指示管理者代表召开管理评审会议。
a.当本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时; b.当连续出现重大信息安全事故时; c.当相关方有重大投诉或抱怨时;
d.内部审核、顾客审核或ISO27001:2005外部审核时,发现了对全公司有影响,属信息安全管理体系上的重大不符合事项时;
e. ISO27001:2005修订的情况下。
第20页 共106页
