ISO27001纠正预防措施控制程序
1 适用 本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的 控制。
2 目的 为对不符合/潜在不符合进行分析、采取措施，并予以消除，以逐步改进和完善信息安全管 理体系，特制定本程序。
3 职责 本公司行政部为公司信息安全管理体系纠正/预防措施的归口管理部门，负责组织相关部门 进行信息安全数据的收集及分析，确定不符合/潜在不符合原因，评价纠正/预防措施的需求， 组织相关部门制定纠正/预防措施，并由行政部组织相关部门负责跟踪验证。
4 程序
4.1 纠正/预防措施信息来源有: a.公司内外安全事件记录、事故报告、薄弱点报告； b.日常管理检查及技术检查中指出的不符合； c.信息安全监控记录； d.内、外部审核报告及管理评审报告中的不符合项； e.相关方的建议或抱怨；
f.风险评估报告；
g.其他有价值的信息等。
4.2 行政部每半年组织相关部门利用 4.1 条款所规定的信息来源，分析确定不符合/潜在不符 合及其原因，评价防止不符合发生的措施的需求，并形成 ISMS-4021《信息安全风险评估报 告》。采取纠正/预防措施应与潜在问题的影响程度相适应，对于以下情况的不符合/潜在不 符合应采取纠正/预防措施：
a.可能造成信息安全事故； b.可能影响顾客满意程度、造成顾客抱怨与投诉； c.可能影响本公司的企业形象与经济利益； d.可能造成生产经营业务中断。
对于各部门日常发现报告的重大安全隐患（安全薄弱点)，行政部应组织有关部门进行原因 分析，采取纠正/预防措施。
4.3 需制定纠正/预防措施时，行政部应将有关不符合/潜在不符合信息及原因填入 ISMS-4071
《纠正/预防措施申请书》，组织有关部门制定纠正/预防措施对策，确定实施纠正/预防措施 的部门，填入《纠正/预防措施申请书》，经管理责任人批准后予以实施。
4.4 当问题原因不确定或责任重大时，由采取纠正/预防措施的部门呈报公司信息安全最高责 任者，必要时，应提交公司信息安全管理委员会进行专题研究，商讨对策。
4.5 实施纠正/预防措施的部门应按照《纠正/预防措施申请书》要求认真执行，并将执行结果记入相应《纠正/预防措施申请书》中。
4.6 行政部组织相关人员对纠正/预防措施实施结果进行验证，并将验证结果记录在《纠正/预防措施申请书》上。 验证内容包括： a、纠正/预防措施是否按纠正/预防措施计划的要求实施； b、是否消除了不符合/潜在不符合的原因。
4.7 经验证效果不理想，负责制定纠正/预防措施的部门应重新编制《纠正/预防措施申请书》， 依据本程序 4.3 要求实施。
4.8 纠正/预防措施需要涉及文件更改的，应对文件进行评审，按 ISMS-2005《文件和欧亿·体育（中国）有限公司管 理程序》更改文件。
4.9 行政部应做好纠正/预防措施相关记录的保存。管理评审前，将各部门所采取的纠正/预 防措施的有关情况汇总，提交管理评审。
5 记录
1) ISMS-4021《信息安全风险评估报告》保存部门为行政部，保管期限为 3 年
2) ISMS-4071《纠正/预防措施申请书》保存部门为行政部，保管期限为 3 年
ISO27001信息安全管理标准理解及内审员培训
培训热线：0755-25936263、25936264 李小姐??客服QQ：1484093445、675978375

? ISO27001信息安全管理标准理解及内审员培训 ??
下载报名表??