信息安全交流控制制度ISMS-B-08第頁TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責和權限 24. 持續改進 35. 糾正措施制度 35.1.信息的收集和匯總分析 35.2.下達任務 45.3.糾正措施的實施 45.4.監督和效果驗證 46. 預防措施制度 56.1.分析潛在不符合項的原因 56.2.預防措施的實施 56.3.監督和驗證 67. 實施策略 68. 相關記錄 7

目的和范圍為了對信息安全管理體系運行出現的不符合事項（信息安全事故、審核中出現的不符合等）或潛在不符合事項進行分析、糾正，并為防止潛在不符合項的發生，采取預防措施，以消除造成實際或潛在的不符合項的原因，持續改進信息安全管理體系，特制定糾正和預防措施管理制度。本制度適用于信息安全管理體系各項活動中發生或可能發生的所有不符合項的糾正和預防措施的管理。引用文件下列文件中的條款通過本規定的引用而成為本規定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T22080-2016/ISO/IEC27001:2013信息技術-安全技術-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術-安全技術-信息安全管理實施細則《文件控制制度》《信息安全交流控制制度》職責和權限信息安全工作小組：負責選派一名糾正和預防措施監督員負責收集信息并組織責任部門分析原因，并跟蹤驗證糾正預防措施實施情況；負責與相關部門共同制定糾正預防措施。各部門：負責本部門的不符合原因分析及糾正、預防措施的制定和實施。持續改進為了消除不符合項或潛在的不符合項的產生，所采取的糾正、預防措施應與問題大小和風險程度相適應，以最佳的成本獲得滿足信息安全管理體系的要求。通過應用信息安全管理方針、目標及其有效性測量、審核結果、監視事件的分析、糾正和預防措施和管理評審，持續改進信息安全管理體系的有效性。信息安全工作小組負責組織將證實有效的糾正、預防措施納入有關的管理和技術文件中去，使其成為正式的方法，有效地防止不符合項的發生。所引起的信息安全管理管理體系文件的更改和補充按《文件控制制度》進行。糾正措施制度信息的收集和匯總分析不符合的信息可能來自：法律法規的變更產生的不符合；員工、顧客及相鄰部門和群眾的意見和投訴；資產識別及評價發現的不符合；內部和外部審核及管理評審發現的不符合；體系運行中發現的問題；檢查與監督過程中發現的不符合；事故調查時發現的不符合問題；信息交流發現的不符合；其它途徑發現的不符合。信息安全工作小組對管理體系實施運行情況，尤其對內審、外審、管理評審以及有效性測量中的《審核、檢查發現事項通知單》和信息安全事件，進行收集匯總。信息安全工作小組對所有的不符合項，進行原因分析，找出主要原因，確定需要采取糾正措施的不符合項，并填入《審核、檢查發現事項通知單》。下達任務在明確責任部門后，信息安全工作小組給相關責任部門下達《審核、檢查發現事項通知單》。糾正措施的實施不符合項的責任部門根據《審核、檢查發現事項通知單》的要求，在規定的期限內組織相關人員進行實施。對于需要跨部門協調解決糾正和預防措施由體系負責人組織召開工作會議討論并明確相關改進責任部門及改進職責，確保按期完成。監督和效果驗證糾正措施完成后，責任部門通知信息安全工作小組對糾正措施進行驗證，信息安全工作小組組織有關人員進行驗證，并記錄在《體系改進記錄表》上，并提報給信息安全委員會；信息安全工作小組對糾正措施的實施結果和效果作最終的確認。預防措施制度分析潛在不符合項的原因信息安全工作小組利用對潛在不符合項情況以及各部門日常發現報告的重大安全隱患（安全薄弱點)，確定可能需要采取預防措施的問題和需求，組織相關部門進行原因分析，分析確定潛在不符合及其原因，評價防止不符合發生的措施的需求。采取預防措施應與潛在問題的影響程度相適應，對于以下情況的潛在不符合應采取預防措施：可能造成信息安全事故；可能影響客戶滿意程度、造成客戶抱怨與投訴；可能影響企業形象與經濟利益；可能造成生產經營業務中斷。預防措施的實施信息安全工作小組根據分析的潛在不符合項原因，制定相應的預防措施，確定責任部門和責任人，規定具體的方法和完成時間。并形成《審核、檢查發現事項通知單》。信息安全工作小組下達《審核、檢查發現事項通知單》，經信息安全工作小組批準后，由相關責任部門執行。不符合項的責任部門根據《審核、檢查發現事項通知單》的要求，在規定的期限內完成。對于跨部門的糾正/預防措施，由信息安全工作小組負責協調，確保按期完成。監督和驗證在預防措施完成后，由信息安全工作小組組織有關人員對其進行驗證，并記錄在《審核、檢查發現事項通知單》上。驗證內容包括：預防措施是否按預防措施計劃的要求實施；是否消除了潛在不符合的原因。進行驗證和評價時，驗證方法有：向有關人員了解情況；進行相關的檢驗和試驗；必要時組織內審或管理評審。驗證結果提報給信息安全委員會，由信息安全委員會對糾正措施的實施結果和效果作最終的確認。實施策略對于內審、外審、管理評審、有效性測量、信息安全事件監控中的發現事項需填寫《審核、檢查發現事項通知單》，通知相關需改進部門。將發現事項記錄在《體系改進記錄表》中，對糾正和預防情況進行跟蹤驗證。在對于非上述活動中的改進措施，按《信息安全交流控制制度》要求