《信息安全纠正预防措施控制程序》由会员分享,可在线阅读,更多相关《信息安全纠正预防措施控制程序(2页珍藏版)》请在金锄头文库上搜索。
1、版本更改类型生效日期更改内容会签部门:品质:工程:米购:业务:研发:IT:生产:PMC:行政:财务:制作:审核:批准:XX有限公司版本文件编号生效日期A0XXXX1适用本程序适用于对本公司为消除信息安全不符合/潜在不符合原因所采取的纠正/预防措施的控制。2目的为对不符合/潜在不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息安全管理体系,特制定本程序。3职责DXC为公司信息安全管理体系纠正/预防措施的归口管理部门,负责组织相关部门进行信息安全数据的收集及分析, 确定不符合/潜在不符合原因,评价纠正/预防措施的需求,组织相关部门制定纠正/预防措施,并由行政部负责跟踪 验证。4程序4.1纠
2、正/预防措施信息来源有:a. 公司内外安全事件记录、事故报告、薄弱点报告;b. 日常管理检查及技术检查中指出的不符合;c. 信息安全监控记录;d. 内、外部审核报告及管理评审报告中的不符合项;e. 相关方的建议或抱怨;f. 风险评估报告;g. 其他有价值的信息等。4.2 DXC每半年组织相关部门利用4.1条款所规定的信息来源,分析确定不符合/潜在不符合及其原因,评价防止不 符合发生的措施的需求,并形成信息安全风险评估报告。采取纠正/预防措施应与潜在问题的影响程度相适应, 对于以下情况的不符合/潜在不符合应采取纠正/预防措施:a. 可能造成信息安全事故;b. 可能影响顾客满意程度、造成顾客抱怨与
3、投诉;c. 可能影响本公司的企业形象与经济利益;d. 可能造成生产经营业务中断。对于各部门日常发现报告的重大安全隐患(安全薄弱点),行政部应组织有关部门进行原因分析,采取纠正/预防措 施。4.3需制定纠正/预防措施时,由DXC组织有关部门制定纠正/预防措施对策,确定实施纠正/预防措施的部门,经管 理责任人批准后予以实施。4.4当问题原因不确定或责任重大时,由采取纠正/预防措施的部门呈报公司信息安全最高责任者,必要时,应提交 公司信息安全管理委员会进行专题研究,商讨对策。4.5实施纠正/预防措施的部门应认真执行,作好执行结果的记录。4.6行政部对纠正/预防措施实施结果进行验证,验证内容包括:a. 纠正/预防措施是否按纠正/预防措施计划的要求实施;b. 是否消除了不符合/潜在不符合的原因。4.7经验证效果不理想,负责制定纠正/预防措施的部门应重新确定纠正/预防措施,依据本程序4.3要求实施。 4.8纠正/预防措施需要涉及文件更改的,应对文件进行评审,按ISMS-2005文件和资料管理程序更改文件。4.9 DXC应做好纠正/预防措施相关记录的保存。管理评审前,将各部门所采取的纠正/预防措施的有关情况汇总, 提交管理评审。5记录记录名称保存部门保存期限信息安全风险评估报告3年
