XX公司预防措施控制程序.docVIP

版本：A 编号： 第 PAGE 1 页 共 NUMPAGES 5 页 第 PAGE 1 页 共 NUMPAGES 5 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX预防措施控制程序 文件编号 1 目的 为对潜在的不符合项进行分析、采取措施，并予以消除，以逐步改进和完善信息安全管理体系，特制定本程序。 2 范围 本程序适用于对XXXX公司为消除潜在不符合项原因所采取的预防措施的控制。 3 职责 1）人力资源部（总经办）为公司预防措施的归口管理部门。通过组织内部审核等方式对有关部门采取预防措施的过程和有效性进行监督；负责XXXX公司的信息安全目标方面信息的收集与分析，评价预防措施的需求及组织有关部门采取预防措施并跟踪验证。 2） 各部门负责识别潜在不符合项，并确定其原因，提出、实施预防措施。 4定义 无 5 程序 5.1 预防措施信息的来源有: 1) 安全事件记录、事故报告； 2) 日常管理检查及技术检查中提出的不符合项； 3) 安全审核日志、监视记录； 4) 以往的《XX内部审核报告》及《XX管理评审报告》中的不符合项； 5) 相关方的建议或抱怨； 6) 其他有价值的信息等。 5.2 识别潜在的不符合项 公司有关部门应按照本程序第3条款的责任分工利用5.1条款所规定的信息来源，确定潜在不符合项及其原因，评价防止不符合项发生的措施的需求。采取预防措施应与潜在问题的影响程度相适应，对于以下情况的潜在不符合项应采取预防措施： 1) 可能造成信息安全事故； 2) 可能影响顾客满意程度、造成顾客抱怨与投诉； 3) 可能影响本公司的企业形象与经济利益； 4) 可能造成设备与人身安全事故； 5) 可能造成生产经营业务中断； 6) 持续或经常发生的不合格情况。 5.3 制定预防措施 5.3.1 需制定预防措施时，人力资源部（总经办）应将有关潜在的不符合项信息填入《预防措施表》，组织内部审核员对其产生的原因进行调查分析，确定责任部门，管理者代表审定后以《纠正/预防措施表》形式通知责任部门。 5.3.2 由相关部门对潜在的不符合项信息进行调查和原因分析，制定预防措施，上报管理者代表批准后予以实施。 5.3.3 预防措施在实施过程中由人力资源部（总经办）监督实施。涉及人力资源部（总经办）制订措施并实施时，管理者代表对其负责的实施过程进行监督。 5.3.4预防措施实施后的效果验证，由人力资源部（总经办）组织进行，并将验证结果填入《纠正/预防措施表》验证栏中，验证不合格的重新按5.3.1款要求进行。 验证内容包括： 1) 预防措施是否按预防措施计划的要求实施； 2) 潜在不符合项是否完全消除或减至可行性最低程度； 3) 是否消除了潜在不符合项的原因。 5.3.5 预防措施应与潜在问题的影响程度相适应。 5.3.6 当问题原因不确定或责任重大时，由采取预防措施的部门呈报公司主管领导，必要时，应提交公司信息安全管理委员会进行专题研究小组，商讨对策。 5.3.7 预防措施需要涉及文件更改的，应对文件进行评审，按《XX文件控制程序》更改文件。 5.3.8 人力资源部（总经办）应做好预防措施相关记录的保存。管理评审前，将各部门所采取的预防措施的有关情况汇总，报管理者代表，作为管理评审的输入。 6 相关文件 《XX文件控制程序》 《XX管理评审控制程序》 《XX内部审核控制程序》 7 记录 记录名称 保存期限 《纠正/预防措施表》 2年 8变更履历 序号 条款号 更改内容 更改通知单号 更改人/日期 批准人/日期 附加说明： 本程序文件编制人： 日期： 本程序文件审核人： 日期： 本程序文件批准人： 日期： 9 附件 纠正/预防措施表 部门： 负责人： □纠正 □纠正措施 □预防措施 发生或存在的问题、现象： 发现人： 发现时间： 问题产生的原因： 确认人： 确认时间： 纠正： 执行人： 执行时间： 针对问题原因采取的纠正措施： 批准人： 批准时间： 针对问题原因采取的预防措施：