XX公司纠正措施控制程序.docVIP

版本：A 编号：ISMSP-04-A 第 PAGE 5 页 共 NUMPAGES 5 页 第 PAGE 5 页 共 NUMPAGES 5 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX纠正措施控制程序 文件编号 ISMSP-04-A 1目的 为对XXXX公司在信息安全管理体系实施运行过程中产生的不符合项和由此产生的不利的影响，采取纠正措施，防止其再度发生并减小不利影响，特制定本程序。 2 适用范围 本程序适用于本公司信息安全管理体系中的不符合项的纠正。 3 职责 1）各部门的内部审核员负责提出不符合项，编写不符合报告并督促和验证其纠正措施的实施。 2）各部门负责人负责组织本部门工作人员分析不符合项产生的原因，并制订和实施纠正措施。 3）人力资源部（总经办）负责组织本公司相关部门对外部审核提出的不符合项的产生原因进行分析，制定和实施纠正措施。 4定义 无 5程序 5.1不符合项的定义及来源 5.1.1不符合项是指在体系运行过程中，产生的与ISO/IEC27001:2005标准要求，体系文件和法律、法规要求不一致的现象。 5.1.2不符合项来源主要是： 1) 日常监督检查。 2) 体系的内部审核。 3) 外部审核和管理评审。 5.2日常监督检查发现的不符合项的纠正和预防 5.2.1各部门的内部审核员在体系运行控制目标和措施的检查中发现不符合项，应及时下达不符合报告责令相应的责任部门查找原因，制定纠正措施并实施，由内部审核员对实施情况进行验证。 5.2.2在公司职能部门日常检查中或各部门自行检查中发现的不符合项，如属较轻微能立即纠正的，由检查人员用口头或书面材料的形式要求责任部门相关的责任人在短期内纠正。 5.2.3发生不符合的部门在制定纠正措施同时，应根据不符合项产生的原因，制定预防措施，以免再次产生此类不符合项。 5.3体系内部审核中发现的不符合项的纠正 5.3.1根据《XX内部审核控制程序》，在内审中发现不符合项，应由发现不符合项的内审员编写不符合报告，经审核组长同意和被审核部门负责人确认后，下发至相应不符合项产生的部门。 5.3.2各不符合项产生的部门在不符合报告要求时间内进行原因分析，并制定相应的纠正措施，整改完毕后由内审员进行验证。 5.4体系外部审核中发现的不符合项纠正措施 体系外部审核中发现的不符合项的纠正，人力资源部（总经办）应在不符合报告规定的时间内组织不符合项产生的部门进行原因分析，制定相应的纠正措施，经人力资源部（总经办）经理或管理者代表批准后由人力资源部（总经办）负责将整改的书面材料寄送审核机构验证。 5.5管理评审中提出的不符合项的纠正措施 5.5.1通过《XX管理评审程序》，针对管理评审的结论，管理者代表责成人力资源部（总经办）对体系进行必要的调整，由各部门根据评审具体实施整改，人力资源部（总经办）做好跟踪工作。 5.5.2如果不符合项的发生是由于体系文件制订得不合理，文件需调整时，应对文件进行评审，按《XX文件控制程序》更改文件。 5.5.3对引起文件修改的纠正措施，在文件修改后相关部门应组织对相关人员进行培训，按《XX人力资源安全管理程序》执行。 5.5.4人力资源部（总经办）应做好《纠正/预防措施表》记录的保存。在下次管理评审前，将各部门所采取的预防措施的有关情况汇总，报管理者代表，作为管理评审的输入。 6 相关文件 《XX文件控制程序》 《XX人力资源安全管理程序》 《XX管理评审控制程序》 《XX内部审核管理程序》 7记录 记录名称 保存期限 《纠正/预防措施表》 2年 8变更履历 序号 条款号 更改内容 更改通知单号 更改人/日期 批准人/日期 附加说明： 本程序文件编制人： 日期： 本程序文件审核人： 日期： 本程序文件批准人： 日期：  纠正措施表(ISMSR-04-01-1007001) 部门： 负责人： 发生或存在的问题、现象： 发现人： 发现时间： 问题产生的原因： 确认人： 确认时间： 纠正 执行人： 执行时间： 针对问题原因采取的纠正措施（计划）：