ISMS-02-09-V1.0 纠正预防控制管理规定

纠正预防控制管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心信息安全管理体系的纠正和预防工作，消除信息安全管理体系中发现的不符合项和潜在的不符合项，识别其根本原因，消除不良因素，避免不符合项的再次出现，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心信息安全管理体系的纠正和预防措施的实施以及效果验证等活动。

第二章 组织与职责

第三条 思度安全运营中心风险管理组

思度安全运营中心风险管理组负责监督各项纠正和预防措施的执行情况，管理纠正预防相关的各类文件和记录。

第四条 各部门安全组

各部门安全组负责监督和检查本部门各项纠正和预防措施的执行情况，管理本部门纠正预防相关的各类文件和记录。

第五条 各部门负责人

各部门负责根据已经识别的不符合项或潜在的不符合项制订纠正和预防方案，实施纠正和预防措施，并对实施结果进行检查。

第三章 纠正管理规定

第六条 纠正依据

各部门应根据信息安全管理体系有效性测量、内部审核、管理评审结果，确定需采取纠正措施的不符合项。

第七条 评估纠正措施

各部门应组织查找不符合项的原因，并评估实施纠正措施的必要性和可行性。

第八条 改进计划表

确定采取纠正措施时，各部门应填写《改进计划表》。

第九条 纠正措施有效性

纠正措施应全面考虑成本、性能、可用性和安全性等因素，并确保其有效。

第十条 执行纠正和检查效果

各部门应依照《改进计划表》执行纠正措施，并检查纠正措施的实施效果。

第十一条 验证纠正措施

思度安全运营中心风险管理组应组织对纠正措施的实施效果进行验证，将实施结果归档保存。

第四章 预防管理规定

第十二条 资产评审

各部门应组织对重要信息资产进行检查和评审，以识别潜在不符合项。

第十三条 评估预防措施

各部门应组织识别并分析确定导致潜在不符合项的原因，制定预防措施并评估实施预防措施的必要性和可行性。

第十四条 改进计划表

确定采取预防措施时，各部门应填写《改进计划表》。

第十五条 预防措施有效性

预防措施应全面考虑成本、性能、可用性和安全性等因素，并确保其有效。

第十六条 执行预防措施

各部门应依照《改进计划表》执行预防措施，并检查预防措施的实施效果。

第十七条 预防措施失效

当预防措施无法有效控制潜在不符合项的发生时，应执行纠正措施。

第十八条 验证预防措施

思度安全运营中心风险管理组应组织对预防措施的实施效果进行验证，将实施结果归档保存。

第五章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起。