公司名称厦门汉墨企业管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地厦门
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证
发货地厦门或福州
ISO27001认证信息安全管理体系认证
1. 目的和范围
为了对信息安全管理体系运行出现的不符合事项(信息安全事故、审核中出现的不符合等)或潜在不符合事项进行分析、纠正,并为防止潜在不符合项的发生,采取预防措施,以消除造成实际或潜在的不符合项的原因,持续改进信息安全管理体系,特制定纠正和预防措施管理制度。
本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2008/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《文件控制制度》
5) 《信息安全交流控制制度》
1) 信息安全工作小组根据分析的潜在不符合项原因,制定相应的预防措施,确定责任部门和责任人,规定具体的方法和完成时间。并形成《审核、检查发现事项通知单》。
2) 信息安全工作小组下达《审核、检查发现事项通知单》,经信息安全工作小组批准后,由相关责任部门执行。
3) 不符合项的责任部门根据《审核、检查发现事项通知单》的要求,在规定的期限内完成。对于跨部门的纠正/预防措施,由信息安全工作小组负责协调,确保按期完成。
1 设计演练方案
演练应该是实际的、经过周密的计划,并获得利益相关方的认可,以使演练过程中业务中断的风险小。演练应经过计划,以使得因演练直接导致事故的风险小。每次演练都应清晰定义目的和目标。演练的方式可能包括:桌面演练、模拟演练和真实演练。
2 演练
除非经过演练并实施维持,否则组织的业务连续性和事故管理安排不能认为是可靠的。演练核心是开发团队合作、能力、信心和知识,这在发生事故时是非常重要的。演练的计划可以在项目计划时进行确定。
3 评审和改进
演练后的简报和分析应考虑目的和目标的达成。在演练结束以后以及在系统本身或外界环境发生重大变化时,应对服务连续性方案进行评审和维护。
当公司的业务环境发生重大变化时,也应重新评估应急预案的有效性。
1) 信息安全工作小组:
负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因,并跟踪验证纠正预防措施实施情况;
负责与相关部门共同制定纠正预防措施。
2) 各部门:负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
1) 为了消除不符合项或潜在的不符合项的产生,所采取的纠正、预防措施应与问题大小和风险程度相适应,以的成本获得满足信息安全管理体系的要求。
2) 通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审,持续改进信息安全管理体系的有效性。
3) 信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去,使其成为正式的方法,有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。
-/gbacfji/-
http://lsjsqd.b2b168.com
