预防措施控制程序.doc

**
程序文件
发行版本:A
修改码:0
预防措施控制程序
文件编码:ISMSP-06-A
页码:1/3
1 目的
为对潜在的不符合进行分析、采取措施,并予以消除,以逐步改进和完善信息安全管理,特制定本程序。
2 范围
本程序适用于对**为消除潜在不符合原因所采取的预防措施的控制。
3 职责
人事行政部为公司预防措施的归口管理部门。通过组织内部审核等方式对有关部门采取预防措施的过程和有效性进行监督;负责信息安全目标方面信息的收集与分析,评价预防措施的需求及组织有关部门采取预防措施并跟踪验证。
各部门负责识别潜在不符合,并确定其原因,提出、实施预防措施。
4 程序
预防措施信息来源有:
1) 安全事件记录、事故报告;
2) 日常管理检查及技术检查中提出的不符合;
3) 安全审核日志、监视记录;
4) 以往的内部审核报告及管理评审报告中的不符合项;
5) 相关方的建议或抱怨;
6) 其他有价值的信息等。
识别潜在的不符合项
,确定潜在不符合及其原因,评价防止不符合发生的措施的需求。采取预防措施应与潜在问题的影响程度相适应,对于以下情况的潜在不符合应采取预防措施:
1) 可能造成信息安全事故;
2) 可能影响顾客满意程度、造成顾客抱怨与投诉;
3) 可能影响本公司的企业形象与经济利益;
4) 可能造成设备与人身安全事故;
5) 可能造成生产经营业务中断;
6) 持续或经常发生的不合格。
制定预防措施
需制定预防措施时,人事行政部应将有关潜在的不符合信息填入《纠正/预防措施表》,组织内部审核员对其产生的原因进行调查分析,确定责任部门,管理者代表审定后以《纠正/预防措施表》形式通知责任部门;
由相关部门对潜在的不符合信息进行调查和原因分析,制定预防措施,报管理者代表批准后予以实施。
预防措施在实施过程中由人事行政部监督实施。涉及人事行政部制