还剩3页未读,继续阅读
文本内容:
3.2信息安全和信息技术服务小组负责收集和分析信息系统方面的事件和异常情况,确定潜在不符合原因,采取预防措施负责信息系统方面纠正措施的制定与实施4相关文件《信息安全及信息技术服务管理手册》《文件控制程序》5程序
5.1不符合和预防措施信息来源a)组织内、外部审核中发现的问题;b)日常信息安全及信息技术服务管理检查、监控及技术检查中指出的不符合项;c)突发的信息安全事件;d)相关方的建议或抱怨;e)风险评估报告f)相关方的建议或抱怨;g)组织内外安全事件记录、事故报告、薄弱点报告;h)
5.2不符合项分析各部门对本部门产生的不符合,应分析产生的原因,评价纠正预防措施的需求
5.3纠正预防措施采取纠正预防措施应与问题的影响程度相适应,对于信息系统发现报告的重大安全隐患(安全薄弱点),综合部应组织有关部门进行原因分析,采取预防措施,对于以下情况的不符合应采取纠正措施:a)可能造成信息安全事故;b)可能影响顾客满意程度、造成顾客抱怨与投诉;c)可能影响本公司的企业形象与经济利益;d)可能造成生产经营业务中断
5.4重大事件范畴对于信息系统的重大事件,综合部应进行原因分析,采取纠正预防措施,以下事件属于重大事件范畴:a)网络遭受大规模病毒攻击;b)组织信息资产被盗用
5.5纠正预防措施批准需制定纠正预防措施时,应将不符合原因填入《不符合项报告及纠正预防报告单》,制定纠正预防措施对策,经综合部批准后予以实施
5.6纠正措施结果记录实施纠正预防措施的部门应按照《不符合项报告及纠正预防报告单》要求认真执行,并将执行结果记入相应《不符合项报告及纠正预防报告单》中
5.7验证综合部对纠正预防措施实施结果进行验证,并将验证结果记录在《不符合项报告及纠正预防报告单》±o
5.8相关文件更改纠正预防措施需要涉及文件更改的,应对文件进行评审,按《文件控制程序》更改文件
5.9保管责任综合部应做好纠正措施相关记录的保存
5.10管理评审输入管理评审前,将各部门所采取的纠正措施的有关情况汇总,提交管理评审6记录《不符合项报告及纠正预防报告单》。
个人认证
优秀文档
获得点赞 0
