纠正措施程序

（ISO27001-2013）
1、目的
制定并执行纠正措施程序,以消除存在的不合格原因,防止再发生不合格。
2、范围
2.1内部管理体系审核的不合格，按《内部审核程序》执行。
2.2涉及与信息安全有关的不符合。
3、定义
3.1纠正措施——为了消除已经出现的不合格、缺陷或其他不希望的情况产生                 的原因所采取的措施，以防止其再次发生。
4、职责
4.1CSR部负责对信息安全的纠正措施的实施状态进行跟踪监督。必要时，将整改状态定期提交公司管理层。
4.2如果信息安全不符合项牵涉多个部门及相关方时，由管理者代表协调处理。
5、内容
5.1流程图见附录A
5.2不合格信息的收集
ISMS小组和有关部门通过例行监督检查、日常的信息交流，内部体系审核会议等方式发现并提出不符合。
5.3纠正措施的制定和实施
5.3.1各主管部门必须按照各自的职责要求分别对不符合情况进行调查或分析其原因，开展“PDCA”活动，填入〈纠正措施单〉，并制定相应的纠正措施，传递到CSR部，由CSR部汇总。
5.3.2在有必要时CSR部可以组织信息安全分析会讨论信息安全的纠正措施。
5.3.3涉及内部管理体系审核不合格的纠正措施，参照《内部审核程序》。对于单个部门不能解决的问题，则采用“PDCA”。
5.4纠正措施的验证
有关信息安全管理的不符合纠正措施实施由CSR部验证。
5.4.1纠正措施若涉及文件的修改，责任部门按《文件控制程序》修改相应的文件，以防止类似不合格再次发现。
5.4.2如果验证纠正措施效果无效时，由CSR部要求相关部门重新制定纠正措施。直致消除不符合为止。
5.5纠正措施的推广
运用时，相关主管部门注意把已采取并落实有效的纠正措施沿用到其它类似的不符合中，以消除造成不符合的根源。
5.6纠正措施的信息提交管理评审
 CSR部负责收集有关信息安全的纠正措施方面的信息，提交总经理用于管理评审。
6、参考文件
纠正措施流程图
内部审核程序
7、记录
纠正措施单
 
附:纠正措施流程图

★CMMI认证★CCRC认证★ISO27001认证★ITSS认证★CS认证★两化融合认证★重庆CMMI认证★重庆CCRC认证★重庆ISO27001认证★重庆ITSS认证★重庆CS认证★重庆GJB5000A认证★重庆两化融合认证★