06-纠正预防控制程序.docx

纠正预防控制程序撰写： 发布：2020年8月1日文件编号：YJF-SP-006版本：A0文档秘级：秘密版本历史序号版本修订内容修订部门/人修订时间1A0制定2020-8-12345一、目的为了提高员工信息平安防范意识和操作技能，保障公司信息平安，特制定信息平安 策略。1范围本程序规定了*科技信息平安管理体系中为业务处理和IT服务 过程中现存和潜在的不合格原因的控制措施，以防止不合格或其他不期望情况的发生， 实现对信息平安管理体系的不断完善和持续改进。2规范性引用文件以下文件中的条款通过本程序的引用而成为本程序的条款。凡注日期的引用文件， 其随后所有的修改单（不包括勘误的内容）或修改版均不适用于本程序，然而，鼓励根 据本程序达成协议的各方研究是否可使用这些文件的最新版本。但凡不注日期的引用文 件，其最新版本适用于本程序。YJF-SP-004内部审核控制程序YJF-SP-005 管理评审控制程序YJF-SP-001文件控制程序YJF-SP-002 记录控制程序YJF-SP-003信息平安风险评估控制程序3术语和定义无4职责和权限4. 1管理者代表a）负责审批管理评审所要求的纠正和预防措施，并监督检查实施情况；b）负责对各部门单位在实施纠正和预防措施过程中的组织与协调。4.2系统运维部a）负责组织对内、外审过程中发现的不合格项提出纠正和预防措施要求，并跟踪 验证和记录实施情况；b）负责跟踪验证管理评审所要求的纠正和预防措施的实施情况;c）负责对各单位、部门纠正和预防措施的控制情况进行监督；d）负责对纠正和预防措施进行汇总分析，并将分析报告提交管理评审；e）负责对运行信息系统维护及通道、信息平安存在的不合格、事件进行处理分析, 及时实施纠正措施，确保通道畅通，系统正常运行。4.3其他部门负责本部门责任范围内不合格或潜在不合格原因的调查分析及纠正和预防措施的 制定与实施，将实施结果及时报有关职能管理部门。5活动描述5. 1纠正过程的管理5. 1. 1评审已存在不合格5. 1. 1. 1已存在的不合格包括：平安管理不平安因素及发生的不平安事件；信息 平安管理体系运行的不合格项；客户对信息平安不合格问题的投诉；来自相关方的投诉。 不合格可分为轻微不合格、一般不合格和严重不合格。5. 1. 1. 2已存在不合格信息的收集当存在以下情况时，均属于己发生的不合格项，必须采取纠正措施：a）内外审核和管理评审中发现的一般不合格、严重不合格项或需重大改进问题；b）信息平安管理体系运行中出现的不合格项；c）发现某一过程失控。5. 1. 1.3各责任部门收集和评审本部门的不合格信息，对未采取纠正措施又确实 需要的按职责上报职能管理部门。5. 系统运维部收集内外审核和管理评审中发现的不合格项，以及需改进的 问题，按需要填写“纠正/预防措施报告”，提出纠正措施要求。5. 系统运维部收集和评审来自企业内部员工、各业务系统用户等提出的信 息平安相关的不合格信息，按需要填写“纠正/预防措施报告”，提出纠正和预防措施 要求。5. 提供的不合格信息形式可以是：内部工作联系单，合理化建议和技术改 进意见表格，相关会议意见，来自客户的普通的 、 和口头建议，相关的社会媒 体报道等。对于已经收集到的不合格信息，按照“纠正/预防措施报告”进行填写。5. 1.2确定不合格的原因5. 1.2. 1责任部门在收到“纠正/预防措施报告”后，应进行调查研究分析，可召 开分析会，原因分析应积极采用统计技术，查找可能产生不合格的原因：a）规程、标准及其他程序或规定不适当；b）人员缺乏培训，平安意识不强或业务水平不够；c）工作计划控制不良，工时安排过紧，过程控制不当；d）检验控制不良；e）人力资源和物质资源缺乏；f）信息平安方面缺乏相关设备配置、技术手段等；g）管理不严，缺乏有关程序规定等；h）其他原因。5. 对重大问题产生的不合格，必要时由职能部门报管理者代表召开专门分 析会议，进行原因分析，并提出纠正措施方案。5. 1.3确认纠正措施计划6. 1.3. 1责任部门对己发生的不合格或潜在的不合格因素，在充分分析原因的基 础上，应确定纠正措施的具体实施部门，制定具体的纠正和预防措施计划，并填写在“纠 正/预防措施报告”上，报管理者代表批准后执行。5. 制定纠正措施的计划应根据轻微不合格、一般不合格和严重不合格确定 计划的优先顺序，对于严重不合格项，应在3个工作日内完成相应措施计划的制定和落 实；对于轻微和一般不合格，责任部门可以结合日常工作计划予以安排、实施。5.1. 3. 3纠正和预防措施应与问题的严重性和面临的平安风险相适应。对严重不合格所确定的纠正措施，由职能管理部门报请管理者代表召开 有关部门参加的专门会议进行评审，必要时需进行试验验证，纠正措施计划必须经管理 者代表审批，重大工程报告要报最高管理者审批。5. 1.4实施纠正措施5. 1.4. 1对于所有拟订的纠正措施，在实施前先通过风险评价过程进行评审。责任部门应严格按审核批准的纠正措施要求组织实施，并按纠正措施要 求对管理和工作程序进行改进，实施中要力求实效，以防止不合格再发生。在实施纠正措施时，如出现问题要及时向职能部门反映情况，当纠正措 施完成后，责任部门应将完成情况填写在“纠正/预防措施报告”上。5. 1.5验证所采取的纠正措施5. 1.5. 1对已完成的纠正和预防措施，职能管理部门应派人进行评审验证，凡经 证实改进措施已完成，那么验证人员和职能管理部门负责人应在“纠正/预防措施报告” 上做好验证记录。必要时职能部门也可组织有关部门进行实施评审验证。凡发现纠正措施未到达预期目标，或纠正措施本身存在一定问题，那么应 要求部门重新分析原因制定纠正和预防措施计划，按上述过程再次进行，直到纠正措施 有效为止。凡涉及有关文件要进一步充实完善或需要更新的规定，那么应按文件控 制程序规定进行修改或补充。纠正措施实施完成并效果满意后，职能管理部门和责任部门对所采取的 改进防措、记录整理存档，按4.0职责和权限分工，月末报各自分管部门。分管部门汇集整理各职能管理部门的“纠正/预防措施报告”并统一管理, 并将每个月提供的有关在公司相关会议上进行公布说明。5. 1.6记录所采取措施的结果5. 1.6. 1纠正措施在实施过程中，职能管理部门应进行跟踪监督和检查，以促进 纠正措施的实施。对纠正措施的实施，责任部门要做好各种记录，记录按记录控制程序 规定执行。责任部门应提供完成纠正措施及其效果的证实材料，并在“纠正/预防措施 报告”上填写完成情况，并一起报给职能管理部门。5.2预防措施的管理5. 2. 1收集潜在的不合格因素6. 可能引起潜在的不合格信息的收集当存在以下情况时，应考虑是否存在潜在的不合格项发生的可能性，并采取预防措 施：a）信息平安例行检查中发现的可能引起信息平安类事件发生的不平安因素;b）内外审核和管理评审中发现的轻微不合格；C）发现信息平安管理体系运行中有出现不合格项的倾向；d）发现某一过程可能失控。7. 各责任部门收集和评审本部门的可能发生不合格的信息，对未采取预防 措施又确实需要的按职责上报职能管理部门。8. 系统运维部收集内外审核和管理评审中发现的不合格项，以及需改进的 问题，按需要填写“纠正/预防措施报告”，提出纠正措施要求。9. 系统运维部结合日常网络与系统运行维护工作，收集相关不合格信息， 并按照有关规定进行处理。10. 2. 1.5收集潜在不合格信息的形式可以是来自公司内部工作联系单，公司合理 化建议和技术改进意见表格，相关会议意见，来自顾客的普通的 、 和口头建议, 相关的社会媒体报道等。11. 2.2分析和确定潜在不合格的严重程度和原因12. 2. 2.1相关责任部门在收到“纠正/预防措施报告”后，应进行调查研究分析， 可召开分析会，原因分析应积极采用统计技术，查找可能产生不合格的因素。13. 2. 2.2对于可能引起严重不合格产生的因素，必要时由职能部门报管理者代表 召开专门分析会议，进行原因分析，并提出预防措施和实施方案。14. 2. 2.3对于可能引起轻微或者一般性不合格的因素，由负责部门汇合职能部门 进行原因分析。15. 2, 2.4对于已经确认的潜在的不合格因素，应确定纠正措施的具体实施部门， 制定具体的预防措施计划，并填写在“纠正/预防措施报告”上，报管理者代表批准后 执行。16. 2. 2.5预防措施应与问题的严重性和面临的风险相适应，实施的预防措施应不 会引起新的潜在不合格因素的产生。6相关文件17. 1内部审核控制程序17.2 管理评审控制程序17.3 文件控制程序17.4 记录控制程序17.5 信息平安风险评估控制程序7记录表单7.1纠正/预防措施报告