纠正和预防措施控制制度目 录
1. 目的和范围 2
2. 引用文件 2
3. 职责和权限 2
4. 持续改进 3
5. 纠正措施制度 3
5.1. 信息的收集和汇总分析 3
5.2. 下达任务 4
5.3. 纠正措施的实施 4
5.4. 监督和效果验证 4
6. 预防措施制度 5
6.1. 分析潜在不符合项的原因 5
6.2. 预防措施的实施 5
6.3. 监督和验证 6
7. 实施策略 6
8. 相关记录 7
目的和范围
为了对信息安全管理体系运行出现的不符合事项（信息安全事故、审核中出现的不符合等）或潜在不符合事项进行分析、纠正，并为防止潜在不符合项的发生，采取预防措施，以消除造成实际或潜在的不符合项的原因，持续改进信息安全管理体系，特制定纠正和预防措施管理制度。
本制度适用于信息安全管理体系各项活动中发生或可能发生的所有不符合项的纠正和预防措施的管理。
引用文件
下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/T 22080-2008/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
GB/T 22081-2008/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
《文件控制制度》
《信息安全交流控制