纠正预防控制管理规定
总则
为规范科技发展部信息安全管理体系的纠正和预防工作，消除信息安全管理体系中发现的不符合项和潜在的不符合项，识别其根本原因，消除不良因素，避免不符合项的再次出现，特制定本规定。
本规定适用于科技发展部信息安全管理体系的纠正和预防措施的实施以及效果验证等活动。
组织与职责
科技发展部风险管理组负责监督各项纠正和预防措施的执行情况，管理纠正预防相关的各类文件和记录。
各部门安全组负责监督和检查本部门各项纠正和预防措施的执行情况，管理本部门纠正预防相关的各类文件和记录。
各部门负责根据已经识别的不符合项或潜在的不符合项制订纠正和预防方案，实施纠正和预防措施，并对实施结果进行检查。
纠正管理规定
各部门应根据信息安全管理体系有效性测量、内部审核、管理评审结果，确定需采取纠正措施的不符合项。
各部门应组织查找不符合项的原因，并评估实施纠正措施的必要性和可行性。
确定采取纠正措施时，各部门应填写《改进计划表》。
纠正措施应全面考虑成本、性能、可用性和安全性等因素，并确保其有效。
各部门应依照《改进计划表》执行纠正措施，并检查纠正措施的实施效果。
科技发展部风险管理组应组织对纠正措施的实施效果进行验证，将实施结果归档保存。
预防管理规定
各部门应组织对重要信息资产进行检查和评审，以识别潜在不符合项。
各部门应组织识别并分析确定导致潜在不符合项的原因，制定预防措施并评估实施预防措施的必要性和可行性。
确定采取预防措施时，各部门应填写《改进计划表》。
预防措施应全面考虑成本、性能、可用性和安全性等因素，并确保其有效。
各部门应依照《改进计划表》执行预防措施，并检查预防措施的实施效果。
当预防措施无法有效控制潜在不符合项的发生时，应执行纠正措施。
科技发展部风险管理组应组织对预防措施的实施效果进行验证，将实施结果归档保存。
附则
本规定由科技发展部制定、修订和解释。
本规定自发布之日起。附件一：
修订记录
日期(年月日)
版本
描述
作者
审批人
审批日期
20161011
1.0 发布稿
詹学文
乌传欣
20161021