矫正及预防管理程序书-中州科技大学.doc

管理系統文件 文件類別 第 二 階 文 件 文件編號 ISMS-P-008 文件名稱 矯正及預防管理程序書 發行單位 文 件 管 制 小 組 發行日期 103年12月01日 版次 A 訂修廢單位 審 查 核 准 資通安全處理小組 （原版簽名頁保存於文件管制小組） 訂 修 廢 記 錄 版次 發行日期 訂 修 廢 內 容 摘 要 A 103/12/01 初版發行 目的 為矯正本校資訊安全管理制度（ISMS）於運作過程中實際發生之缺失與預防潛在之風險，而對相關單位所提出之矯正及預防措施有一適切之管理，以防止類似事件發生並達成持續改善之目標，特訂定本程序書。 適用範圍 凡本校相關單位執行ISMS各項作業所發生之缺失矯正及風險預防等相關措施之管理，均適用本程序書。 參考文件 ISMS-P-001文件與紀錄管理程序書。 名詞定義 潛在風險 指由適當的資料來源，例如影響資訊安全的服務、內部稽核的結果、資訊安全記錄等等，所找出來的潛在問題。目前尚未發生但未來有可能發生之不確定事件。 矯正 依據實際問題進行檢討與分析，並研擬出改善方案，以矯正發生之缺失。 矯正措施 為防止不符合ISMS實施、操作及使用之事項重複發生，所採取之措施。 預防 應用適切的資訊來源，以發覺、分析及消除不符合事項之潛在原因。 預防措施 為預防不符合ISMS實施、操作及使用之事項發生，所採取消除未來不符合事項發生之措施。 作業內容 矯正與預防措施管理流程圖 作業流程 權責單位 相關表單 發現人員 矯正及預防處理單 缺失發生單位 矯正及預防處理單 權責主管 矯正及預防處理單 缺失發生單位 權責主管 矯正及預防處理單 相關單位 資通安全處理小組 資通安全管理委員會 矯正及預防處理單 相關業務承辦人員 矯正及預防處理單 發現缺失或風險 若有需列入管制以避免影響管理制度之缺失或風險發生時，缺失發現人員應將異常狀況登錄於「ISMS-P-008-01矯正及預防處理單」中，一般常見之異常狀況如下： 進行內部、外部稽核發現不符合事項或缺失時。 發生資訊安全事件（含重大異常事件），問題無法有效矯正與處理時及自行發現缺失時。 違反本校資訊安全政策之狀況。 資訊安全目標一直無法達成。 進行各種資料分析發現異常時。 管理審查所提出之改善事項。 其他各項需矯正及預防之狀況。 研擬矯正預防措施 缺失發生單位於接獲「ISMS-P-008-01矯正及預防處理單」後，應針對缺失發生原因進行分析及評估其影響程度，決定優先順序與處理時限，並研擬矯正預防之改善對策，以確實解決異常狀況。 缺失發生單位應將矯正預防之改善對策及其處理情形，記錄於「ISMS-P-008-01矯正及預防處理單」中列管，並且持續進行後續之追蹤。 評估矯正預防措施時，須考慮人力、時間、經費、成本效益及可行性評估矯正預防措施實施之可能性。 審查 缺失發生單位須將「ISMS-P-008-01矯正及預防處理單」經缺失發生單位主管評估確認後，提交相關權責主管審查後實施。 執行矯正預防措施 缺失發生單位研擬矯正預防之改善對策後，單位主管應指派及督導相關人員負責執行，必要時得協調其他單位予以適當協助，以妥善執行各項矯正預防改善對策。 確認 缺失發生單位之矯正預防措施已完成改善後，應將結果記錄於「ISMS-P-008-01矯正及預防處理單」，呈送權責主管審核 若權責主管不滿意改善結果或確認無法達到預期目標，則缺失發生單位應研擬其他改善措施，持續改善直至改善措施已獲得妥善處理為止。 缺失發生單位對於所採取之矯正預防措施，應留下採取措施結果之紀錄，並對相關風險重新評估，以確認其效果。 維護相關程序 若處理單位所提出之矯正預防措施內容確實有效後，應提出修（制）訂相關管理文件或資料的要求，以維持對策的持續有效。 各項矯正預防措施之改善結果，有牽涉到管理制度之相關程序作業改變，應依「ISMS-P-001文件與紀錄管理程序書」之規定，進行相關程序及標準文件之修改。 提供管理審查 本校資通安全處理小組應將矯正預防措施之改善狀況，提報本校資通安全管理委員會審查。 各項矯正預防措施之改善結果，資通安全處理小組應於管理審查會議前，彙總「ISMS-P-008-01矯正與預防處理單」之執行狀況，提報管理審查會議。 主管應於檢討會議中進行各項矯正預防措施的追蹤及查核，以確保各項矯正預防措施確實被執行。 紀錄保存 相關業務承辦人員應參照如下規範，妥善保