1 行政中心建立并实施《预防措施管理程序》,规定采取以下措施,以消除潜在与信息安全管理体系要求不符合的原因,防止其发生。
2 所采取的预防措施应与潜在问题的影响程度相适应。
3 《预防措施管理程序》应规定以下方面的要求:
a) 识别潜在的不符合及其原因;
b) 评价预防不符合发生的措施要求;
c) 确定并实施所需的预防措施;
d) 记录所采取措施的结果;
e) 评审所采取的预防措施。
4 公司风险评估小组应定期进行风险评估,以识别变化的风险,并通过关注变化显著的风险来识别预防措施要求。预防措施的优先级应基于风险评估结果来确定。