施
对于出现的信息安全不合格项，由体系审核员填写《预防和纠正措施处理单》中相应内容，确定责任部门；由责任部门填写“原因分析”栏，制定纠正措施并实施。
体系审核员负责跟踪验证信息安全纠正措施的有效性，确认活动按计划实施且达到预期效果。对无效措施有权要求采取新的纠正措施，直至效果明显为止。
f7预防与纠正措施
体系审核员负责对XXXX信息安全管理的日常活动过程、审核结果、记录、风险评估报告、信息安全事故等信息，组织统计分析，发现潜在不合格并分析原因，针对相关责任部门提出预防与纠正措施要求。
体系审核员负责组织相关人员定期分析各种反映XXXX信息安全发展趋势的信息，评价采取预防与纠正措施的需求。
体系审核员对确定的预防与纠正措施，应及时组织实施。预防与纠正措施由相关责任部门负责制定并实施。措施应明确其内容、
所需资源和职责等，所采取的预防与纠正措施需报体系审核员审核批准。体系审核员负责组织验证预防与纠正措施的有效性。
fr