信息安全-文件控制程序.doc
《信息安全-文件控制程序.doc》由会员分享,可在线阅读,更多相关《信息安全-文件控制程序.doc(6页珍藏版)》请在冰点文库上搜索。
文件名
信息安全风险评估程序
文件编号
ISMS-L2-001
版本
1.0
文件名
内部
信息安全风险评估程序
版本记录
版本
变更理由
编写
发布日期
生效日期
1.0
版本建立
Feb01,2008
Feb01,2008
批准人(签名):
日期:
文件控制程序
1.目的
本程序规定了对受控文件的编制、审批、发放、更改、废除等控制措施,确保信息安全管理体系运行的各个环节中使用的文件保持有效性。
2.适用范围
2.1.公司范围内所有的信息安全管理体系及相关外来文件。
2.2.职责
ü管理者代表:
负责信息安全方针、信息安全手册和程序文件的审批,包括修改的审批。
ü信息技术部:
负责信息安全方针、信息安全管理手册以及公司级程序文件的编写。
负责组织对信息安全管理体系文件的评审,并提出文件评审意见;
负责信息安全管理体系文件的发放、旧版文件的回收以及外来文件的登记;
负责信息安全管理体系外来文件的收集、保存、发放和回收等。
ü各部门:
负责与本部门相关的信息安全管理体系文件、记录的编写、修改和使用;
负责与本部门相关的信息安全管理体系外来文件的收集和管理。
3.术语和定义
信息安全体系文件:
公司所有正式发放的信息安全管理相关文件均为信息安全管理体系文件,受控状态分为受控和非受控。
外来文件:
信息安全管理体系标准,信息安全管理体系相关的法律法规等,均称为外来文件。
4.相关/支持性文件
·《信息安全管理体系手册》
·《信息密级分类及管理规范》
·《记录控制程序》
5.记录
记录
保存期限
位置
责任人
《受控文件请单》
3年
《文件发放(借阅)回收记录》
3年
《文件修改申请表》
3年
6.程序内容
7.流程说明
7.1.文件的范围和分类
7.1.1.受控文件范围:
·信息安全手册(包括信息安全方针、信息安全目标)适用性声明(SOA)、策略;
·标准所要求的程序文件;
·工作指导书(指南);
·外来文件;
·记录格式。
7.1.2.文件层次
·第一层:
信息安全手册(包括信息安全方针、信息安全目标)、适用性声明(SOA)、策略;
·第二层:
程序文件;
·第三层:
工作指导书(指南);
·第四层:
记录。
7.2.文件的编号
完整的文件编号格式如下:
ü文件命名实例:
ISMS-L2-HR-员工离职程序
表示人力资源部发放的员工离职程序(2级文件)。
体系文件的部门标识:
部门
编码
部门
编码
信息技术部
IT
财务部
FR
生产部
HR
市场部
MKT
综合部
ADM
公司通用
CORP
7.3.文件的编制、批准和发布
7.3.1.文件的编制要有充分的依据,体现系统协调、可操作、可检查的原则。
信息安全手册由信息技术部组织编写,管理者代表审核,CEO批准、发布。
程序文件由相关责任部门编写,各部门领导审核,管理者代表批准、发布。
7.3.2.各类三层文件由相关责任部门编写,由该部门领导审核,管理者代表批准、发布。
7.3.3.经批准无误的文件,由信息技术部按文件编号方法统一编号并填写《受控文件清单》。
7.4.文件的发放及使用和管理
7.4.1.信息技术部负责对发放的每一份有效文件加盖“受控”印章,作为有效受控版本标识,并注明分发号。
公司文件原则上通过公司内部网站统一发布电子版本,除特别需要,不发放纸质版本。
7.4.2.由信息技术部统一填写“文件领用登记表”,按文件主管负责人批准的发放范围发放,文件领用人应在“文件领用登记表”上签名,领取相应分发号的文件。
确保在所有使用处都能获得适用文件的有关版本。
7.4.3.文件领用人应对领用的文件加以妥善保管和使用,防止污损、遗失。
7.4.4.受控文件不得随意复印,当文件因破损严重影响使用时,使用者应向信息技术部办理文件更换手续,交出破损文件,换发新的文件,换发的文件允许使用原文件的分发号。
7.4.5.当文件遗失后,遗失人必须写明理由,并申请重新领用,由信息技术部核准后补发,补发文件时,应给予新的分发号,并注销原分发号。
7.4.6.调出本公司或调到公司内与信息安全无关岗位的,原使用文件,由信息技术部负责收回。
7.4.7.信息技术部为确保文件的有效性,每年发布一次现行有效文件清单,及时调整新增和作废文件。
7.5.文件的更改
7.5.1.文件需要更改时,由文件更改提出部门或人员填写“文件更改通知单”,说明更改原因。
经原文件批准人审批后由信息技术部负责对现场使用的相关文件实施更改。
7.5.2.5文件超过5次修改,或需作较大幅度修订时,应予以换页或换版。
原页或原版文件作废,换发新页或新版本。
文件的第一版为1,第二版为2,依次按英文字母顺序排列。
修订状态,第一次为0.1,第二次为0.2,依次按阿拉伯数字顺序排列。
7.5.3.文件更改的审批及发放管理,执行原文件的管理程序。
当采取换页或换版方式时,应在发放新页或新版的同时,收回旧页或旧版文件。
7.6.文件的评审
7.6.1.文件的评审条件
·当使用部门提出需要更改时;
·出现不合格与文件有关时;
·其它对文件的适宜性有异议时。
7.6.2.由信息技术部组织相关职能部门对文件的适宜性进行评审,由原文件批准人进行再次批准后发放执行。
7.7.文件的作废
7.7.1.文件作废时,应由信息技术部发布该文件作废,以防止误用。
受控的作废文件,应按原“文件领用登记表”名录逐一收回,并作记录。
7.7.2.收回的作废文件,应由该文件管理部门加盖“作废”印章,归入作废档案类型。
作废文件销毁应填写“文件销毁清单”,经信息技术部负责人批准后予以销毁。
7.7.3.因积累知识等需要,需保留作废文件应加盖“作废保留”印章后,方可留用。
7.8.外来文件的管理
7.8.1.所有与信息安全管理体系有关的外来文件,包括顾客、供方提供的资料及法律、法规、标准等,都由信息技术部负责签收,登记“受控文件清单”。
7.8.2.信息技术部根据外来文件的类别,性质递交管代阅批后,转发给有关职能部门。
7.8.3.由信息技术部转发或发放的各类外来文件,都须填写“文件领用登记表”,由信息技术部保存。
7.9.文件的归档
需要归档的文件,由信息技术部按档案管理规定进行分类、编目、归档。
7.10.文件的借阅
文件借阅人应经文件管理部门负责人批准后,方可借阅,并在规定期限内归还。
7.11.各种媒体的文件,应由文件管理人员妥善保存,做到不丢失、不损坏、不变质。
7.12.文件的密级管理参照《信息密级分类及管理规范》执行。
Page6of6
升级会员 