ISO27001管理体系整套程序文件.docx

ISO27001管理体系整套程序文件.docx

《ISO27001管理体系整套程序文件.docx》由会员分享，可在线阅读，更多相关《ISO27001管理体系整套程序文件.docx（96页珍藏版）》请在冰点文库上搜索。

ISO27001管理体系整套程序文件

版本

更改履历

制订/修订

审批

生效日期

A/0

编制

审核

批准

日期

日期

日期

分发栏：

❒⑴市场中心

❒⑵项目中心

❒⑶模具中心

❒⑷采购部

❒⑸品质中心

❒⑹货仓课

❒⑺财务部

❒⑻总经办

❒⑼人力资源中心

❒⑽设备课

❒⑾计划部

❒⑾生产中心

1.0目的：

为了使公司系统文件得到有效的控制，以确保公司文件的系统有效运作（包括信息的安全保密、贮存管理），特制订本程序。

2.0适用范围：

适用于本公司所有运作的管理文件，包括外来文件（如：

国家、国际、行业标准文件，法律法规、客户和供应商提供的文件、化学物质管理资料）。

3.0术语与定义：

3.1文件：

以文字或图示描述管理内容或业务内容、通过规定程序由有权人员签署发布、要求接收者据此作出规范反应的电子文档或纸质文档。

3.2正本文件：

由文件制作人制作的原稿文件。

3.3受控文件：

所有涉及到有版本控制要求的体系文件。

3.4失效/作废文件：

经改新版本后，其原来的文件/副本，以及自动过期的文件称为失效/作废文件。

3.5外来文件：

获取外部单位文件，包括客户提供的图纸/规格，国际、国家、行业标准文件，法律法规；

供应商提供的化学物质管理资料（MSDS），社会责任相关文件、职业健康与安全相关的文件等等。

　3.6参考文件：

所有受控文件需外传或不做文件回收控制之仅供参考的文件

3.7修订：

指文件的修改和制定。

3.8管理手册：

即一阶文件，（质量/环境管理统称管理手册），是本公司的方针、目标和管理方向性，是公司纲

领性文件的描述。

3.9程序文件：

即二阶文件，手册中管理重点所延伸引用的下一阶文件，是管理体系各重要作业程序

的运作文件，这一类的作业通常都为跨部门性质的作业。

3.10三阶管理类文件：

工作管理规定文件；规定某项活动的具体方法的文件；

3.11三阶技术类文件：

说明产品及方案指导产品生产、检验等活动的文件；目前本公司定义的三阶技术文件

为：

产品检验规范、作业指导书、BOM、工艺流程图、承认书、图纸、工艺参数、FMEA等文件.

3.12表格：

即四阶文件，管理体系中运行过程中运用的表单记录格式。

3.13记录：

运作表格表达体系运作的证明，可参考《记录控制程序》。

3.14网络发布：

通过系统将受控体系文件发布给相关人员的途径。

4.0职责和权限：

4.1总经理：

负责批准管理手册。

4.3管理者代表

4.3.1负责批准程序文件。

4.3.2负责公司程序文件格式和内容文审.

4.3.3负责对管理方案、作业文件的批准。

4.4文控中心

4.4.1负责公司文件之编号、归档、登录电脑、标识、保存、分发、回收及报废处理.

4.4.2负责外来文件之接收、归档、登录电脑、标识、分发和回收、保存。

4.4.3负责不定期对生产现场文件进行审核和确认其有效性。

4.4.4保存更新《受控文件一览表》。

4.4.5负责文件编号及格式审定。

4.5部门负责人

4.5.1负责编制本部门程序文件

4.5.2会审相关部门的程序文件

4.5.3审核本部门三阶管理类文件与资料及批准本部门三阶技术类文件与资料.

4.6部门文员（文件管理员）

4.6.1负责对受控文件签收、登记、发放、将旧版及时退回体系办并定期检查。

　4.7品质中心

4.7.1工程师（含）以上人员负责审核外来产品检查标准方面文件的有效性和实用性。

4.7.2负责本部门制作的三阶技术文件之编号、归档、登录电脑、标识、保存、分发、回收处理.

4.8项目中心

4.8.1工程师（含）以上人员负责审核外来产品方面技术文件的有效性和实用性。

4.8.2负责本部门制作的三阶技术文件之编号、归档、登录电脑、标识、保存、分发、回收处理.

4.9市场部/采购课

客户相关纸质档文件及相关标准资料的接收并传递到文控中心。

4.10模具中心

　　负责本部门制作的三阶技术文件之编号、归档、登录电脑、标识、保存、分发、回收及报废处理.

5.0运作流程：

6.0运作程序：

6.1文件格式

6.1.1首页：

程序的首页为《修改履历表》，其内容包括：

版本、更新履历、制订/修订、审批、批准人和生效日期及文件分发栏。

6.1.2文头：

程序的文头由以下部分组成：

公司Logo、程序名称、文件编号、版本（含版号及修改状态）、及页码。

　6.1.3所有系统程序和工作指引文件都要使用规定的格式，且文件的编制需遵守以下规定：

文件名称一阶主题文字用宋体、小二号字、加粗；文件编号、版本及页码用宋体、四号字、加粗；文件中的内容之文字用宋体、五号字、1.5倍行距：

1.文件中涉及的所有文件及表单要加书名号“《》”；

2.修订后的内容用蓝色字体，加粗，加双下划线标识。

涉及到新的术语需在3.0术语与定义中定义清楚；

3.文件中大的章节字体需加粗（如1.0.目的、2.0.适用范围等）；

4.文件编制序号超过三位数，必须用1.2.3.………表示，此序号还有分述的，用a.b.c.……表示。

　6.1.4所有系统程序文件的正文应包括以下章节：

　1.0目的：

　　　　2.0适用范围：

　　　　3.0术语与定义：

　　　4.0职责与权限：

5.0运作流程：

6.0运作程序：

　　　　7.0相关文件及附件：

　　　　8.0相关记录：

（当某一章节不适用时，请在本章节标题下注明“不适用”或“无”。

工作指引文件视其具体内容和范围，可包括以上适用章节。

）

6.2文件的制订、审核与批准

　6.2.1各部门文件编好后发E-mail到文控中心，文控中心对文件格式，文件名称，内容适宜性进行确认，如无问题则给文件编好号再回传给文件制作部门，反之如存在问题则直接回传给文件制作部门要求整改，待整改合格后再确认。

　6.2.2各部门根据自身的工作职责/内容、手册和相关程序文件的规定要求，编制相应的工作指引文件。

　6.2.3各部门负责人在编写文件时，要按照6.1和6.2章节的有关规定进行，要确保文件的完整性、有效性、

清晰、可操作性和易读性。

6.2.4系统程序文件（二阶文件）应由该文件涉及到所有部门主管讨论，部门负责人审核，呈交管理代表或总经理批准。

详细审核权限说明见下表：

　　　文件

职位

管理手册

（一阶文件）

程序文件

（二阶文件）

工作指引类

（三阶管理类文件）

工作指引类

（三阶技术类文件）

表单

（四阶文件）

管理代表

制定/修改

批准

批准

/

/

总经理

批准

批准

/

/

/

部门负责人

评审会签

审核

/

/

/

部门负责人

/

制定/修改

审　核

批　准

批准

工程师以上人员或指定人员

/

/

制定/修改

制定/修改

制定/修改

6.3文件的培训与检讨

文件编制部门在文件获得批准后，制订本部门文件培训计划，对所有执行该文件的人员进行培训，以确保每个执行人员理解文件的规定和要求，确保正确实施和有效执行。

　6.4外来文件的控制

6.4.1.业务部负责提供有关客户的图纸/规格/作业标准，项目工程人员应在3个工作日之内识别与确认文件有效性及实用性，并注明需分发的部门，然后交到文控中心受控分发。

6.4.2.项目工程人员负责识别与确认产品有关国家/国际标准、行业标准，并注明需分发的部门，然后交到文控中心受控分发。

6.4.3.所有外来图纸及工程有关的标准文件均需经过项目工程师（含工程师）以上人员确认并注明分发部门；所有外来跟产品质量有关的标准文件均需经过品质中心工程师（含工程师）以上人员确认并注明分发部门，然后交到体系办受控分发。

6.4.4针对体系国家标准及质量/环境/职业安全与健康的法律法规等均需经过体系办专员以上确认。

然后编号并加盖“外来受控”印章发行以便识别。

6.4.5所有文件受控章都盖在文件的右上角，以清晰不影响使用效果为准。

6.5文件的分发与回收

6.5.1文件审批前，应呈交文控中心（三阶技术文件除外），文控中心负责人应检查核实：

文件格式、文件内容是否符合本文件的规定，文件是否清晰、易读：

　　　1.针对三阶技术类文件，在文件审批完毕后，由制作部门的文件管理员负责检查核实：

文件格式、文件内容是否符合本文件的规定；文件是否通过规定审批者审批，文件是否清晰、易读。

6.5.2系统程序文件分发到所用审批部门各一份，工作指引及其他类型文件的分发地点及份数由文件的制订部门或和体系办共同确定：

　　　1.文本发放

　　　　　a.文件制订部门按规定的要求复印相应的份数后连同正本文件一起交到体系办，体系办在发行受控文件时在文件上加盖红色“受控文件”章，然后将受控文件登记在《文件发行和回收记录表》内并通知相关单位到文控中心领取受控文件，正本文件保留于文控中心。

2.网络发布

a.针对分发的文件（三阶技术文件除外）由体系办制作成PDF档并通过网络发布在公共盘内，以供相关人员参考，如文件有更新则及时更新公共盘内容；

b.针对三阶技术文件由制作部门设置权限通过网络发布在公共盘内，以供相关人员参考，如文件有更新则及时更新公共盘内容。

6.5.3文件回收

1.当文件有变更新版本，各部门应将旧版本文件及时回收文控中心换取新版本文件，文控人员发现文件发行3天内还未回收旧版的，将清单列出通报，各相关部门主管回复原因。

6.5.4文件补发申请与审批

　　　　1.因公司实际运作或生产的需要时，可填写《文件申请表》经本部门主管审批，交文控人员处理，文控人员将其登记到《文件补发一览表》中，备注补发原因，并予以补发及签收；

　　　　2.针对三阶技术文件，因公司实际运作或生产的需要时，可填写《文件申请表》经本部门主管审批，交文件制作部门的文件管理人员（品质/工程/模具）处理。

文件管理人员将其登记到《文件补发一览表》中，备注补发原因，并予以补发及签收。

6.5.5.文件的遗失/损坏处理

　1.因管理不善将文件遗失/损坏时，由遗失/损坏部门填写《文件申请表》经本部门主管审批，交文控人员处理，文控人员将其登记到《文件补发一览表》中，备注补发原因，并予以补发及签收，并通报处理，遗失文件以后若找到需立即退回；

2.针对无故或人为损坏/遗失受控文件，按《员工奖惩管理制度》处理。

6.6文件评审与更改

6.6.1当公司组织架构和管理人员发生重大变更时对文件进行评审与更新，并再次批准。

文件修订人必须在“更改履历”登录,更改履历最少需在文件中保留近三次。

体系办将根据《内部审核控制程序》，在每次内部审核过程中对文件进行评审。

1.所有文件初次版本均为A/0，依次修改后为A/1、A/2、至A/4，然后按B/0至B/4进行换版。

如果修订篇幅比较多的，可以直接升版本和版次，A/1直接调到B/0；

2.当方针和目标不适用时按客户需求和结合公司实际进行修改。

6.6.2修订后的文件必须按照本文件规定再次进行审批，分发、同时回收原旧版本。

6.6.3外来文件的变更时，相关外来文件接收部门应积极向客户或外部索取。

并确认后交品质/工程/模具/文控中心受控分发“外来受控文件”。

另：

外来环境方面法律法规可直接向体系办确认，确认后受控分发。

并将相关文件进行修订。

6.7作废文件的处理

6.7.1失效版本或作废文件需登记到《作废文件一览表》中，副本需立即销毁（同时视作废文件，非公司jimi可以内部作为再生纸使用）。

6.7.2受控原件（即正本文件）在文件正面加盖“作废文件”印章分类归档，客户产品图纸在背面加盖“作废”印章做永久性保存，其他文件作废原版保存三年。

6.8文件保管

　6.8.1公司所有的文件都应保存在适宜的环境中，以免文件及其内容受到损坏、遗失或作其它不适宜用途。

　6.8.2文控中心应编制《受控文件一览表》，各部门应编制本部门所保管的《受控文件一览表》便于相关人员的使用和查询。

6.8.3电子文档保管：

1外来文件、程序文件、三级文件（技术类文件除外）等全部在各部门受控的同时将电子文档电邮到体系办，文控人员放到“*”中。

体系管理及其他部门查阅全部依权限进入。

文控中心有放入和修订权限，其他部门查阅权限。

受控文件的修订后的电子文档需要电邮到体系办存档；

2IT对存放网络上的程序文件需要作异地备份管理，以避免电脑崩溃而造成损失。

6.8.4外发文件申请与控制：

　1凡需发放到公司以外单位，有关人员填写《文件申请表》，经本部门主管审批后交到文控中心；

2文件受控部门将所需文件复印件盖红色“参考文件”印章分发到申请人，由申请人转交到接收单位。

7.0相关文件及附件：

7.1附件一

文件名称、编号规则如下表所示，未有标注或后新增的文件，以名称的英文缩写为准：

NO.

文件名称（中文）

文件编号

1

管理手册

ISMS-A-XX（流水号）

2

程序文件

ISMS-B-XX（流水号）

3

工作指引

ISMS-C-XX（流水号）

4

表单

ISMS-D-XXX（流水号）

7.3附件二文件控制印章的样式:

7.3相关文件8.0相关记录：

NO

记录名称

表单编号

保存期

记录保存部门

1

《文件申请表》

ISMS-C-001

3年

体系办

2

《受控文件一览表》

ISMS-C-002

3年

体系办

3

《文件补发一览表》

ISMS-C-003

3年

体系办

4

《文件发行和回收记录表》

ISMS-C-004

3年

体系办

5

《作废文件一览表》

ISMS-C-005

3年

体系办

9

《联络单》

ISMS-C-006

3年

体系办

版本

更改履历

制订/修订

审批

生效日期

A/0

编制

审核

批准

日期

日期

日期

分发栏：

❒⑴市场中心

❒⑵项目中心

❒⑶模具中心

❒⑷采购部

❒⑸品质中心

❒⑹货仓课

❒⑺财务部

❒⑻总经办

❒⑼人力资源中心

❒⑽设备课

❒⑾计划部

❒⑾生产中心

1.目的

为管制ISO27001管理体系记录，以展示ISO27001管理体系符合规定并有效运作,需保存所有证明符合要ISO27001要求之相关记录文件。

2.范围

适用于本公司ISO27001管理体系内所产生记录之鉴别、储存、查阅、防护保存期限及处置。

3.职责与权限

3.1记录之收集、索引、查阅、建文件保存、维护与处理：

相关单位。

3.2记录一览表之建立：

体系中心。

3.3记录一览表之核准：

管理代表。

4.相关文件

文件控制程序

5.术语定义

无

6.控制程序

6.1记录之鉴别：

6.1.1新设计表单经申请核可后，需由文件管制单位归类确认是否为记录。

6.1.2人事行政部依据各项程序文件规定之记录并编表单号，将之汇总于记录一览表。

6.1.3记录一览表转管理代表核准后，原稿存人事行政部，副本发行至各部门。

6.2记录之填写：

6.2.1所有记录必须有充分的信息，足以追查所欲达成的品质目标，并判定品质管理系统之有效性，而且记录之内容必须清楚干净，必要时应标示清楚日期以利识别存取。

6.2.2记录填写之注意事项：

记录不得以铅笔填写，且字迹必须工整、清晰可辨。

重要记录修改时其空白字段需以“/”或“x”等符号划销以避免规定需填列之字段漏记。

记录需经授权人核准后方为有效，凡记录修改后，需再经授权人确认和认可。

6.3收集/归档：

6.3.1记录之汇整，需依不同表单别，分别设立档案，并依序妥善放存，且应避免有缺页、破损之情形。

6.3.2若记录为连续周期性之表单，则尽可能依日期先后顺序归档。

6.3.3若记录为非连续性表单，则依月日先后秩序整理归档。

6.4查阅：

6.4.1内部查阅：

凡属本公司内部部门与部门之间借调，由需求单位和表格制作单位/部门主管协商同意后，借调使用。

属jimi性记录，如合同、客户档案，销售信息记录等，需经总经理批准。

6.5.1外部查阅：

凡属公司外部借调者，由外部机构或企业之接洽单位开出书面申请，经本公司总经理核准后，方可借出。

6.5保存/销毁：

6.5.1各项记录应规定保存部门及保存年限在记录一览表中，经管理代表核准后执行。

6.5.1记录必须存于良好环境下防潮湿，以避免资料之毁坏。

重要的记录应由电子版COPY一份，存入软硬盘中保存。

6.5.2各项记录之文件格式修改与变更，参照《文件控制程序》之规定办理。

6.5.3逾期保存之记录，由文管中心统一销毁并作记录。

7.附件、记录

记录一览表

更改履历

制订/修订

审批

生效日期

A/0

编制

审核

批准

日期

日期

日期

分发栏：

❒⑴市场中心

❒⑵项目中心

❒⑶模具中心

❒⑷采购部

❒⑸品质中心

❒⑹货仓课

❒⑺财务部

❒⑻总经办

❒⑼人力资源中心

❒⑽设备课

❒⑾计划部

❒⑾生产中心

1.目的

验证公司的ISO27001管理体系是否符合标准及本公司ISO27001管理体系的要求，是否符合策划的安排，是否得到有效实施与保持。

2.范围

凡本公司ISO27001管理相关活动及实施单位之内审作业均属之。

3.职责与权限

3.1内审计划之拟定与内审小组之筹措：

管理代表。

3.2内审计划之核准：

总经理。

3.3内审计划之实施：

内审小组。

3.4内审缺失报告之开立：

内审员。

3.5内审缺失之改善：

被审部门、相关部门。

3.6缺失改善之追踪确认：

内审员。

4.相关文件

纠正与预防控制程序

5.术语定义

无

6.控制程序

6.1内审计划之拟定：

6.1.1管理代表依受审状况于每年度十二月订定次年度的内审计划且每十二个月的审核次数不少于一次，呈总经理核准后实施。

6.1.2当发生重大ISO27001事件或有实际需要时，应由管理代表提出不定期之内审，呈总经理核准后实施。

6.1.3每次内审前一周由管理代表挑选合格之内审人员组成内审小组，以便执行内审。

6.2内审通知：

6.2.1定期内审时管理代表应依内审单位之状况及重要性及前次内审结果于内审前与受审单位协调后，拟定内审通知单呈总经理核准后，提前一周由管理代表发出，不定期内审则不提前通知。

6.2.2内审通知应说明内审时间、受审单位、内审内容及内审员。

6.3内审准备：

6.3.1管理代表应告知内审小组人员，其内审之区域或内审之范围。

6.3.2内审人员不得参与自己所属部门之内审工作，且应对受审区域有基本的认知与了解。

6.3.3内审人员应在内审前取得该内审区域前一次内审之结果及有关资料，拟定此次的审查项目于内审查检表。

6.4内审前会议：

管理代表于正式内审前举行内审前会议，说明此次内审内容与方向，并安排内审后会议之举行时间及地点。

6.5内审执行：

6.6.1内审人员依据内审检查表进行内审，并记下内审所发现之事实。

6.6.2内审人员可扩大内审项目，以便增大内审之有效性

6.6.3内审时，应如实记录于内审检查表上。

6.6.4内审中所发现的每一项不符合事项应记录于内部审核记录中。

6.6内审后会议及纠正措施：

6.6.1内审人员应于内审后会议向受审单位之主管或其代表报告受审单位整体内审结果。

6.6.2若对内审结果无异议时，受审单位于内审缺失报告上对不符合事项逐一签字，并提出改善原因分析及纠正预防措施与改善期限。

管理代表将全部之内审缺失报告，交内审单位进行纠正。

6.6.3受审单位主管对内审之缺失在规定期限内予以改善。

6.7追踪确认：

6.7.1内审人员应在内审缺失报告上之改善期限内与受审部门确认以完成之纠正预防及其成效。

6.7.2内审人员对于已完成之确认动作之内审缺失报告应予以签认结案，对于未改善的单位，应规定再次改善措施之预定完成日期，并请受内审部门主管于内审缺失报告上签认，对于连续两次确认未改善者，由管理代表向总经理汇报裁示。

6.8提报管理审查：

6.8.1内审人员确认已结案后，应将所有资料送交管理代表审核存档。

6.8.2管理代表于每次内审后一周，应做成《内审总结报告》呈总经理核准。

6.8.3管理代表于内审计划注明计划完成情况，并将公司之内外部审核状况纳入下次管理审查会议中报告。

6.9所有内部内审所产生之记录，由管理代表保存，保存期限二年。

版本

更改履历

制订/修订

审批

生效日期

A/0

编制

审核

批准

日期

日期

日期

分发栏：

❒⑴市场中心

❒⑵项目中心

❒⑶模具中心

❒⑷采购部

❒⑸品质中心

❒⑹货仓课

❒⑺财务部

❒⑻总经办

❒⑼人力资源中心

❒⑽设备课

❒⑾计划部

❒⑾生产中心

1.目的

为规定ISO27001管理体系管理评审之权责方式，确保组织效能与ISO27001管理体系之适切性、有效性，且持续改善。

2.范围

公司ISO27001管理体系所涵盖的所有活动。

3.职责与权限

3.1管理审查会议之召集及追踪确认：

管理代表。

3.2管理审查会议之主持：

总经理。

3.3管理审查会议参加人员：

管理代表、审核员、主管。

4.相关文件

纠正与预防控制程序

5.术语定义

无

6.控制程序

6.1管理审查时机：

6.1.1定期审查：

每十二个月实施1次，在ISO27001管理体系审查后15天内择期召开。

6.1.2不定期审查：

当遇到下列情形时，由总经理决定召开管理审查会议，并由管理代表以会议/培训通知单的