ISMS-B-04文件控制程序

发表于 | 分类于 |

参考模版,仅供参考

1 目的

为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。

2 范围

本程序适用于与信息安全管理体系有关文件的管理与控制。

3 职责

3.1 CTO/技术部总监

负责批准信息安全管理文件的制订、修订计划,负责批准《信息安全管理手册》(含信息安全方针)和《信息安全适用性声明》。

3.2 信息安全管理小组组长

负责审定信息安全管理文件,负责批准信息安全程序文件和作业文件。

3.3 信息安全管理小组

  1. 负责信息安全管理文件的归口管理。

  2. 负责组织信息安全管理文件的制订、修订和评审等管理工作。

  3. 负责信息安全管理文件的标识、作废、回收等日常工作。

4 相关文件

《信息安全管理手册》

《信息安全适用性声明》

《秘密分级管理程序》

《信息安全法律法规管理程序》

5 程序

5.1 管理内容与要求

文件分类

信息安全管理文件:

  1. 《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明);

  2. 信息安全管理程序文件;

  3. 信息安全管理作业文件;

  4. 信息安全管理记录表格。

其他文件:

  1. 各种媒介加载的各种格式的非纸质性文件;

  2. 信息安全法律法规及设备说明书、国家标准等来自公司外部的文件。

5.2 文件编制和修订

要求

信息安全管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面:

  1. 相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。

  2. 对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方面的信息。

  3. 国内外同行先进水平和发展方向的信息。

  4. 本组织现有的有关文件,领导的意图和要求。

  5. 内容应与组织的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。

文件编制部门

  1. 信息安全管理文件由信息安全管理小组组织,相关职能部门参与进行编制。

  2. 技术标准由 信息安全管理小组组长 负责,各相关部门参与。

  3. 策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。

5.3 文件审批

审批

信息安全管理文件发布前须经审批。

权限

信息安全管理文件的审批权限如下:

  1. 《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由总经理批准发布。

  2. 信息安全程序文件和作业文件由职能部门组织审核,人事行政部审核,总经理批准发布。

  3. 策划的管理方案由职能部门组织审核,人事行政部审核,总经理批准发布。

  4. 其他管理、技术作业和相关支持性文件由归口管理部门负责审核,部门负责人审核批准。

5.4 文件标识

为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、分发号、发布和实施日期、密级等。

信息安全管理文件编号规则如下:

ISMS-A-01 《信息安全管理手册》

ISMS-A-02 《信息安全适用性声明》

ISMS-B-XX 程序文件

ISMS-C-XX 作业文件

ISMS-D-XX 记录表单

涉密文件应按《秘密分级管理程序》的规定分类并标识。

5.5 文件发放

文件审批后,人事行政部登记并制定《信息安全文件一览表》和《文件发放/回收一览表》,按《文件发放/回收一览表》规定的范围进行发放。

文件发放时,人事行政部应在文件第一页注明发放部门和发布日期。并标上“受控”标识。

所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。

5.6 文件的更改及版本管理

当文件的当前内容和实施动作不一致时,人事行政部提出更改文件要求,由文件对口部门和人事行政部人员说明原因,填写《文件修改通知单》,经原审批部门批准后,由文件归口管理部门进行修改。

版本号规定:

初次发布的文件,版本号以1.0作为标识,当文件发生修改时,版本号以下列方式进行编制:

  1. 修改内容不超过20%时,版本号以0.1位依次递进,例:1.1;1.2……1.9;1.10;1.11以此类推;

  2. 修改内容超过20%时,版本号以1.0位依次递进,例:1.0,2.0。

文件按文件修改通知单上的内容进行修改,并更新变更履历,变更后由人事行政部进行审核,总经理批准,确保所有文件更改到位。

对已经过期,不适用本组织业务程序的文档,要进行“报废”处理;针对电子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;针对纸质文件,盖上“作废”章,并及时销毁处理。

5.7 文件的评审

当出现以下情况,人事行政部应组织对文件进行评审、必要时予以更新并再次批准:

  1. 信息安全管理体系结构发生重大变化时;

  2. 信息安全管理体系标准发生重大变化时;

  3. 组织结构发生重大变化时;

  4. 信息安全活动、流程发生重大变化时。

5.8 外来文件的控制

组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、标准,体现客户有关要求的文件等。

组织的外来文件由人事行政部负责登记在《外来文件清单》上,《外来文件清单》应注明分布部门,以供使用者查阅。

对外来法律法规文件,按《信息安全法律法规管理程序》控制。

人事行政部须对受控中的外来文件进行编号管理,以便于查看。

5.9 文件的销毁

若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是否可被销毁,可以在信息安全内部审核或管理评审时提出,由人事行政部成员表决,总经理批准。如果文件被批准销毁,人事行政部需重新修改《信息安全文件一览表》、并将最新信息登记到《文件发放/回收一览表》。电子文件可以仍然保存在服务器中,但名称中要加入“作废”标记;同时,文件的“受控”标识也要改为“作废”标识。

6 记录

《信息安全文件一览表》

《文件发放/回收一览表》

《文件修改通知单》

《外来文件清单》

⭐您的支持将鼓励我继续创作⭐