参考模版,仅供参考
1 目的
为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。
2 范围
本程序适用于与信息安全管理体系有关文件的管理与控制。
3 职责
3.1 CTO/技术部总监
负责批准信息安全管理文件的制订、修订计划,负责批准《信息安全管理手册》(含信息安全方针)和《信息安全适用性声明》。
3.2 信息安全管理小组组长
负责审定信息安全管理文件,负责批准信息安全程序文件和作业文件。
3.3 信息安全管理小组
负责信息安全管理文件的归口管理。
负责组织信息安全管理文件的制订、修订和评审等管理工作。
负责信息安全管理文件的标识、作废、回收等日常工作。
4 相关文件
《信息安全管理手册》
《信息安全适用性声明》
《秘密分级管理程序》
《信息安全法律法规管理程序》
5 程序
5.1 管理内容与要求
文件分类
信息安全管理文件:
《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明);
信息安全管理程序文件;
信息安全管理作业文件;
信息安全管理记录表格。
其他文件:
各种媒介加载的各种格式的非纸质性文件;
信息安全法律法规及设备说明书、国家标准等来自公司外部的文件。
5.2 文件编制和修订
要求
信息安全管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面:
相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。
对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方面的信息。
国内外同行先进水平和发展方向的信息。
本组织现有的有关文件,领导的意图和要求。
内容应与组织的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。
文件编制部门
信息安全管理文件由信息安全管理小组组织,相关职能部门参与进行编制。
技术标准由 信息安全管理小组组长 负责,各相关部门参与。
策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。
5.3 文件审批
审批
信息安全管理文件发布前须经审批。
权限
信息安全管理文件的审批权限如下:
《信息安全管理手册》(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由总经理批准发布。
信息安全程序文件和作业文件由职能部门组织审核,人事行政部审核,总经理批准发布。
策划的管理方案由职能部门组织审核,人事行政部审核,总经理批准发布。
其他管理、技术作业和相关支持性文件由归口管理部门负责审核,部门负责人审核批准。
5.4 文件标识
为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、分发号、发布和实施日期、密级等。
信息安全管理文件编号规则如下:
ISMS-A-01 《信息安全管理手册》
ISMS-A-02 《信息安全适用性声明》
ISMS-B-XX 程序文件
ISMS-C-XX 作业文件
ISMS-D-XX 记录表单
涉密文件应按《秘密分级管理程序》的规定分类并标识。
5.5 文件发放
文件审批后,人事行政部登记并制定《信息安全文件一览表》和《文件发放/回收一览表》,按《文件发放/回收一览表》规定的范围进行发放。
文件发放时,人事行政部应在文件第一页注明发放部门和发布日期。并标上“受控”标识。
所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。
5.6 文件的更改及版本管理
当文件的当前内容和实施动作不一致时,人事行政部提出更改文件要求,由文件对口部门和人事行政部人员说明原因,填写《文件修改通知单》,经原审批部门批准后,由文件归口管理部门进行修改。
版本号规定:
初次发布的文件,版本号以1.0作为标识,当文件发生修改时,版本号以下列方式进行编制:
修改内容不超过20%时,版本号以0.1位依次递进,例:1.1;1.2……1.9;1.10;1.11以此类推;
修改内容超过20%时,版本号以1.0位依次递进,例:1.0,2.0。
文件按文件修改通知单上的内容进行修改,并更新变更履历,变更后由人事行政部进行审核,总经理批准,确保所有文件更改到位。
对已经过期,不适用本组织业务程序的文档,要进行“报废”处理;针对电子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;针对纸质文件,盖上“作废”章,并及时销毁处理。
5.7 文件的评审
当出现以下情况,人事行政部应组织对文件进行评审、必要时予以更新并再次批准:
信息安全管理体系结构发生重大变化时;
信息安全管理体系标准发生重大变化时;
组织结构发生重大变化时;
信息安全活动、流程发生重大变化时。
5.8 外来文件的控制
组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、标准,体现客户有关要求的文件等。
组织的外来文件由人事行政部负责登记在《外来文件清单》上,《外来文件清单》应注明分布部门,以供使用者查阅。
对外来法律法规文件,按《信息安全法律法规管理程序》控制。
人事行政部须对受控中的外来文件进行编号管理,以便于查看。
5.9 文件的销毁
若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是否可被销毁,可以在信息安全内部审核或管理评审时提出,由人事行政部成员表决,总经理批准。如果文件被批准销毁,人事行政部需重新修改《信息安全文件一览表》、并将最新信息登记到《文件发放/回收一览表》。电子文件可以仍然保存在服务器中,但名称中要加入“作废”标记;同时,文件的“受控”标识也要改为“作废”标识。
6 记录
《信息安全文件一览表》
《文件发放/回收一览表》
《文件修改通知单》
《外来文件清单》
