ISMS-B-01 文件控制程序-ISO27001

1、文件控制程序文件編號：ISMS-B-01版 本：A/0頁 碼：第7頁 共83頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1.0 目的： 為了使公司系統(tǒng)文件得到有效的控制，以確保公司文件的系統(tǒng)有效運作（包括信息的安全保密、貯存管理），特制訂本程序。2.0 適用范圍：適用于本公司所有運作的管理文件，包括外來文件(如：國家、國際、行業(yè)標準文件，法律法規(guī)、客戶和供應商提供的文件、化學物質(zhì)管理資料)。3.0 術(shù)語與定義：3.1文件：以文字或

2、圖示描述管理內(nèi)容或業(yè)務內(nèi)容、通過規(guī)定程序由有權(quán)人員簽署發(fā)布、要求接收者據(jù)此作出規(guī)范反應的電子文檔或紙質(zhì)文檔。 3.2 正本文件：由文件制作人制作的原稿文件。 3.3 受控文件：所有涉及到有版本控制要求的體系文件。 3.4 失效/作廢文件：經(jīng)改新版本后，其原來的文件/副本，以及自動過期的文件稱為失效/作廢文件。 3.5 外來文件：獲取外部單位文件，包括客戶提供的圖紙/規(guī)格，國際、國家、行業(yè)標準文件，法律法規(guī)； 供應商提供的化學物質(zhì)管理資料（MSDS），社會責任相關(guān)文件、職業(yè)健康與安全相關(guān)的文件等等。3.6 參考文件：所有受控文件需外傳或不做文件回收控制之僅供參考的文件3.7 修訂：指文件的修改和

3、制定。3.8 管理手冊：即一階文件，（質(zhì)量/環(huán)境管理統(tǒng)稱管理手冊），是本公司的方針、目標和管理方向性，是公司綱領(lǐng)性文件的描述。3.9 程序文件：即二階文件，手冊中管理重點所延伸引用的下一階文件，是管理體系各重要作業(yè)程序的運作文件，這一類的作業(yè)通常都為跨部門性質(zhì)的作業(yè)。3.10 三階管理類文件：工作管理規(guī)定文件；規(guī)定某項活動的具體方法的文件；3.11 三階技術(shù)類文件：說明產(chǎn)品及方案指導產(chǎn)品生產(chǎn)、檢驗等活動的文件；目前本公司定義的三階技術(shù)文件為：產(chǎn)品檢驗規(guī)范、作業(yè)指導書、BOM、工藝流程圖、承認書、圖紙、工藝參數(shù)、FMEA等文件.3.12 表格：即四階文件，管理體系中運行過程中運用的表單記錄格式。

4、3.13 記錄：運作表格表達體系運作的證明，可參考記錄控制程序。 3.14 網(wǎng)絡發(fā)布：通過系統(tǒng)將受控體系文件發(fā)布給相關(guān)人員的途徑。4.0 職責和權(quán)限：4.1 總經(jīng)理：負責批準管理手冊。 4.3 管理者代表4.3.1 負責批準程序文件。4.3.2 負責公司程序文件格式和內(nèi)容文審.4.3.3 負責對管理方案、作業(yè)文件的批準。4.4 文控中心4.4.1 負責公司文件之編號、歸檔、登錄電腦、標識、保存、分發(fā)、回收及報廢處理.4.4.2 負責外來文件之接收、歸檔、登錄電腦、標識、分發(fā)和回收、保存。4.4.3 負責不定期對生產(chǎn)現(xiàn)場文件進行審核和確認其有效性。4.4.4 保存更新受控文件一覽表。4.4.5

5、負責文件編號及格式審定。4.5 部門負責人4.5.1負責編制本部門程序文件4.5.2會審相關(guān)部門的程序文件4.5.3審核本部門三階管理類文件與資料及批準本部門三階技術(shù)類文件與資料.4.6 部門文員（文件管理員）4.6.1負責對受控文件簽收、登記、發(fā)放、將舊版及時退回體系辦并定期檢查。4.7 品質(zhì)中心4.7.1 工程師（含）以上人員負責審核外來產(chǎn)品檢查標準方面文件的有效性和實用性。4.7.2負責本部門制作的三階技術(shù)文件之編號、歸檔、登錄電腦、標識、保存、分發(fā)、回收處理.4.8 項目中心 4.8.1 工程師（含）以上人員負責審核外來產(chǎn)品方面技術(shù)文件的有效性和實用性。4.8.2 負責本部門制作的三階

6、技術(shù)文件之編號、歸檔、登錄電腦、標識、保存、分發(fā)、回收處理. 4.9 市場部/采購課 客戶相關(guān)紙質(zhì)檔文件及相關(guān)標準資料的接收并傳遞到文控中心。4.10 模具中心負責本部門制作的三階技術(shù)文件之編號、歸檔、登錄電腦、標識、保存、分發(fā)、回收及報廢處理.5.0運作流程： 6.0 運作程序：6.1 文件格式 6.1.1 首頁：程序的首頁為修改履歷表，其內(nèi)容包括：版本、更新履歷、制訂/修訂、審批、批準人和生效 日期及文件分發(fā)欄。6.1.2 文頭：程序的文頭由以下部分組成：公司Logo、程序名稱、文件編號、版本（含版號及修改狀態(tài)）、及頁碼。 6.1.3 所有系統(tǒng)程序和工作指引文件都要使用規(guī)定的格式，且文件的

7、編制需遵守以下規(guī)定：文件名稱一階主題文字用宋體、小二號字、加粗；文件編號、版本及頁碼用宋體、四號字、加粗；文件中的內(nèi)容之文字用宋體、五號字、1.5倍行距：1. 文件中涉及的所有文件及表單要加書名號“”；2. 修訂后的內(nèi)容用藍色字體，加粗，加雙下劃線標識。涉及到新的術(shù)語需在3.0術(shù)語與定義中定義清楚；3. 文件中大的章節(jié)字體需加粗（如1.0.目的、2.0.適用范圍等）；4. 文件編制序號超過三位數(shù)，必須用1. 2. 3. 表示，此序號還有分述的，用a. b. c. 表示。 6.1.4 所有系統(tǒng)程序文件的正文應包括以下章節(jié)：1.0 目的：2.0 適用范圍：3.0 術(shù)語與定義：4.0 職責與權(quán)限：5

8、.0 運作流程： 6.0 運作程序： 7.0 相關(guān)文件及附件： 8.0 相關(guān)記錄： （當某一章節(jié)不適用時，請在本章節(jié)標題下注明“不適用”或“無”。工作指引文件視其具體內(nèi)容和范圍，可包括以上適用章節(jié)。）6.2 文件的制訂、審核與批準 6.2.1 各部門文件編好后發(fā)E-mail到文控中心，文控中心對文件格式，文件名稱，內(nèi)容適宜性進行確認，如無問題則給文件編好號再回傳給文件制作部門，反之如存在問題則直接回傳給文件制作部門要求整改，待整改合格后再確認。 6.2.2 各部門根據(jù)自身的工作職責/內(nèi)容、手冊和相關(guān)程序文件的規(guī)定要求，編制相應的工作指引文件。 6.2.3 各部門負責人在編寫文件時，要按照6.1

9、和6.2章節(jié)的有關(guān)規(guī)定進行，要確保文件的完整性、有效性、清晰、可操作性和易讀性。 6.2.4 系統(tǒng)程序文件（二階文件）應由該文件涉及到所有部門主管討論，部門負責人審核，呈交管理代表或總經(jīng)理批準。詳細審核權(quán)限說明見下表：文件職位管理手冊（一階文件）程序文件（二階文件）工作指引類（三階管理類文件）工作指引類（三階技術(shù)類文件）表單（四階文件）管理代表 制定/修改批準批準/總經(jīng)理批準批準/部門負責人評審會簽審核/部門負責人/制定/修改審核批準批 準 工程師以上人員或指定人員/制定/修改制定/修改制定/修改6.3 文件的培訓與檢討 文件編制部門在文件獲得批準后，制訂本部門文件培訓計劃，對所有執(zhí)行該文件的

10、人員進行培訓，以確保每個執(zhí)行人員理解文件的規(guī)定和要求，確保正確實施和有效執(zhí)行。6.4 外來文件的控制6.4.1.業(yè)務部負責提供有關(guān)客戶的圖紙/規(guī)格/作業(yè)標準，項目工程人員應在3個工作日之內(nèi)識別與確認文件有效性及實用性，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.2.項目工程人員負責識別與確認產(chǎn)品有關(guān)國家/國際標準、行業(yè)標準，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.3.所有外來圖紙及工程有關(guān)的標準文件均需經(jīng)過項目工程師（含工程師）以上人員確認并注明分發(fā)部門；所有外來跟產(chǎn)品質(zhì)量有關(guān)的標準文件均需經(jīng)過品質(zhì)中心工程師（含工程師）以上人員確認并注明分發(fā)部門，然后交到體系辦受控分發(fā)

11、。6.4.4針對體系國家標準及質(zhì)量/環(huán)境/職業(yè)安全與健康的法律法規(guī)等均需經(jīng)過體系辦專員以上確認。然后編號并加蓋“外來受控”印章發(fā)行以便識別。6.4.5 所有文件受控章都蓋在文件的右上角，以清晰不影響使用效果為準。6.5 文件的分發(fā)與回收 6.5.1 文件審批前，應呈交文控中心（三階技術(shù)文件除外），文控中心負責人應檢查核實：文件格式、文件內(nèi)容是否符合本文件的規(guī)定，文件是否清晰、易讀：1.針對三階技術(shù)類文件，在文件審批完畢后，由制作部門的文件管理員負責檢查核實：文件格式、文件內(nèi)容是否符合本文件的規(guī)定；文件是否通過規(guī)定審批者審批，文件是否清晰、易讀。6.5.2 系統(tǒng)程序文件分發(fā)到所用審批部門各一份，

12、工作指引及其他類型文件的分發(fā)地點及份數(shù)由文件的制訂部門或和體系辦共同確定：1.文本發(fā)放a.文件制訂部門按規(guī)定的要求復印相應的份數(shù)后連同正本文件一起交到體系辦，體系辦在發(fā)行受控文件時在文件上加蓋紅色“受控文件”章，然后將受控文件登記在文件發(fā)行和回收記錄表內(nèi)并通知相關(guān)單位到文控中心領(lǐng)取受控文件，正本文件保留于文控中心。 2.網(wǎng)絡發(fā)布a.針對分發(fā)的文件（三階技術(shù)文件除外）由體系辦制作成PDF檔并通過網(wǎng)絡發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時更新公共盤內(nèi)容；b.針對三階技術(shù)文件由制作部門設置權(quán)限通過網(wǎng)絡發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時更新公共盤內(nèi)容。6.5.3 文件回

13、收1.當文件有變更新版本，各部門應將舊版本文件及時回收文控中心換取新版本文件，文控人員發(fā)現(xiàn)文件發(fā)行3天內(nèi)還未回收舊版的，將清單列出通報，各相關(guān)部門主管回復原因。6.5.4 文件補發(fā)申請與審批1. 因公司實際運作或生產(chǎn)的需要時，可填寫文件申請表經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到文件補發(fā)一覽表中，備注補發(fā)原因，并予以補發(fā)及簽收；2.針對三階技術(shù)文件，因公司實際運作或生產(chǎn)的需要時，可填寫文件申請表經(jīng)本部門主管審批，交文件制作部門的文件管理人員（品質(zhì)/工程/模具）處理。文件管理人員將其登記到文件補發(fā)一覽表中，備注補發(fā)原因，并予以補發(fā)及簽收。6.5.5.文件的遺失/損壞處理 1.因管理

14、不善將文件遺失/損壞時，由遺失/損壞部門填寫文件申請表經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到文件補發(fā)一覽表中，備注補發(fā)原因，并予以補發(fā)及簽收，并通報處理，遺失文件以后若找到需立即退回；2.針對無故或人為損壞/遺失受控文件，按員工獎懲管理制度處理。6.6 文件評審與更改6.6.1 當公司組織架構(gòu)和管理人員發(fā)生重大變更時對文件進行評審與更新，并再次批準。文件修訂人必須在“更改履歷”登錄,更改履歷最少需在文件中保留近三次。體系辦將根據(jù)內(nèi)部審核控制程序，在每次內(nèi)部審核過程中對文件進行評審。1. 所有文件初次版本均為A/0，依次修改后為A/1、A/2、至A/4，然后按B/0至B/4進行換版

15、。如果修訂篇幅比較多的，可以直接升版本和版次，A/1直接調(diào)到B/0；2. 當方針和目標不適用時按客戶需求和結(jié)合公司實際進行修改。6.6.2 修訂后的文件必須按照本文件規(guī)定再次進行審批，分發(fā)、同時回收原舊版本。6.6.3 外來文件的變更時，相關(guān)外來文件接收部門應積極向客戶或外部索取。并確認后交品質(zhì)/工程/模具/文控中心受控分發(fā)“外來受控文件”。另：外來環(huán)境方面法律法規(guī)可直接向體系辦確認，確認后受控分發(fā)。并將相關(guān)文件進行修訂。6.7 作廢文件的處理6.7.1 失效版本或作廢文件需登記到作廢文件一覽表中，副本需立即銷毀（同時視作廢文件，非公司機密可以內(nèi)部作為再生紙使用）。6.7.2 受控原件（即正本

16、文件）在文件正面加蓋“作廢文件”印章分類歸檔，客戶產(chǎn)品圖紙在背面加蓋“作廢”印章做永久性保存，其他文件作廢原版保存三年。6.8 文件保管 6.8.1 公司所有的文件都應保存在適宜的環(huán)境中，以免文件及其內(nèi)容受到損壞、遺失或作其它不適宜用途。 6.8.2 文控中心應編制受控文件一覽表，各部門應編制本部門所保管的受控文件一覽表便于相關(guān)人員的使用和查詢。 6.8.3 電子文檔保管：1 外來文件、程序文件、三級文件(技術(shù)類文件除外)等全部在各部門受控的同時將電子文檔電郵到體系辦，文控人員放到“*”中。體系管理及其他部門查閱全部依權(quán)限進入。文控中心有放入和修訂權(quán)限，其他部門查閱權(quán)限。受控文件的修訂后的電子

17、文檔需要電郵到體系辦存檔； 2 IT對存放網(wǎng)絡上的程序文件需要作異地備份管理，以避免電腦崩潰而造成損失。6.8.4 外發(fā)文件申請與控制： 1 凡需發(fā)放到公司以外單位，有關(guān)人員填寫文件申請表，經(jīng)本部門主管審批后交到文控中心；2 文件受控部門將所需文件復印件蓋紅色“參考文件”印章分發(fā)到申請人，由申請人轉(zhuǎn)交到接收單位。7.0 相關(guān)文件及附件： 7.1 附件一文件名稱、編號規(guī)則如下表所示，未有標注或后新增的文件，以名稱的英文縮寫為準：NO.文件名稱（中文）文件編號1管理手冊ISMS-A-XX（流水號）2程序文件ISMS-B-XX（流水號）3工作指引ISMS-C-XX（流水號）4表單ISMS-D-XXX

18、（流水號）7.3 附件二 文件控制印章的樣式: 7.3 相關(guān)文件8.0 相關(guān)記錄：NO記錄名稱 表單編號保存期記錄保存部門1文件申請表ISMS-C-0013年體系辦2受控文件一覽表ISMS-C-0023年體系辦3文件補發(fā)一覽表ISMS-C-0033年體系辦4文件發(fā)行和回收記錄表ISMS-C-0043年體系辦5作廢文件一覽表ISMS-C-0053年體系辦9聯(lián)絡單ISMS-C-0063年體系辦記錄控制程序文件編號：ISMS-B-02版 本：A/0頁 碼：第10頁 共83頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中

19、心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的為管制信息安全管理體系記錄，以展示信息安全管理體系符合規(guī)定并有效運作,需保存所有證明符合要信息安全要求之相關(guān)記錄文件。2. 范圍適用于本公司信息安全管理體系內(nèi)所產(chǎn)生記錄之鑒別、儲存、查閱、防護保存期限及處置。3. 職責與權(quán)限3.1 記錄之收集、索引、查閱、建文件保存、維護與處理：相關(guān)單位。3.2 記錄一覽表之建立：體系中心。3.3 記錄一覽表之核準：管理代表。4. 相關(guān)文件文件控制程序5. 術(shù)語定義無6. 控制程序6.1 記錄之鑒別：6.1.1新設計表單經(jīng)申請核可后，需由文件管制單位歸類確認是否為記錄。6

20、.1.2 人事行政部依據(jù)各項程序文件規(guī)定之記錄并編表單號，將之匯總于記錄一覽表。6.1.3記錄一覽表轉(zhuǎn)管理代表核準后，原稿存人事行政部，副本發(fā)行至各部門。6.2 記錄之填寫：6.2.1 所有記錄必須有充分的信息，足以追查所欲達成的品質(zhì)目標，并判定品質(zhì)管理系統(tǒng)之有效性，而且記錄之內(nèi)容必須清楚干凈，必要時應標示清楚日期以利識別存取。6.2.2 記錄填寫之注意事項：記錄不得以鉛筆填寫，且字跡必須工整、清晰可辨。重要記錄修改時其空白字段需以“/”或“x”等符號劃銷 以避免規(guī)定需填列之字段漏記。記錄需經(jīng)授權(quán)人核準后方為有效，凡記錄修改后，需再經(jīng)授權(quán)人確認和認可。6.3 收集/歸檔：6.3.1記錄之匯整，

21、需依不同表單別，分別設立檔案，并依序妥善放存，且應避免有缺頁、破損之情形。6.3.2若記錄為連續(xù)周期性之表單，則盡可能依日期先后順序歸檔。6.3.3若記錄為非連續(xù)性表單，則依月日先后秩序整理歸檔。6.4 查閱：6.4.1 內(nèi)部查閱：凡屬本公司內(nèi)部部門與部門之間借調(diào)，由需求單位和表格制作單位/部門主管協(xié)商同意后，借調(diào)使用。屬機密性記錄，如合同、客戶檔案，銷售信息記錄等，需經(jīng)總經(jīng)理批準。6.5.1 外部查閱：凡屬公司外部借調(diào)者，由外部機構(gòu)或企業(yè)之接洽單位開出書面申請，經(jīng)本公司總經(jīng)理核準后，方可借出。6.5 保存/銷毀：6.5.1 各項記錄應規(guī)定保存部門及保存年限在記錄一覽表中，經(jīng)管理代表核準后執(zhí)行

22、。6.5.1 記錄必須存于良好環(huán)境下防潮濕，以避免資料之毀壞。重要的記錄應由電子版COPY一份，存入軟硬盤中保存。6.5.2 各項記錄之文件格式修改與變更，參照文件控制程序之規(guī)定辦理。6.5.3 逾期保存之記錄，由文管中心統(tǒng)一銷毀并作記錄。7. 附件、記錄記錄一覽表內(nèi)部審核控制程序文件編號：ISMS-B-03版 本：A/0頁 碼：第13頁 共83頁更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的驗證公司的信息安全管理體系是否符合標

23、準及本公司信息安全管理體系的要求，是否符合策劃的安排，是否得到有效實施與保持。2. 范圍凡本公司信息安全管理相關(guān)活動及實施單位之內(nèi)審作業(yè)均屬之。3. 職責與權(quán)限3.1 內(nèi)審計劃之擬定與內(nèi)審小組之籌措：管理代表。3.2 內(nèi)審計劃之核準：總經(jīng)理。3.3 內(nèi)審計劃之實施：內(nèi)審小組。3.4 內(nèi)審缺失報告之開立：內(nèi)審員。3.5 內(nèi)審缺失之改善：被審部門、相關(guān)部門。3.6 缺失改善之追蹤確認：內(nèi)審員。4. 相關(guān)文件糾正與預防控制程序5. 術(shù)語定義無6. 控制程序6.1 內(nèi)審計劃之擬定：6.1.1 管理代表依受審狀況于每年度十二月訂定次年度的內(nèi)審計劃且每十二個月的審核次數(shù)不少于一次，呈總經(jīng)理核準后實施。6.

24、1.2 當發(fā)生重大信息安全事件或有實際需要時，應由管理代表提出不定期之內(nèi)審，呈總經(jīng)理核準后實施。6.1.3 每次內(nèi)審前一周由管理代表挑選合格之內(nèi)審人員組成內(nèi)審小組，以便執(zhí)行內(nèi)審。6.2 內(nèi)審通知：6.2.1 定期內(nèi)審時管理代表應依內(nèi)審單位之狀況及重要性及前次內(nèi)審結(jié)果于內(nèi)審前與受審單位協(xié)調(diào)后，擬定內(nèi)審通知單呈總經(jīng)理核準后，提前一周由管理代表發(fā)出，不定期內(nèi)審則不提前通知。6.2.2 內(nèi)審通知應說明內(nèi)審時間、受審單位、內(nèi)審內(nèi)容及內(nèi)審員。6.3 內(nèi)審準備：6.3.1 管理代表應告知內(nèi)審小組人員，其內(nèi)審之區(qū)域或內(nèi)審之范圍。6.3.2 內(nèi)審人員不得參與自己所屬部門之內(nèi)審工作，且應對受審區(qū)域有基本的認知與了

25、解。6.3.3 內(nèi)審人員應在內(nèi)審前取得該內(nèi)審區(qū)域前一次內(nèi)審之結(jié)果及有關(guān)資料，擬定此次的審查項目于內(nèi)審查檢表。6.4 內(nèi)審前會議：管理代表于正式內(nèi)審前舉行內(nèi)審前會議，說明此次內(nèi)審內(nèi)容與方向，并安排內(nèi)審后會議之舉行時間及地點。6.5 內(nèi)審執(zhí)行：6.6.1 內(nèi)審人員依據(jù)內(nèi)審檢查表進行內(nèi)審，并記下內(nèi)審所發(fā)現(xiàn)之事實。6.6.2 內(nèi)審人員可擴大內(nèi)審項目，以便增大內(nèi)審之有效性6.6.3 內(nèi)審時，應如實記錄于內(nèi)審檢查表上。6.6.4 內(nèi)審中所發(fā)現(xiàn)的每一項不符合事項應記錄于內(nèi)部審核記錄中。6.6 內(nèi)審后會議及糾正措施：6.6.1 內(nèi)審人員應于內(nèi)審后會議向受審單位之主管或其代表報告受審單位整體內(nèi)審結(jié)果。6.6.2

26、 若對內(nèi)審結(jié)果無異議時，受審單位于內(nèi)審缺失報告上對不符合事項逐一簽字，并提出改善原因分析及糾正預防措施與改善期限。管理代表將全部之內(nèi)審缺失報告，交內(nèi)審單位進行糾正。6.6.3 受審單位主管對內(nèi)審之缺失在規(guī)定期限內(nèi)予以改善。6.7 追蹤確認：6.7.1 內(nèi)審人員應在內(nèi)審缺失報告上之改善期限內(nèi)與受審部門確認以完成之糾正預防及其成效。6.7.2 內(nèi)審人員對于已完成之確認動作之內(nèi)審缺失報告應予以簽認結(jié)案，對于未改善的單位，應規(guī)定再次改善措施之預定完成日期，并請受內(nèi)審部門主管于內(nèi)審缺失報告上簽認，對于連續(xù)兩次確認未改善者，由管理代表向總經(jīng)理匯報裁示。6.8 提報管理審查：6.8.1 內(nèi)審人員確認已結(jié)案后

27、，應將所有資料送交管理代表審核存檔。6.8.2 管理代表于每次內(nèi)審后一周，應做成內(nèi)審總結(jié)報告呈總經(jīng)理核準。6.8.3 管理代表于內(nèi)審計劃注明計劃完成情況，并將公司之內(nèi)外部審核狀況納入下次管理審查會議中報告。6.9 所有內(nèi)部內(nèi)審所產(chǎn)生之記錄，由管理代表保存，保存期限二年。管理評審控制程序文件編號：ISMS-B-04版 本：A/0頁 碼：第16頁 共83頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的為規(guī)定信息安全管理體系管理評

28、審之權(quán)責方式，確保組織效能與信息安全管理體系之適切性、有效性，且持續(xù)改善。2. 范圍公司信息安全管理體系所涵蓋的所有活動。3. 職責與權(quán)限3.1 管理審查會議之召集及追蹤確認：管理代表。3.2 管理審查會議之主持：總經(jīng)理。3.3 管理審查會議參加人員：管理代表、審核員、主管。4. 相關(guān)文件糾正與預防控制程序5. 術(shù)語定義無6. 控制程序6.1 管理審查時機：6.1.1 定期審查：每十二個月實施1次，在信息安全管理體系審查后15天內(nèi)擇期召開。6.1.2 不定期審查：當遇到下列情形時，由總經(jīng)理決定召開管理審查會議，并由管理代表以會議/培訓通知單的方式通知相關(guān)人員。組織改革：當公司組織變革，明顯對信

29、息安全管理體系產(chǎn)生不適合、沖突或造成信息安全政策、目標妨礙時。產(chǎn)品變化：新產(chǎn)品發(fā)展，顯示信息安全管理體系不能有效管制與運作時。重大系統(tǒng)事項或客訴，顯示信息安全管理體系不當導致者。客戶、認證機構(gòu)評鑒有重大缺失時。6.2 管理審查會議輸入信息安全管理評審的輸入包括但不限于以下內(nèi)容：信息安全管理體系內(nèi)外部審核結(jié)果。相關(guān)方的反饋。用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程。預防和糾正措施的狀況。以往風險評估沒有強調(diào)的脆弱點或威脅。有效性測量的結(jié)果。以往管理評審的跟蹤措施。可能影響ISMS的任何變更。改進建議。6.3 會議進行6.3.1 管理代表負責于管理審查會議召開一周前以會議/培訓通知單通知

30、參加人員，會議由總經(jīng)理主持，具體進行如下：6.3.2 上次會議決議事項執(zhí)行情形追蹤。a.管理代表對上次會議決議事項執(zhí)行成效(包括對管理體系的影響)提出報告與檢討。b.各部門主管對執(zhí)行成效不彰事項提出說明及解決方案列入下次會議追蹤檢討。6.3.3 由各部門報告信息安全管理體系體系在部門之執(zhí)行情形。6.3.4會議主持人應就上述報告事項，審查其現(xiàn)行績效及改善機會并評估本公司之管理體系，包括政策及目標高更的需求。6.4 管理審查會議輸出：6.4.1 管理評審會議記錄：會議進行之內(nèi)容及決議之事項，由管理代表指派適當人員記錄于會議記錄中。會議后由管理者代表形成管理評審報告，報總經(jīng)理和相關(guān)部門。6.5.1

31、決議管理會議之決議事項應制定糾正預防措施包括如下項目，并指定負責單位及完成期限并影印分發(fā)相關(guān)人員。a.管理體系的改善，例如管理目標的展開。b. 流程、產(chǎn)品及服務的稽核，例如更新稽核計劃。c. 資源需求，例如增新的測試儀器。d. 追蹤確認/記錄與保存。管理代表應負責決議工作之督導跟催與成效評議，并登錄于會議記錄之追蹤確認檔。執(zhí)行事項如需疑難調(diào)解，由管理代表向總經(jīng)理提報裁示。管理審查之會議記錄由體系中心保存，保存期限三年。7. 附件、記錄7.1管理評審計劃7.2管理評審會議記錄7.3管理評審報告7.4會議簽到表糾正與預防控制程序文件編號：ISMS-B-05版 本：A/0頁 碼：第22頁 共83頁更

32、改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的針對不符合公司要求或客戶要求之產(chǎn)品,及時采取有效的糾正和預防措施，清除實際或潛在的不合格因素，并確保此類問題不再發(fā)生。2. 范圍適用于對各部門制訂、實施和驗證糾正及預防措施的控制。3. 職責與權(quán)限3.1 糾正與預防措施之提出：相關(guān)單位。3.2 原因分析：相關(guān)部門。3.3 改善對策之擬定：文控中心、相關(guān)部門。3.4 改善對策之執(zhí)行：相關(guān)部門。3.5 改善對策之追蹤確認：相關(guān)單位、內(nèi)審小組

33、。4. 相關(guān)文件a) 文件控制程序b) 內(nèi)部審核控制程序c) 管理評審控制程序5. 術(shù)語定義無6. 控制程序6.1 糾正過程的管理6.1.1 評審已存在不合格6.1.1.1 已存在的不合格包括：安全管理不安全因素及發(fā)生的不安全事件；信息安全管理體系運行的不合格項；顧客對服務的投訴；來自相關(guān)方的投訴。不合格可分為輕微不合格、一般不合格和嚴重不合格。6.1.1.2 已存在不合格信息的收集當存在下列情況時，均屬于己發(fā)生的不合格項，必須采取糾正措施：a) 內(nèi)外審核和管理評審中發(fā)現(xiàn)的一般不合格、嚴重不合格項或需重大改進問題；b) 信息安全管理體系運行中出現(xiàn)的不合格項；c) 發(fā)現(xiàn)某一過程失控。6.1.1.

34、3 文控中心收集內(nèi)外審核和管理評審中發(fā)現(xiàn)的不合格項，以及需改進的問題，按需要填寫“糾正預防措施單”，提出糾正措施要求。6.1.1.5 文控中心收集和評審來自企業(yè)內(nèi)部員工、各業(yè)務系統(tǒng)用戶等提出的信息安全相關(guān)的不合格信息，按需要填寫“糾正預防措施單”，提出糾正和預防措施要求。6.1.1.6 收集的不合格信息形式可以是：內(nèi)部工作聯(lián)系單，合理化建議和技術(shù)改進意見表格，相關(guān)會議意見，來自顧客的普通的傳真、電話和口頭建議，相關(guān)的社會媒體報道等。對于已經(jīng)收集到的不合格信息，按照“糾正預防措施單”進行填寫。6.1.2 確定不合格的原因6.1.2.1 責任部門在收到“糾正預防措施單”后，應進行調(diào)查研究分析，可召

35、開分析會，原因分析應積極采用統(tǒng)計技術(shù)，查找可能產(chǎn)生不合格的原因：a) 規(guī)程、標準及其他程序或規(guī)定不適當；b) 人員缺乏培訓，安全意識不強或業(yè)務水平不夠；c) 工作計劃控制不良，工時安排過緊，過程控制不當；d) 檢驗控制不良；e) 人力資源和物質(zhì)資源不足；f) 信息安全方面缺乏相關(guān)設備配置、技術(shù)手段等；g) 管理不嚴，缺乏有關(guān)程序規(guī)定等； h) 其他原因。6.1.2.2 對重大問題產(chǎn)生的不合格，必要時由文控中心報管理者代表召開專門分析會議，進行原因分析，并提出糾正措施方案。6.1.3 確認糾正措施計劃6.1.3.1 責任部門對己發(fā)生的不合格或潛在的不合格因素，在充分分析原因的基礎(chǔ)上，應制定具體的

36、糾正和預防措施計劃，并填寫在“糾正預防措施單”上，報管理者代表批準后執(zhí)行。6.1.3.2 制定糾正措施的計劃應根據(jù)輕微不合格、一般不合格和嚴重不合格確定計劃的優(yōu)先順序，對于嚴重不合格項，應在3個工作日內(nèi)完成相應措施計劃的制定和落實；對于輕微和一般不合格，責任部門可以結(jié)合日常工作計劃予以安排、實施。6.1.3.3 糾正和預防措施應與問題的嚴重性和面臨的安全風險相適應。6.1.3.4 對嚴重不合格所確定的糾正措施，由文控中心報請管理者代表召開有關(guān)部門參加的專門會議進行評審，必要時需進行試驗驗證，糾正措施計劃必須經(jīng)管理者代表審批，重大項目報告要報最高管理者審批。6.1.4 實施糾正措施6.1.4.1

37、 對于所有擬訂的糾正措施，在實施前先通過風險評價過程進行評審。6.1.4.2 責任部門應嚴格按審核批準的糾正措施要求組織實施，并按糾正措施要求對管理和工作程序進行改進，實施中要力求實效，以防止不合格再發(fā)生。6.1.4.3 在實施糾正措施時，如出現(xiàn)問題要及時向文控中心反映情況，當糾正措施完成后，責任部門應將完成情況填寫在“糾正預防措施單”上。6.1.5 驗證所采取的糾正措施6.1.6.1 對已完成的糾正和預防措施，文控中心應派人進行評審驗證，凡經(jīng)證實改進措施已完成，則驗證人員和文控中心負責人應在“糾正預防措施單”上做好驗證記錄。必要時文控中心也可組織有關(guān)部門進行實施評審驗證。6.1.6.2 凡發(fā)

38、現(xiàn)糾正措施未達到預期目標，或糾正措施本身存在一定問題，則應要求部門重新分析原因制定糾正和預防措施計劃，按上述過程再次進行，直到糾正措施有效為止。6.1.5.3 凡涉及有關(guān)文件要進一步充實完善或需要更新的規(guī)定，則應按文件控制程序規(guī)定進行修改或補充。6.1.5.4文控中心匯集整理各部門的“糾正和預防措施跟蹤記錄”并統(tǒng)一管理，并做好糾正和預防措施的匯總分析，在公司相關(guān)會議上進行公布說明。6.1.6 記錄所采取措施的結(jié)果6.1.6.1 糾正措施在實施過程中，文控中心應進行跟蹤監(jiān)督和檢查，以促進糾正措施的實施。6.1.6.2 對糾正措施的實施，責任部門要做好各種記錄，記錄按記錄控制程序規(guī)定執(zhí)行。責任部門

39、應提供完成糾正措施及其效果的證實材料，并在“糾正預防措施單”上填寫完成情況，并一起報給文控中心。6.2 預防措施的管理6.2.1收集潛在的不合格因素6.2.1.1 可能引起潛在的不合格信息的收集當存在下列情況時，應考慮是否存在潛在的不合格項發(fā)生的可能性，并采取預防措施：a) 信息安全例行檢查中發(fā)現(xiàn)的可能引起信息安全類事件發(fā)生的不安全因素；b) 內(nèi)外審核和管理評審中發(fā)現(xiàn)的輕微不合格；c) 發(fā)現(xiàn)信息安全管理體系運行中有出現(xiàn)不合格項的傾向；d) 發(fā)現(xiàn)某一過程可能失控。6.2.1.2 各責任部門收集和評審本部門的可能發(fā)生不合格的信息，對未采取預防措施又確實需要的按職責上報文控中心。6.2.1.3 文控

40、中心收集內(nèi)外審核和管理評審中發(fā)現(xiàn)的不合格項，以及需改進的問題，按需要填寫“糾正預防措施單”，提出預防措施要求。6.2.1.4 收集潛在不合格信息的形式可以是來自公司內(nèi)部工作聯(lián)系單，公司合理化建議和技術(shù)改進意見表格，相關(guān)會議意見，來自顧客的普通的傳真、電話和口頭建議，相關(guān)的社會媒體報道等。6.2.2 分析和確定潛在不合格的嚴重程度和原因6.2.2.1 相關(guān)責任部門在收到“糾正預防措施單”后，應進行調(diào)查研究分析，可召開分析會，原因分析應積極采用統(tǒng)計技術(shù)，查找可能產(chǎn)生不合格的因素。6.2.2.2 對于可能引起嚴重不合格產(chǎn)生的因素，必要時由文控中心報管理者代表召開專門分析會議，進行原因分析，并提出預防

41、措施和實施方案。6.2.2.3 對于可能引起輕微或者一般性不合格的因素，由負責部門匯合文控中心進行原因分析。6.2.2.4 對于已經(jīng)確認的潛在的不合格因素，應確定預防措施的具體實施部門，制定具體的預防措施計劃，并填寫在“糾正預防措施單”上，報管理者代表批準后執(zhí)行。6.2.2.5 預防措施應與問題的嚴重性和面臨的風險相適應，實施的預防措施應不會引起新的潛在不合格因素的產(chǎn)生。6.2.3 實施預防措施6.2.3.1 對于所有擬訂的糾正措施計劃，在實施前先通過風險評價過程進行評審。6.2.3.2 責任部門應嚴格按審核批準的糾正措施要求組織實施，并按預防措施要求對管理和工作程序進行改進，實施中要力求實效

42、，以防止不合格再發(fā)生。6.2.3.3 在實施預防措施時，如出現(xiàn)問題要及時向文控中心反映情況，當預防措施完成后，責任部門應將完成情況填寫在“糾正預防措施單”上。6.2.4 驗證所采取的預防措施6.2.4.1 對已完成的預防措施，文控中心應派人進行評審驗證，凡經(jīng)證實預防措施已完成，則驗證人員和文控中心負責人應在“糾正措施計劃表”上做好驗證記錄。必要時文控中心也可組織有關(guān)部門進行實施評審驗證。6.2.4.2 凡發(fā)現(xiàn)糾正措施未達到預期目標，或預防措施本身存在一定問題，則應要求部門重新分析原因制定預防措施計劃，按上述過程再次進行，直到預防措施有效為止。6.2.4.3 凡涉及有關(guān)文件要進一步充實完善或需要

43、更新的規(guī)定，則應按文件控制程序規(guī)定進行修改或補充。6.2.4.4 預防措施實施完成并效果滿意后，文控中心和責任部門對所采取的預防措施、記錄整理存檔，文控中心填寫“糾正和預防措施跟蹤記錄表”。6.2.4.5 文控中心匯集整理各部門的“糾正和預防措施跟蹤記錄表”并統(tǒng)一管理，并做好糾正和預防措施的匯總分析，并在公司相關(guān)會議上進行公布說明。6.2.5 記錄所采取預防措施的結(jié)果6.2.5.1 預防措施在實施過程中，文控中心應進行跟蹤監(jiān)督和檢查，以促進預防措施的實施。6.2.5.2 對預防措施的實施，責任部門要做好各種記錄，記錄按記錄控制程序規(guī)定執(zhí)行。7. 附件、記錄7.1 糾正預防措施單信息安全目標管理

44、程序文件編號：ISMS-B-06版 本：A/0頁 碼：第26頁 共83頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的為確保信息安全管理體系(ISMS)的有效實施，根據(jù)公司信息安全方針制定信息安全目標，并規(guī)定信息安全目標的計算方法，以便于目標達成情況的考核，特制定本程序。2. 范圍本程序適用于本公司的管理體系覆蓋的所有部門。3. 職責與權(quán)限3.1最高管理者：組織制訂并批準企業(yè)的信息安全目標。 3.2管理者代表：每年組織相關(guān)部

45、門對信息安全目標進行統(tǒng)計、分析。3.3各部門：負責與本部門相關(guān)的信息安全目標的統(tǒng)計、分析，當目標不能達標時，進行原因分析并進行改進。 4. 相關(guān)文件a) 信息安全管理手冊b) 信息安全事件管理程序5. 術(shù)語定義無 6. 控制程序6.1本公司信息安全目標1)安全事件發(fā)生次數(shù)：重大安全事件目標值：0次/年 ，較大安全事件目標值：不大于 4次/年，一般安全事件目標值：不大于8次/年。2)信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保秘密、機密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標值：0次/年6.2各部門信息安全目標部 門部門信息安全目標完成目標的措施監(jiān)測頻率人力資源部1

46、、培訓實施率100%2、培訓合格率90%3、重要設備盤點范圍達到100%。4、重要崗位人員保密協(xié)議簽訂率100%5、人員離崗交接核實率100%1、制訂培訓計劃并實施；2、培訓完畢即進行相應的評審或考核；3、以實際盤點表中的數(shù)據(jù)為準。4、與重要崗位人員簽訂保密協(xié)議5、對于離崗人員要及時進行交接確認1年體系中心1、 部門數(shù)據(jù)泄露次數(shù)為02、 非授權(quán)人員禁止訪問部門敏感數(shù)據(jù)4、信息安全內(nèi)審如期完成5、信息安全內(nèi)審及管理評審資料齊全6、文件100%經(jīng)批準才發(fā)布；1、 由部門管理人員檢測文件數(shù)據(jù)的安全性2、 由部門經(jīng)理核準訪問數(shù)據(jù)人員的身份信息3、按照信息安全年度內(nèi)審計劃執(zhí)行；4、及時整理信息安全內(nèi)審及

47、管理評審資料；5、及時發(fā)布在用文件清單。1年信息管理部1、網(wǎng)絡非正常中斷每月1次。2、主機系統(tǒng)非正常中斷每月1次。3、IT設備大面積病毒爆發(fā)不超過2起。1、以每月的網(wǎng)絡中斷事件為依據(jù)2、以每月的主機系統(tǒng)中斷事件為依據(jù)3、以每月的網(wǎng)絡病毒安全事件為依據(jù)1年生產(chǎn)部1、部門數(shù)據(jù)泄露次數(shù)為02、非授權(quán)人員禁止訪問部門敏感數(shù)據(jù)1、由部門經(jīng)理監(jiān)督銷售人員其履行職責情況；2、每月對客戶資料進行核查，發(fā)現(xiàn)問題及時改正。1年6.3數(shù)據(jù)收集、提供、統(tǒng)計和分析6.3.1在每年年底前，以上部門將本部門統(tǒng)計好的數(shù)據(jù)提交給信息安全委員會，由信息安全委員會進行匯總。6.3.2對于未達成信息安全目標的，相關(guān)部門要進行原因分析

48、，并提解決辦法；對于連續(xù)未達成目標的，要按照糾正預防措施程序進行糾正和預防處理。7 附件、記錄7.1 信息安全目標統(tǒng)計表信息安全風險評估控制程序文件編號：ISMS-B-07版 本：A/0頁 碼：第30頁 共83頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準日期日期日期分發(fā)欄：r 市場中心r 項目中心r 模具中心r 采購部r 品質(zhì)中心r 貨倉課r 財務部r 總經(jīng)辦r 人力資源中心r 設備課r 計劃部r 生產(chǎn)中心1. 目的為規(guī)范公司的信息資產(chǎn)識別、風險評估的方法，以便在考慮控制成本與風險平衡的前提下選擇合適的控制目標和控制方式，將信息安全風險控制在可接受的水平，特制定本程序。2. 范圍本程

49、序適用于本公司信息安全管理體系范圍內(nèi)信息安全風險評估活動。3. 職責與權(quán)限3.1 信息安全委員會提供信息安全風險管理工作相關(guān)的資源支持及工作指導；對信息安全風險評估結(jié)果進行確認，確定可接受風險級別。3.2 體系中心負責組織及協(xié)調(diào)公司各部門實施信息安全風險評估及信息安全風險處置，確保風險評估及風險處置工作按計劃執(zhí)行。3.3 各部門負責本部門使用或管理的資產(chǎn)的識別和風險評估，并負責本部門所涉及的資產(chǎn)的風險處置。4. 相關(guān)文件c) 風險評估方法與準則5. 術(shù)語定義無 6. 控制程序6.1 風險評估前準備6.1.1 成立風險評估小組由體系中心牽頭成立風險評估小組，小組成員應包含信息安全重要責任部門的成員，如體系中心、技術(shù)部等。6.1.2 制定計劃風險評估小組確定信息安全風險評估計劃，并通知各部門。6.2 資產(chǎn)識別及風險評估6.2.1 資產(chǎn)識別由風險評估小組成員識別各部門資產(chǎn)，并進行資產(chǎn)賦值，編制信息資產(chǎn)清單。6.2.2 風險評估針對重要資產(chǎn)進行風險評估，保留風險評估記錄，詳