文件控制程序（ISO27001-2013）

文件控制程序目錄TOC\o"1-3"\h\z1.目的和范圍 22.引用文件 23.職責(zé)和權(quán)限 24.管理內(nèi)容及控制要求 24.1文件的分類 24.2文件編制 34.3文件標(biāo)識(shí) 34.4文件的發(fā)放 54.5文件的控制 54.6文件的更改 54.6.1文件更改申請(qǐng) 54.6.2文件更改的審批或評(píng)審 54.6.3文件更改的實(shí)施 54.6.4版本控制 64.7文件的評(píng)審 64.8文件的作廢 64.9外來文件的管理 74.10文件的歸檔 75.相關(guān)記錄 7

目的和范圍為了有效控制信息安全管理體系文件，對(duì)文件的編制、審核、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、管理、使用、評(píng)審、更改、修訂、作廢等過程實(shí)施有效控制，確保部門使用現(xiàn)行的有效版本，特制訂本制度。本制度適用于信息安全管理體系文件的管理。2.引用文件《合規(guī)性實(shí)施制度》《信息資產(chǎn)分類分級(jí)管理制度》3.職責(zé)和權(quán)限總經(jīng)辦是信息安全管理體系文件的歸口部門，負(fù)責(zé)信息安全有關(guān)的所有文件的管理與控制。各部門：負(fù)責(zé)本部門信息安全管理文件的管理與控制。4.管理內(nèi)容及控制要求文件的分類信息安全管理體系文件主要包括：第一層：信息安全管理手冊(cè)、信息安全目標(biāo)、信息安全適用性聲明（SOA）、信息安全策略；第二層：制度文件；第三層：各管理規(guī)定、管理辦法、流程、作業(yè)指導(dǎo)書（指南）及外來文件等；第四層：記錄、表單。記錄控制執(zhí)行《記錄控制制度》。文件編制文件編制要有充分的依據(jù)，體現(xiàn)系統(tǒng)協(xié)調(diào)，可操作、可檢查的原則。第一層：信息安全管理手冊(cè)由體系負(fù)責(zé)人組織編寫，信息安全管理者代表審核，總經(jīng)理批準(zhǔn)發(fā)布。第二、三層：由相關(guān)責(zé)任部門編寫，信息安全管理者代表審核，總經(jīng)理批準(zhǔn)發(fā)布。第四層：由相關(guān)責(zé)任部門編寫，文檔負(fù)責(zé)人審批，信息安全管理者代表批準(zhǔn)發(fā)布。文件標(biāo)識(shí)所有文件必須有明確的標(biāo)識(shí)，包括：文件的名稱、編號(hào)、版本號(hào)、密級(jí)標(biāo)識(shí)等。文件編號(hào)由總經(jīng)辦統(tǒng)一管理，文件編號(hào)方法如下：其中：文件密級(jí)F1一級(jí)文件（絕密）F2二級(jí)文件（機(jī)密）F3三級(jí)文件（秘密）F4四級(jí)文件（內(nèi)部公開）F5五級(jí)文件（公開）層次號(hào)A手冊(cè)B制度文件C流程和管理規(guī)定D表單部門總經(jīng)辦財(cái)務(wù)部行政部人力資源部商務(wù)采購(gòu)部等文件順序號(hào)從000～999，層次號(hào)改變，順序號(hào)改變。版本號(hào)Vm.n--m為修訂年度順序號(hào)，n為年內(nèi)修訂次數(shù)。如起始版本為V1.0，表示首次發(fā)布當(dāng)年未修訂。文件的發(fā)放所有體系文件由相關(guān)文檔負(fù)責(zé)人負(fù)責(zé)維護(hù)，經(jīng)審批后以郵件進(jìn)行發(fā)布或修訂通知。確保所有相關(guān)人員能夠查閱、獲得現(xiàn)行有效版本的文件和資料。文件的控制文件領(lǐng)用人應(yīng)對(duì)領(lǐng)用的文件加以妥善保管和使用。所有文件，按密級(jí)管理規(guī)定發(fā)放，F(xiàn)1-F4類文件需填寫《內(nèi)部人員借閱文件登記表》/《向第三方人員提供材料申請(qǐng)表》經(jīng)審批同意后方可進(jìn)行打印、復(fù)印或?qū)ν饨涣?、外借或外送。其中F4類文件需負(fù)責(zé)部門經(jīng)理/總監(jiān)簽字；F3類文件需負(fù)責(zé)部門副總簽字；F1-F2類文件需總經(jīng)理簽字。調(diào)到與信息安全無關(guān)崗位的，原使用文件由其直屬部門領(lǐng)導(dǎo)負(fù)責(zé)收回?？偨?jīng)辦為確保文件的有效性，每年發(fā)布一次現(xiàn)行有效的《信息安全體系文件管理矩陣表》，及時(shí)調(diào)整新增和作廢文件。文件的更改文件更改申請(qǐng)文件更改提出者或提出部門填寫《文件變更審批表》，說明更改原因。文件更改的審批或評(píng)審由文件的原審批人對(duì)文件的更改申請(qǐng)進(jìn)行審批，當(dāng)原審批人不在崗時(shí)應(yīng)由其接替者審批。文件更改的實(shí)施文件更改被批準(zhǔn)后，應(yīng)由信息安全工作小組指定相關(guān)人員負(fù)責(zé)實(shí)施更改。更改后的文件按照原審批程序進(jìn)行審批，批準(zhǔn)后的原件仍送交總經(jīng)辦保存管理，由總經(jīng)辦在原發(fā)放范圍和發(fā)放方式的基礎(chǔ)上進(jìn)行更改和發(fā)布，并公布《文件變更審批表》，保證相關(guān)人員能了解到變更的內(nèi)容。版本控制文檔未發(fā)布前，版本號(hào)小于1.0；正式發(fā)布的版本號(hào)為1.0；發(fā)布后根據(jù)需要版本號(hào)可以升級(jí)為1.1，1.2……或2.0，3.0……。文檔局部或文字上的修改只升級(jí)小數(shù)點(diǎn)后的版本號(hào)，文檔結(jié)構(gòu)發(fā)生重大的修改或相關(guān)政策的重大升級(jí)則進(jìn)行大版本升級(jí)，如2.0等。文件的評(píng)審文件的評(píng)審條件當(dāng)使用部門提出需要更改時(shí)；出現(xiàn)不合格與文件有關(guān)時(shí)；其它對(duì)文件的適宜性有異議時(shí)。一、二、三級(jí)文檔的修改由總經(jīng)理進(jìn)行審批，四級(jí)文檔由信息安全管理者代表進(jìn)行審批。文件的作廢紙制文件不保留時(shí)，必須用碎紙機(jī)進(jìn)行粉碎，不得隨意丟棄或當(dāng)廢品出售。有參考或保留價(jià)值的文件可以存檔，存檔的文件應(yīng)該有明確的標(biāo)識(shí)，以防止其誤用。文件作廢時(shí),應(yīng)由總經(jīng)辦發(fā)布該文件作廢,以防止誤用。外來文件的管理各部門按《合規(guī)性實(shí)施制度》要求對(duì)外來相關(guān)文件進(jìn)行收集、管理和使用。文件的歸檔需要?dú)w