ISO27001文件控制程序

XXX科技有限企業(yè)文獻(xiàn)控制程序編號(hào)：ISMS-B-02版本號(hào)：V1.0編制：日期：審核：日期：同意：日期：受控狀態(tài)1目的為了對(duì)信息安全管理文獻(xiàn)的編制、審核、同意、標(biāo)識(shí)、發(fā)放、管理、使用、評(píng)審、更改、修訂、作廢等過(guò)程的實(shí)行有效控制，特制定本程序。2范圍本程序合用于與信息安全管理體系有關(guān)文獻(xiàn)的管理與控制。3職責(zé)3.1總經(jīng)理負(fù)責(zé)同意信息安全管理文獻(xiàn)的制定、修訂計(jì)劃，負(fù)責(zé)同意《信息安全管理手冊(cè)》（含信息安全方針）和《信息安全合用性申明》。3.2管理者代表負(fù)責(zé)審定信息安全管理文獻(xiàn)，負(fù)責(zé)同意信息安全程序文獻(xiàn)和作業(yè)文獻(xiàn)。3.3綜合管理部負(fù)責(zé)信息安全管理文獻(xiàn)的歸口管理。負(fù)責(zé)組織信息安全管理文獻(xiàn)的制定、修訂和評(píng)審等管理工作。負(fù)責(zé)信息安全管理文獻(xiàn)的標(biāo)識(shí)、作廢、回收等平常工作。4有關(guān)文獻(xiàn)《信息安全管理手冊(cè)》《信息安全合用性申明》《商業(yè)秘密管理程序》《信息安全法律法規(guī)管理程序》5程序5.1管理內(nèi)容與規(guī)定5.1.1文獻(xiàn)分類信息安全管理文獻(xiàn)：《信息安全管理手冊(cè)》（含信息安全方針、方針文獻(xiàn)、目的文獻(xiàn)、信息安全合用性申明）；信息安全管理程序文獻(xiàn)；信息安全管理作業(yè)文獻(xiàn)；信息安全管理登記表格。其他文獻(xiàn)：多種媒介加載的多種格式的非紙質(zhì)性文獻(xiàn)；信息安全法律法規(guī)及設(shè)備闡明書、國(guó)標(biāo)等來(lái)自企業(yè)外部的文獻(xiàn)。

5.2文獻(xiàn)編制和修訂5.2.1規(guī)定信息安全管理文獻(xiàn)編制和修訂前，編制人員充足理解有關(guān)方的規(guī)定和信息，廣泛搜集有關(guān)的文獻(xiàn)和資料。作為文獻(xiàn)編寫的根據(jù)，應(yīng)重點(diǎn)考慮如下幾種方面：有關(guān)的法律法規(guī)規(guī)定，國(guó)標(biāo)、行業(yè)原則、地方原則的規(guī)定，尤其是強(qiáng)制性原則的規(guī)定，上級(jí)主管部門頒發(fā)的原則、規(guī)章、規(guī)定等。對(duì)客戶和其他有關(guān)方的協(xié)議和承諾，客戶與其他有關(guān)方的需求和期望方面的信息。國(guó)內(nèi)外同行先進(jìn)水平和發(fā)展方向的信息。本組織既有的有關(guān)文獻(xiàn)，領(lǐng)導(dǎo)的意圖和規(guī)定。內(nèi)容應(yīng)與組織的實(shí)際狀況相適應(yīng)，并保證文獻(xiàn)在既有的資源條件下，能得到有效實(shí)行。5.2.2文獻(xiàn)編制部門信息安全管理文獻(xiàn)由信息安全小組組織，有關(guān)職能部門參與進(jìn)行編制。技術(shù)原則由產(chǎn)品研發(fā)部負(fù)責(zé)，各有關(guān)部門參與?；I劃的管理方案和管理活動(dòng)的檢查考核記錄及其他管理、技術(shù)文獻(xiàn)由有關(guān)職能部門、單位編制。5.3文獻(xiàn)審批5.3.1審批信息安全管理文獻(xiàn)公布前須經(jīng)審批。5.3.2權(quán)限信息安全管理文獻(xiàn)的審批權(quán)限如下：《信息安全管理手冊(cè)》（含信息安全方針、方針文獻(xiàn)、目的文獻(xiàn)、信息安全合用性申明）由總經(jīng)理同意公布。信息安全程序文獻(xiàn)和作業(yè)文獻(xiàn)由職能部門組織審核，管理者代表審核，總經(jīng)理同意公布?；I劃的管理方案由職能部門組織審核，管理者代表審核，總經(jīng)理同意公布。其他管理、技術(shù)作業(yè)和有關(guān)支持性文獻(xiàn)由歸口管理部門負(fù)責(zé)審核，部門負(fù)責(zé)人審核同意。5.4文獻(xiàn)標(biāo)識(shí)為保證在使用處獲得合用文獻(xiàn)的有效版本，文獻(xiàn)均要有明確的標(biāo)識(shí)，包括文獻(xiàn)編號(hào)、版本號(hào)、分發(fā)號(hào)、公布和實(shí)行日期、密級(jí)等。信息安全管理文獻(xiàn)編號(hào)規(guī)則如下：SANDSTONE-ISMS-A-01《信息安全管理手冊(cè)》SANDSTONE-ISMS-A-02《信息安全合用性申明》SANDSTONE-ISMS-B-XX程序文獻(xiàn)SANDSTONE-ISMS-C-XX作業(yè)文獻(xiàn)ISMS-D-XX-XX登記表單涉密文獻(xiàn)應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識(shí)。5.5文獻(xiàn)發(fā)放文獻(xiàn)審批后,綜合管理部登記并制定《信息安全文獻(xiàn)一覽表》和《文獻(xiàn)發(fā)放/回收一覽表》，按《文獻(xiàn)發(fā)放/回收一覽表》規(guī)定的范圍進(jìn)行發(fā)放。文獻(xiàn)發(fā)放時(shí)，綜合管理部應(yīng)在文獻(xiàn)第一頁(yè)注明發(fā)放部門和公布日期。并標(biāo)上“受控”標(biāo)識(shí)。所發(fā)放使用的信息安全管理體系文獻(xiàn)均為受控文獻(xiàn)，各文獻(xiàn)使用部門嚴(yán)格保管，不得外借和復(fù)制，并保持文獻(xiàn)清晰、易于識(shí)別。5.6文獻(xiàn)的更改及版本管理當(dāng)文獻(xiàn)的目前內(nèi)容和實(shí)行動(dòng)作不一致時(shí)，綜合管理部提出更改文獻(xiàn)規(guī)定，由文獻(xiàn)對(duì)口部門和綜合管理部人員闡明原因，填寫《文獻(xiàn)修改告知單》，經(jīng)原審批部門同意后，由文獻(xiàn)歸口管理部門進(jìn)行修改。版本號(hào)規(guī)定：初次公布的文獻(xiàn)，版本號(hào)以1.0作為標(biāo)識(shí)，當(dāng)文獻(xiàn)發(fā)生修改時(shí)，版本號(hào)如下列方式進(jìn)行編制：修改內(nèi)容不超過(guò)20%時(shí)，版本號(hào)以0.1位依次遞進(jìn)，例：1.1；1.2……1.9；1.10；1.11以此類推；修改內(nèi)容超過(guò)20%時(shí),版本號(hào)以1.0位依次遞進(jìn),例:1.0,2.0。文獻(xiàn)按文獻(xiàn)修改告知單上的內(nèi)容進(jìn)行修改，并更新變更履歷，變更后由綜合管理部進(jìn)行審核，總經(jīng)理同意，保證所有文獻(xiàn)更改到位。對(duì)已通過(guò)期，不合用本組織業(yè)務(wù)程序的文檔，要進(jìn)行“報(bào)廢”處理；針對(duì)電子檔文獻(xiàn)需在首頁(yè)打上“報(bào)廢”水印，在變更履歷中注明“報(bào)廢”原因；針對(duì)紙質(zhì)文獻(xiàn)，蓋上“作廢”章,并及時(shí)銷毀處理。5.7文獻(xiàn)的評(píng)審當(dāng)出現(xiàn)如下狀況，綜合管理部應(yīng)組織對(duì)文獻(xiàn)進(jìn)行評(píng)審、必要時(shí)予以更新并再次同意：信息安全管理體系構(gòu)造發(fā)生重大變化時(shí)；信息安全管理體系原則發(fā)生重大變化時(shí)；組織構(gòu)造發(fā)生重大變化時(shí)；信息安全活動(dòng)、流程發(fā)生重大變化時(shí)。5.8外來(lái)文獻(xiàn)的控制組織的外來(lái)文獻(xiàn)包括與運(yùn)行維護(hù)有關(guān)的國(guó)家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、原則，體現(xiàn)客戶有關(guān)規(guī)定的文獻(xiàn)等。組織的外來(lái)文獻(xiàn)由綜合管理部負(fù)責(zé)登記在《外來(lái)文獻(xiàn)清單》上，《外來(lái)文獻(xiàn)清單》應(yīng)注明分布部門，以供使用者查閱。對(duì)外來(lái)法律法規(guī)文獻(xiàn)，按《信息安全法律法規(guī)管理程序》控制。綜合管理部須對(duì)受控中的外來(lái)文獻(xiàn)進(jìn)行編號(hào)管理，以便于查看。5.9文獻(xiàn)的銷毀若受控文獻(xiàn)已不在適合本組織時(shí)，可對(duì)文獻(xiàn)進(jìn)行“回收”處理，鑒定文獻(xiàn)與否可被銷毀，可以在信息安全內(nèi)部審核或管理評(píng)審時(shí)提出，由綜合管理部組員表決，總經(jīng)理同意。假如文獻(xiàn)被同意銷毀，綜合管理部需重新修改《信息安全文獻(xiàn)一