ISO27001：2013文件控制程序

XXXXXXXXX有限責(zé)任公司文件控制程序[XXXX-B-02]Ver1.0發(fā)布日期2015年02月01日發(fā)布部門信息安全小組實(shí)施日期2015年02月01日變更履歷版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期1.0初次發(fā)布1目的為了對(duì)信息安全管理文件的編制、審核、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、管理、使用、評(píng)審、更改、修訂、作廢等過程的實(shí)施有效控制，特制定本程序。2范圍本程序適用于文件管理。3職責(zé)3.1總經(jīng)理負(fù)責(zé)批準(zhǔn)信息安全管理文件的制訂、修訂計(jì)劃，負(fù)責(zé)批準(zhǔn)《信息安全管理手冊(cè)》（含信息安全方針）和《信息安全適用性聲明》。3.2綜合部負(fù)責(zé)人負(fù)責(zé)審定信息安全管理文件，負(fù)責(zé)批準(zhǔn)信息安全程序文件和作業(yè)文件。3.3綜合部負(fù)責(zé)信息安全管理文件的歸口管理。負(fù)責(zé)組織信息安全管理文件的制訂、修訂和評(píng)審等管理工作。負(fù)責(zé)信息安全管理文件的標(biāo)識(shí)、作廢、回收等日常工作。4相關(guān)文件《信息安全管理手冊(cè)》《信息安全適用性聲明》《商業(yè)秘密管理程序》《信息安全法律法規(guī)管理程序》5程序5.1管理內(nèi)容與要求5.1.1文件分類信息安全管理文件：《信息安全管理手冊(cè)》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）；信息安全管理程序文件；信息安全管理作業(yè)文件；策劃的管理方案、信息安全管理記錄表格。其他文件：信息安全法律法規(guī)及其他文件；生產(chǎn)、經(jīng)營(yíng)、管理、檢查與考核記錄；往來文件。5.2文件編制和修訂5.2.1要求信息安全管理文件編制和修訂前，編制人員充分了解相關(guān)方的要求和信息，廣泛收集有關(guān)的文件和資料。作為文件編寫的依據(jù)，應(yīng)重點(diǎn)考慮以下幾個(gè)方面：相關(guān)的法律法規(guī)要求，國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求，尤其是強(qiáng)制性標(biāo)準(zhǔn)的要求，上級(jí)主管部門頒發(fā)的標(biāo)準(zhǔn)、規(guī)章、規(guī)定等。對(duì)客戶和其他相關(guān)方的合同和承諾，客戶與其他相關(guān)方的需求和期望方面的信息。國(guó)內(nèi)外同行先進(jìn)水平和發(fā)展方向的信息。本組織現(xiàn)有的有關(guān)文件，領(lǐng)導(dǎo)的意圖和要求。內(nèi)容應(yīng)與組織的實(shí)際情況相適應(yīng)，并保證文件在現(xiàn)有的資源條件下，能得到有效實(shí)施。5.2.2文件編制部門信息安全管理文件由綜合部組織，相關(guān)職能部門參與進(jìn)行編制。技術(shù)標(biāo)準(zhǔn)由懷繼雷負(fù)責(zé)，各相關(guān)部門參與。策劃的管理方案和管理活動(dòng)的檢查考核記錄及其他管理、技術(shù)文件由相關(guān)職能部門、單位編制。5.3文件審批5.3.1審批信息安全管理文件發(fā)布前須經(jīng)審批。5.3.2權(quán)限信息安全管理文件的審批權(quán)限如下：《信息安全管理手冊(cè)》（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）由總經(jīng)理批準(zhǔn)發(fā)布。信息安全程序文件和作業(yè)文件由職能部門組織審核，行政部審核，總經(jīng)理批準(zhǔn)發(fā)布。策劃的管理方案由職能部門組織審核，行政部審核，總經(jīng)理批準(zhǔn)發(fā)布。其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸口管理部門負(fù)責(zé)審核，部門負(fù)責(zé)人審核批準(zhǔn)。5.4文件標(biāo)識(shí)為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識(shí)，包括文件編號(hào)、版本號(hào)、分發(fā)號(hào)、發(fā)布和實(shí)施日期等。信息安全管理文件編號(hào)規(guī)則如下：XXXX-A-01信息安全管理手冊(cè)（含信息安全方針、目標(biāo)）XXXX-A-02信息安全適用性聲明XXXX-A-03信息安全策略集XXXX-B程序文件XXXX-C制度、規(guī)范、作業(yè)文件JL-D記錄表單涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識(shí)。5.5文件發(fā)放文件審批后,綜合部登記并制定《信息安全文件一覽表》和《文件發(fā)放/回收一覽表》，按《文件發(fā)放/回收一覽表》規(guī)定的范圍進(jìn)行發(fā)放。文件發(fā)放時(shí)，綜合部應(yīng)在文件第一頁注明發(fā)放部門和發(fā)布日期。并標(biāo)上“受控”標(biāo)識(shí)。所發(fā)放使用的信息安全管理體系文件均為受控文件，各文件使用部門嚴(yán)格保管，不得外借和復(fù)制，并保持文件清晰、易于識(shí)別。5.6文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實(shí)施動(dòng)作不一致時(shí)，行政部提出更改文件要求，由文件對(duì)口部門和行政部人員說明原因，填寫《文件修改通知單》，經(jīng)原審批部門批準(zhǔn)后，由文件歸口管理部門進(jìn)行修改。版本號(hào)規(guī)定：初次發(fā)布的文件，版本號(hào)以1.0作為標(biāo)識(shí)，當(dāng)文件發(fā)生修改時(shí)，版本號(hào)以下列方式進(jìn)行編制：修改內(nèi)容不超過20%時(shí)，版本號(hào)以0.1位依次遞進(jìn)，例：1.1；1.2……1.9；1.10；1.11以此類推；修改內(nèi)容超過20%時(shí),版本號(hào)以1.0位依次遞進(jìn),例:1.0,2.0。文件按文件修改通知單上的內(nèi)容進(jìn)行修改，并更新變更履歷，變更后由行政部進(jìn)行審核，總經(jīng)理批準(zhǔn)，確保所有文件更改到位。對(duì)已經(jīng)過期，不適用本組織業(yè)務(wù)程序的文檔，要進(jìn)行“報(bào)廢”處理；針對(duì)電子檔文件需在首頁打上“報(bào)廢”水印，在變更履歷中注明“報(bào)廢”原因；針對(duì)紙質(zhì)文件，蓋上“作廢”章。5.7文件的評(píng)審當(dāng)出現(xiàn)以下情況，行政部應(yīng)組織對(duì)文件進(jìn)行評(píng)審、必要時(shí)予以更新并再次批準(zhǔn)：信息安全管理體系結(jié)構(gòu)發(fā)生重大變化時(shí)；信息安全管理體系標(biāo)準(zhǔn)發(fā)生重大變化時(shí)；組織結(jié)構(gòu)發(fā)生重大變化時(shí)；信息安全活動(dòng)、流程發(fā)生重大變化時(shí)。5.8外來文件的控制組織的外來文件包括與運(yùn)行維護(hù)有關(guān)的國(guó)家、地方、行業(yè)的法律、法規(guī)、部門規(guī)章、標(biāo)準(zhǔn)，體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由人事行政部負(fù)責(zé)登記在《外來文件清單》上，《外來文件清單》應(yīng)注明分布部門，以供使用者查閱。對(duì)外來法律法規(guī)文件，按《信息安全法律法規(guī)管理程序》控制。行政部須對(duì)受控中的外來文件進(jìn)行編號(hào)管理，以便于查看。5.9文件的銷毀若受控文件已不在適合本組織時(shí)，可對(duì)文件進(jìn)行“回收”處理，判定文件是否可被銷毀，可以在信息安全內(nèi)部審核或管理評(píng)審時(shí)提出，由行政部成員表決，總經(jīng)理批準(zhǔn)。如果文件被批準(zhǔn)銷毀，行政部成員需重新修改《受控文件清單》、并將最新信息登記到《受控文件發(fā)