《B02信息安全-文件控制程序.docx》由会员分享,可在线阅读,更多相关《B02信息安全-文件控制程序.docx(6页珍藏版)》请在第一文库网上搜索。
1、深圳市XXX科技有限公司文件控制程序编 号:ISMS-B-02版本号:VL0编制:日期:2021-8-5审核:日期:2021-8-5批准:日期:2021-8-5受控状态受控文件深圳市XXX科技有限公司文件控制程序1目的为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。 一E3Mil本程序适用于与信息安全管理体系有关文件的管理与控制。3职责3.1总经理负责批准信息安全管理文件的制订、修订计划,负责批准信息安全管理手册(含信息安全方针)和信息安全适用性声明。3. 2管理者代表负责审定信息安全管理文件,负责批准信息安全程序文件
2、和作业文件。3. 3综合管理部a)负责信息安全管理文件的归口管理。b)负责组织信息安全管理文件的制订、修订和评审等管理工作。c)负责信息安全管理文件的标识、作废、回收等日常工作。4相关文件信息安全管理手册信息安全适用性声明商业秘密管理程序信息安全法律法规管理程序5程序5.1 管理内容与要求5.1.1 文件分类信息安全管理文件:a)信息安全管理手册(含信息安全方针、方针文件、目标文件、信息安全适用性声明);b)信息安全管理程序文件;c)信息安全管理作业文件;d)信息安全管理记录表格。其他文件:a)各种媒介加载的各种格式的非纸质性文件;b)信息安全法律法规及设备说明书、国家标准等来自公司外部的文件
3、。5. 2文件编制和修订5. 2. 1要求信息安全管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面:a)相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。b)对客户和其他相关方的合同和承诺,客户与其他相关方的需求和期望方面的信息。c)国内外同行先进水平和发展方向的信息。d)本组织现有的有关文件,领导的意图和要求。e)内容应与组织的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。5.2.2文件编制部门a)信息安全管理文件由信息安全小组组织
4、,相关职能部门参与进行编制。b)技术标准由产品研发部负责,各相关部门参与。c)策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。5. 3文件审批5.3. 1审批信息安全管理文件发布前须经审批。5. 3. 2权限信息安全管理文件的审批权限如下:a)信息安全管理手册(含信息安全方针、方针文件、目标文件、信息安全适用性声明)由总经理批准发布。b)信息安全程序文件和作业文件由职能部门组织审核,管理者代表审核,总经理批准发布。c)策划的管理方案由职能部门组织审核,管理者代表审核,总经理批准发布。d)其他管理、技术作业和相关支持性文件由归口管理部门负责审核,部门负责人审核
5、批准。5. 4文件标识为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、分发号、发布和实施日期、密级等。信息安全管理文件编号规则如下:MC-ISMS-A-01信息安全管理手册MC-ISMS-A-02信息安全适用性声明MC-ISMS-B-XX程序文件MC-ISMS-C-XX作业文件ISMS-D-XX-XX记录表单涉密文件应按商业秘密管理程序的规定分类并标识。5. 5文件发放文件审批后,综合管理部登记并制定信息安全文件一览表和文件发放/回收一览表,按文件发放/回收一览表规定的范围进行发放。文件发放时,综合管理部应在文件第一页注明发放部门和发布日期。并标上“受控”标识
6、。所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。5. 6文件的更改及版本管理当文件的当前内容和实施动作不一致时,综合管理部提出更改文件要求,由文件对口部门和综合管理部人员说明原因,填写文件修改通知单,经原审批部门批准后,由文件归口管理部门进行修改。版本号规定:初次发布的文件,版本号以L0作为标识,当文件发生修改时,版本号以下列方式进行编制:a)修改内容不超过20%时,版本号以0.1位依次递进,例:1.1; 1.21.9; 1. 10; 1.11 以此类推;b)修改内容超过20%时,版本号以1. 0位依次递进,例:1. 0, 2.
7、 0o文件按文件修改通知单上的内容进行修改,并更新变更履历,变更后由综合管理部进行审核,总经理批准,确保所有文件更改到位。对已经过期,不适用本组织业务程序的文档,要进行“报废”处理;针对电子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;针对纸质文件,盖上“作废”章,并及时销毁处理。5.7 文件的评审当出现以下情况,综合管理部应组织对文件进行评审、必要时予以更新并再次批准:a)信息安全管理体系结构发生重大变化时;b)信息安全管理体系标准发生重大变化时;C)组织结构发生重大变化时;d)信息安全活动、流程发生重大变化时。5.8 外来文件的控制组织的外来文件包括与运行维护有关的国家、地
8、方、行业的法律、法规、部门规章、标准,体现客户有关要求的文件等。组织的外来文件由综合管理部负责登记在外来文件清单上,外来文件清单应注明分布部门,以供使用者查阅。对外来法律法规文件,按信息安全法律法规管理程序控制。综合管理部须对受控中的外来文件进行编号管理,以便于查看。5. 9文件的销毁若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是否可被销毁,可以在信息安全内部审核或管理评审时提出,由综合管理部成员表决,总经理批准。如果文件被批准销毁,综合管理部需重新修改信息安全文件一览表、并将最新信息登记到文件发放/回收一览表。电子文件可以仍然保存在服务器中,但名称中要加入“作废”标记;同时,文件的“受控”标识也要改为“作废”标识。6记录信息安全文件一览表文件发放/回收一览表文件修改通知单外来文件清单5