B02信息安全-文件控制程序

1、深圳市XXX科技有限公司文件控制程序編 號：ISMS-B-02版本號：VI. 0編制：日期：2021-8-5審核：日期：2021-8-5批準(zhǔn)：日期：2021-8-5受控文件受控狀態(tài)深圳市XXX科技有限公司 文件控制程序1目的為了對信息安全管理文件的編制、審核、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、管理、使 用、評審、更改、修訂、作廢等過程的實(shí)施有效控制，特制定本程序。2范圍本程序適用于與信息安全管理體系有關(guān)文件的管理與控制。3職責(zé)3. 1總經(jīng)理負(fù)責(zé)批準(zhǔn)信息安全管理文件的制訂、修訂計(jì)劃，負(fù)責(zé)批準(zhǔn)信息安全管 理手冊（含信息安全方針）和信息安全適用性聲明。3. 2管理者代表負(fù)責(zé)審定信息安全管理文件，負(fù)責(zé)批準(zhǔn)信息安全程序

2、文件和作業(yè)文件。3. 3綜合管理部a）負(fù)責(zé)信息安全管理文件的歸口管理。b）負(fù)責(zé)組織信息安全管理文件的制訂、修訂和評審等管理工作。c）負(fù)責(zé)信息安全管理文件的標(biāo)識(shí)、作廢、回收等日常工作。4相關(guān)文件信息安全管理手冊信息安全適用性聲明商業(yè)秘密管理程序信息安全法律法規(guī)管理程序5程序5.1管理內(nèi)容與要求5.1.1文件分類信息安全管理文件：a）信息安全管理手冊（含信息安全方針、方針文件、目標(biāo)文件、信息安全適用性聲明）；b）信息安全管理程序文件；c）信息安全管理作業(yè)文件；d）信息安全管理記錄表格。其他文件：a）各種媒介加載的各種格式的非紙質(zhì)性文件；b）信息安全法律法規(guī)及設(shè)備說明書、國家標(biāo)準(zhǔn)等來自公司外部的文件

3、。5. 2文件編制和修訂5. 2. 1要求信息安全管理文件編制和修訂前，編制人員充分了解相關(guān)方的要求和信息，廣泛收集有關(guān)的文件和資料。作為文件編寫的依據(jù)，應(yīng)重點(diǎn)考慮以下幾個(gè)方面：a）相關(guān)的法律法規(guī)要求，國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的要求，尤其是強(qiáng)制性標(biāo)準(zhǔn)的要求，上級主管部門頒發(fā)的標(biāo)準(zhǔn)、規(guī)章、規(guī)定等。b）對客戶和其他相關(guān)方的合同和承諾，客戶與其他相關(guān)方的需求和期望 方面的信息。c）國內(nèi)外同行先進(jìn)水平和發(fā)展方向的信息。d）本組織現(xiàn)有的有關(guān)文件，領(lǐng)導(dǎo)的意圖和要求。e）內(nèi)容應(yīng)與組織的實(shí)際情況相適應(yīng)，并保證文件在現(xiàn)有的資源條件下，能得到有效實(shí)施。5. 2.2文件編制部門a）信息安全管理文件由信息安全小組

4、組織，相關(guān)職能部門參與進(jìn)行編 制。b）技術(shù)標(biāo)準(zhǔn)由產(chǎn)品研發(fā)部負(fù)責(zé)，各相關(guān)部門參與。c）策劃的管理方案和管理活動(dòng)的檢查考核記錄及其他管理、技術(shù)文件由 相關(guān)職能部門、單位編制。5. 3文件審批5. 3.1審批信息安全管理文件發(fā)布前須經(jīng)審批。5. 3. 2權(quán)限信息安全管理文件的審批權(quán)限如下：a）信息安全管理手冊（含信息安全方針、方針文件、目標(biāo)文件、信 息安全適用性聲明）由總經(jīng)理批準(zhǔn)發(fā)布。b）信息安全程序文件和作業(yè)文件由職能部門組織審核，管理者代表審 核，總經(jīng)理批準(zhǔn)發(fā)布。c）策劃的管理方案由職能部門組織審核，管理者代表審核，總經(jīng)理批準(zhǔn) 發(fā)布。d）其他管理、技術(shù)作業(yè)和相關(guān)支持性文件由歸口管理部門負(fù)責(zé)審核，

5、部 門負(fù)責(zé)人審核批準(zhǔn)。5. 4文件標(biāo)識(shí)為確保在使用處獲得適用文件的有效版本，文件均要有明確的標(biāo)識(shí)，包 括文件編號、版本號、分發(fā)號、發(fā)布和實(shí)施日期、密級等。信息安全管理文件編號規(guī)則如下：MC-ISMS-A-01信息安全管理手冊MC-ISMS-A-02信息安全適用性聲明MC-ISMS-B-XX程序文件MC-ISMS-C-XX作業(yè)文件ISMS-D-XX-XX記錄表單涉密文件應(yīng)按商業(yè)秘密管理程序的規(guī)定分類并標(biāo)識(shí)。5. 5文件發(fā)放文件審批后，綜合管理部登記并制定信息安全文件一覽表和文件發(fā) 放/回收一覽表，按文件發(fā)放/回收一覽表規(guī)定的范圍進(jìn)行發(fā)放。文件發(fā)放時(shí)，綜合管理部應(yīng)在文件第一頁注明發(fā)放部門和發(fā)布日期

6、。并 標(biāo)上“受控”標(biāo)識(shí)。所發(fā)放使用的信息安全管理體系文件均為受控文件，各文件使用部門嚴(yán) 格保管，不得外借和復(fù)制，并保持文件清晰、易于識(shí)別。5. 6文件的更改及版本管理當(dāng)文件的當(dāng)前內(nèi)容和實(shí)施動(dòng)作不一致時(shí)，綜合管理部提出更改文件要求, 由文件對口部門和綜合管理部人員說明原因，填寫文件修改通知單，經(jīng)原 審批部門批準(zhǔn)后，由文件歸口管理部門進(jìn)行修改。版本號規(guī)定：初次發(fā)布的文件，版本號以1.0作為標(biāo)識(shí)，當(dāng)文件發(fā)生修改時(shí)，版本號以 下列方式進(jìn)行編制：a）修改內(nèi)容不超過20%時(shí)，版本號以0. 1位依次遞進(jìn)，例：1. 1； 1.2 1.9； 1. 10； 1.11 以此類推;b）修改內(nèi)容超過20%時(shí)，版本號以1

7、. 0位依次遞進(jìn)，例：1. 0, 2. 0。文件按文件修改通知單上的內(nèi)容進(jìn)行修改，并更新變更履歷，變更后由 綜合管理部進(jìn)行審核，總經(jīng)理批準(zhǔn)，確保所有文件更改到位。對已經(jīng)過期，不適用本組織業(yè)務(wù)程序的文檔，要進(jìn)行“報(bào)廢”處理；針 對電子檔文件需在首頁打上“報(bào)廢”水印，在變更履歷中注明“報(bào)廢”原因； 針對紙質(zhì)文件，蓋上“作廢”章，并及時(shí)銷毀處理。5. 7文件的評審當(dāng)出現(xiàn)以下情況，綜合管理部應(yīng)組織對文件進(jìn)行評審、必要時(shí)予以更新 并再次批準(zhǔn)：a）信息安全管理體系結(jié)構(gòu)發(fā)生重大變化時(shí)；b）信息安全管理體系標(biāo)準(zhǔn)發(fā)生重大變化時(shí)；C）組織結(jié)構(gòu)發(fā)生重大變化時(shí)；d）信息安全活動(dòng)、流程發(fā)生重大變化時(shí)。5.8外來文件的控制組織的外來文件包括與運(yùn)行維護(hù)有關(guān)的國家、地方、行業(yè)的法律、法規(guī)、 部門規(guī)章、標(biāo)準(zhǔn)，體現(xiàn)客戶有關(guān)要求的文件等。組織的外來文件由綜合管理部負(fù)責(zé)登記在外來文件清單上，外來文 件清單應(yīng)注明分布部門，以供使用者查閱。對外來法律法規(guī)文件，按信息安全法律法規(guī)管理程序控制。綜合管理部須對受控中的外來文件進(jìn)行編號管理，以便于查看。5. 9文件的銷毀若受控文件已不在適合本組織時(shí)，可對文件進(jìn)行“回收”處理，判定文 件是否可被銷毀，可以在信息安全內(nèi)部審核或管理評審時(shí)提出，由綜合管理 部成員表決，總經(jīng)理批準(zhǔn)。如果文件被批準(zhǔn)銷毀，綜合管理部需重