ISMS-2002文件和資料管理程序

信息技術(shù)-安全技術(shù)-信息安全程序文件深圳市首品精密模型有限公司ISMS文件和資料管理程序文件編號(hào)：ISMS-20021/7信息技術(shù)-安全技術(shù)-信息安全程序文件變更履歷序版本編號(hào)或更改記錄編號(hào)簡要說明（變更內(nèi)容、變更位置、變更原因和變更范圍）變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A/0初始發(fā)行2016-8-52/7信息技術(shù)-安全技術(shù)-信息安全程序文件.目的對(duì)信息安全管理體系所要求的文件進(jìn)行控制，確保可獲得適用文件的有效版本。.適用范圍本程序適用于公司各部門的信息安全管理體系有關(guān)的文件和資料控制和管理。.職責(zé)人事部負(fù)責(zé)本程序文件的編制、更改、實(shí)施和控制管理；負(fù)責(zé)外來文件（國家、地方、上級(jí)和顧客與信息安全有關(guān)的文件和資料）的識(shí)別控制和管理。信息安全管理委員會(huì)負(fù)責(zé)《信息安全管理手冊(cè)》的編制、發(fā)放、更改和控制管理，負(fù)責(zé)各程序文件編制工作的指導(dǎo)、印制、發(fā)放、更改和控制管理。文控中心負(fù)責(zé)編制規(guī)范、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)圖等有效版本控制清單，下發(fā)到相關(guān)部門和單位，并組織對(duì)作廢版本進(jìn)行識(shí)別；負(fù)責(zé)重大技術(shù)項(xiàng)目施工組織設(shè)計(jì)編制工作；參與竣工的審核驗(yàn)收工作。文控中心負(fù)責(zé)收集國家頒布的信息安全方面的法律法規(guī)并進(jìn)行有效的控制和管理。各職能部門負(fù)責(zé)本部門所管轄的業(yè)務(wù)和相關(guān)的外來文件以及內(nèi)部文件資料的識(shí)別、控制與管理。.文件和資料編號(hào)/版本規(guī)定本公司采用四級(jí)層次文件編寫法。所有信息安全管理的文件（含記錄）均以ISMS作為開頭，規(guī)定由4或5個(gè)數(shù)字構(gòu)成編號(hào)。首數(shù)字代表文件層次：1為手冊(cè)、2為程序文件、3為作業(yè)指導(dǎo)書、4為表格記錄；第二層次文件中第二位數(shù)字全部為0，末兩位為自然序號(hào)，從01開始往后排序；第三層次文件中的第二位和第三位兩個(gè)數(shù)字與第二層次文件的自然序列號(hào)相對(duì)應(yīng)，第四或第五個(gè)數(shù)字為本層次的自然序列號(hào)；3/7信息技術(shù)-安全技術(shù)-信息安全程序文件第四層次的文件編號(hào)中第二、三兩個(gè)數(shù)字全部對(duì)應(yīng)需要填寫此表格的程序文件或作業(yè)指導(dǎo)書，后兩個(gè)數(shù)字為自然序列號(hào)；。ISMS—XXXX 文件的自然順序號(hào) 對(duì)應(yīng)的前一個(gè)層次文件順序號(hào)文件次號(hào)：1為手冊(cè)，2為程序文件，3為作業(yè)指引，4為表格記錄 信息安全管理體系文件版本及修訂號(hào)的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。如：“A/0”。以此類推。一第0次修定（按照數(shù)字自然順序號(hào)，依次使用1、2、3……） 第A版（按照英文字母自然排序，依次使用B、C、D……）版本及修訂號(hào)的標(biāo)注方法：1、2、3層次文件標(biāo)注在封面。記錄作為一種特殊形式的文件，沒有標(biāo)注版本及修訂號(hào)的時(shí)候，默認(rèn)為A/0版；當(dāng)記錄更新版本及修訂號(hào)后，需要在記錄的標(biāo)題前增加更新后的版本及修訂號(hào)，以示區(qū)別。.工作程序5.1工作流程圖:5.2文件分類（見下表）4/7

信息技術(shù)-安全技術(shù)-信息安全程序文件序號(hào)文件名稱主要內(nèi)容1法律法規(guī)國家和地方有關(guān)信息安全等方面的法律法規(guī)2公司文件《信息安全管理手冊(cè)》、程序文件，與信息安全有關(guān)的規(guī)章制度及行政文件、管理方案等3標(biāo)準(zhǔn)類文件包括國家、地方、行業(yè)頒發(fā)的有關(guān)信息安全的各類技術(shù)規(guī)范、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)圖集、定額以及物理環(huán)境方面的規(guī)定等4合同類文件承包合同、分包合同、物資采購合同、租賃合同、經(jīng)濟(jì)技術(shù)責(zé)任狀、信息安全協(xié)議等5圖紙類文件各類施工圖紙、設(shè)計(jì)變更、工程洽商記錄等6外來文件包括當(dāng)?shù)卣蛏霞?jí)主管部門下發(fā)的與信息安全管理體系有關(guān)的文件，還包括業(yè)主、分包商、供應(yīng)商等方面有關(guān)體系方面的往來文件7運(yùn)行記錄包括信息安全管理體系運(yùn)行中的各類數(shù)據(jù)記錄8系統(tǒng)文件本公司與信息安全有關(guān)的系統(tǒng)文件包括：a）系統(tǒng)操作手冊(cè)；b）關(guān)鍵商業(yè)作業(yè)流程；c）網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；d）訪問授權(quán)說明書及授權(quán)登記表；e）ISMS體系文件；f）監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；g）其它系統(tǒng)文件。文件的批準(zhǔn)、發(fā)布和標(biāo)識(shí)《信息安全管理手冊(cè)》由信息安全管理委員會(huì)編寫，管理者代表審核，最高管理者批準(zhǔn)發(fā)布。程序文件和三層文件在人事部組織下由主管該程序的職能部門或指定相關(guān)責(zé)任人代表本部門編寫，部門負(fù)責(zé)人審核，管理者代表批準(zhǔn)發(fā)布。信息安全計(jì)劃和施工技術(shù)指導(dǎo)性文件的編寫、審核、批準(zhǔn)，按照公司按照國家頒布的信息安全方面的法律法規(guī)進(jìn)行編寫。其他管理文件由編寫該文件的部門負(fù)責(zé)人審核，公司主管領(lǐng)導(dǎo)批準(zhǔn)。5/7信息技術(shù)-安全技術(shù)-信息安全程序文件《信息安全管理手冊(cè)》和程序文件都應(yīng)標(biāo)識(shí)清楚文件的名稱、編號(hào)、版本、制文時(shí)間、發(fā)布部門和日期等。公司內(nèi)行政文件的發(fā)文程序。文件編寫部門在文件定稿以后，填寫《文件審批接收單》，標(biāo)明文件名稱、編號(hào)、份數(shù)、說明、主辦單位、接受部門，經(jīng)部門領(lǐng)導(dǎo)審核簽字后交人事部，人事部根據(jù)文件內(nèi)容送有關(guān)領(lǐng)導(dǎo)簽發(fā)，填寫發(fā)文編號(hào)打印后，加蓋印章發(fā)出。外來文件的管理程序。凡發(fā)到公司的與信息安全和有關(guān)的外來文件均由人事部負(fù)責(zé)簽收、登記、分類，由人事部先送公司有關(guān)領(lǐng)導(dǎo)閱批，再根據(jù)領(lǐng)導(dǎo)批示的內(nèi)容，送有關(guān)部門閱辦或轉(zhuǎn)發(fā)基層單位，有關(guān)部門閱辦或轉(zhuǎn)發(fā)以后，其文件原件一律由公司人事部收回并存檔案室。各部門收到的外來文件，應(yīng)交人事部處理；凡地方有關(guān)部門或顧客直接發(fā)到各職能部門與信息安全和有關(guān)的文件資料，各職能部門對(duì)照公司文件控制管理工作程序進(jìn)行文書處理。文件的收發(fā)管理及使用公司人事部設(shè)專職人員負(fù)責(zé)文件的收發(fā)、管理、更改和作廢文件的處置。文件發(fā)放時(shí)應(yīng)確定發(fā)放范圍，辦理發(fā)放手續(xù)，建立發(fā)放臺(tái)帳。凡進(jìn)入本單位、本部門的文件均要進(jìn)行收文登記凡發(fā)到下級(jí)單位或個(gè)人的文件均要妥善保管，嚴(yán)防丟失和污損，確保文件清晰，易于識(shí)別；凡需歸檔的文件，要按ISMS-2006《記錄管理程序》執(zhí)行。人事部負(fù)責(zé)匯總編制公司受控文件總清單，由管理者代表審批。各職能部門都要根據(jù)本部門、本單位的實(shí)際建立文件清單，以便對(duì)文件進(jìn)行動(dòng)態(tài)的管理。文件不得隨意自行復(fù)印，如需要時(shí)使用者應(yīng)辦理復(fù)印審批手續(xù)，經(jīng)文件主控部門批準(zhǔn)后方可復(fù)印，復(fù)印的文件與原文同等發(fā)放管理。文件使用者變動(dòng)為與原崗位無關(guān)的崗位或調(diào)出本單位時(shí)，其使用的文件須辦理交接，并填寫文件交接單。文件評(píng)審和修改在文件實(shí)施過程中，各職能部門應(yīng)及時(shí)收集不適宜之處，及時(shí)上報(bào)主編單位，由原文件審批人決定是否進(jìn)行更改?！缎畔踩芾硎謨?cè)》、程序文件每年在內(nèi)審時(shí)由人事部組織有關(guān)部門進(jìn)行文件的評(píng)審，必要時(shí)予以修訂。/7信息技術(shù)-安全技術(shù)-信息安全程序文件文件在評(píng)審中決定需要更改時(shí)，必須由該文件的編寫單位填寫審批單，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后下達(dá)《文件審批接收單》，各級(jí)文件管理人員按通知要求進(jìn)行更改，并將更改的情況寫到文件變更記錄頁上。文件清單中列出的文件應(yīng)為有效文件，并確保文件的更改和修訂狀態(tài)得到識(shí)別。5.6文件的作廢處置文件作廢時(shí)，由發(fā)文單位下發(fā)《文件審批接收單》》，持有文件的