文件管理程序-2023年ISO27001信息安全管理程序

XXX有限公司2023年ISO27001:2013信息安全管理體系認(rèn)證程序文件文件編制編制日期年03月10日文件接收部門□總經(jīng)理□管代□行政部□品質(zhì)部□物流部□財(cái)務(wù)部□業(yè)務(wù)部□文件審核審核日期2005年03月06日文件批準(zhǔn)批準(zhǔn)日期2005年03月10日文件編號(hào)受控狀態(tài)接收人員發(fā)布日期2023年01月01日?受控□非受控發(fā)放編號(hào)程序文件更改履歷表序號(hào)更改人更改原因更改內(nèi)容版本號(hào)文件管理程序1.0目的通過(guò)編制文件管理程序，規(guī)范對(duì)文件管理流程，通過(guò)對(duì)信息安全管理體系所要求的文件進(jìn)行控制，確?？色@得適用文件的有效版本。2.0范圍：本程序適用于公司各部門的信息安全管理體系有關(guān)的文件和資料控制和管理。3.0術(shù)語(yǔ)和定義文檔化信息：組織需要控制和維護(hù)的信息及其載體。文件：要求組織維持和控制的信息及其載體；受控文件：指受文件控制中心控制發(fā)行的內(nèi)部和外來(lái)重要質(zhì)量文件、管理文件、基礎(chǔ)文件、項(xiàng)目文件和技術(shù)文件；非受控文件：除受控文件外之文件，如非工作類信件、傳真、參考資料等。4.0職責(zé)和權(quán)限4.1人事部4.1.1負(fù)責(zé)本程序文件的編制、更改、實(shí)施和控制管理；4.1.2負(fù)責(zé)外來(lái)文件（國(guó)家、地方、上級(jí)和顧客與信息安全有關(guān)的文件和資料）的識(shí)別控制和管理。4.2信息安全管理委員會(huì)4.2.1負(fù)責(zé)《信息安全管理手冊(cè)》的編制、發(fā)放、更改和控制管理；4.2.2負(fù)責(zé)各程序文件編制工作的指導(dǎo)、印制、發(fā)放、更改和控制管理。4.3文控中心4.3.1負(fù)責(zé)編制規(guī)范、標(biāo)準(zhǔn)和標(biāo)準(zhǔn)圖等有效版本控制清單，下發(fā)到相關(guān)部門和單位，并組織對(duì)作廢版本進(jìn)行識(shí)別；4.3.2負(fù)責(zé)重大技術(shù)項(xiàng)目施工組織設(shè)計(jì)編制工作；參與竣工的審核驗(yàn)收工作。4.3.3負(fù)責(zé)收集國(guó)家頒布的信息安全方面的法律法規(guī)并進(jìn)行有效的控制和管理。4.5各職能部門4.4.1負(fù)責(zé)本部門所管轄的業(yè)務(wù)和相關(guān)的外來(lái)文件；以及內(nèi)部文件資料的識(shí)別、控制與管理。5.0程序內(nèi)容5.1本公司采用四級(jí)層次文件編寫法。所有信息安全管理的文件（含記錄）均以ISMS作為開頭，規(guī)定由4或5個(gè)數(shù)字構(gòu)成編號(hào)。5.1.1首數(shù)字代表文件層次：1為手冊(cè)、2為程序文件、3為作業(yè)指導(dǎo)書、4為表格記錄；5.1.2第二層次文件中第二位數(shù)字全部為0，末兩位為自然序號(hào)，從01開始往后排序；5.1.3第三層次文件中的第二位和第三位兩個(gè)數(shù)字與第二層次文件的自然序列號(hào)相對(duì)應(yīng)，第四或第五個(gè)數(shù)字為本層次的自然序列號(hào)；5.1.4第四層次的文件編號(hào)中第二、三兩個(gè)數(shù)字全部對(duì)應(yīng)需要填寫此表格的程序文件或作業(yè)指導(dǎo)書，后兩個(gè)數(shù)字為自然序列號(hào)。ISMS—××××文件的自然順序號(hào)文件的自然順序號(hào)對(duì)應(yīng)的前一個(gè)層次文件順序號(hào)對(duì)應(yīng)的前一個(gè)層次文件順序號(hào)文件次號(hào)：1為手冊(cè)，文件次號(hào)：1為手冊(cè)，2為程序文件，3為作業(yè)指引，4為表格記錄信息安全管理體系文件信息安全管理體系文件5.1.5版本及修訂號(hào)的編制方法采用“英文字母自然排序/數(shù)字自然排序”法。如：“A/0”。以此類推。第0次修定（按照數(shù)字自然順序號(hào)，依次使用1、2、3……）第A版（按照英文字母自然排序，依次使用B、C、D……）版本及修訂號(hào)的標(biāo)注方法：1、2、3層次文件標(biāo)注在封面。記錄作為一種特殊形式的文件，沒(méi)有標(biāo)注版本及修訂號(hào)的時(shí)候，默認(rèn)為A/0版；當(dāng)記錄更新版本及修訂號(hào)后，需要在記錄的標(biāo)題前增加更新后的版本及修訂號(hào)，以示區(qū)別。5.2文件分類(見下表)序號(hào)文件名稱主要內(nèi)容1法律法規(guī)國(guó)家和地方有關(guān)信息安全等方面的法律法規(guī)2公司文件《信息安全管理手冊(cè)》、程序文件，與信息安全有關(guān)的規(guī)章制度及行政文件、管理方案等3標(biāo)準(zhǔn)類文件包括國(guó)家、地方、行業(yè)頒發(fā)的有關(guān)信息安全的各類技術(shù)規(guī)范、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)圖集、定額以及物理環(huán)境方面的規(guī)定等4合同類文件承包合同、分包合同、物資采購(gòu)合同、租賃合同、經(jīng)濟(jì)技術(shù)責(zé)任狀、信息安全協(xié)議等5圖紙類文件各類施工圖紙、設(shè)計(jì)變更、工程洽商記錄等6外來(lái)文件包括當(dāng)?shù)卣蛏霞?jí)主管部門下發(fā)的與信息安全管理體系有關(guān)的文件，還包括業(yè)主、分包商、供應(yīng)商等方面有關(guān)體系方面的往來(lái)文件7運(yùn)行記錄包括信息安全管理體系運(yùn)行中的各類數(shù)據(jù)記錄8系統(tǒng)文件本公司與信息安全有關(guān)的系統(tǒng)文件包括：系統(tǒng)操作手冊(cè)；關(guān)鍵商業(yè)作業(yè)流程；網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖；訪問(wèn)授權(quán)說(shuō)明書及授權(quán)登記表；ISMS體系文件；監(jiān)視系統(tǒng)網(wǎng)絡(luò)圖；其它系統(tǒng)文件。5.3文件的批準(zhǔn)、發(fā)布和標(biāo)識(shí)5.3.1《信息安全管理手冊(cè)》由信息安全管理委員會(huì)編寫，管理者代表審核，最高管理者批準(zhǔn)發(fā)布。5.3.2程序文件和三層文件在人事部組織下由主管該程序的職能部門或指定相關(guān)責(zé)任人代表本部門編寫，部門負(fù)責(zé)人審核，管理者代表批準(zhǔn)發(fā)布。5.3.3信息安全計(jì)劃和施工技術(shù)指導(dǎo)性文件的編寫、審核、批準(zhǔn)，按照公司按照國(guó)家頒布的信息安全方面的法律法規(guī)進(jìn)行編寫。5.3.4其他管理文件由編寫該文件的部門負(fù)責(zé)人審核，公司主管領(lǐng)導(dǎo)批準(zhǔn)。5.3.5《信息安全管理手冊(cè)》和程序文件都應(yīng)標(biāo)識(shí)清楚文件的名稱、編號(hào)、版本、制文時(shí)間、發(fā)布部門和日期等。5.3.6公司內(nèi)行政文件的發(fā)文程序。文件編寫部門在文件定稿以后，填寫《文件審批接收單》，標(biāo)明文件名稱、編號(hào)、份數(shù)、說(shuō)明、主辦單位、接受部門，經(jīng)部門領(lǐng)導(dǎo)審核簽字后交人事部，人事部根據(jù)文件內(nèi)容送有關(guān)領(lǐng)導(dǎo)簽發(fā)，填寫發(fā)文編號(hào)打印后，加蓋印章發(fā)出。5.3.7外來(lái)文件的管理程序。凡發(fā)到公司的與信息安全和有關(guān)的外來(lái)文件均由人事部負(fù)責(zé)簽收、登記、分類，由人事部先送公司有關(guān)領(lǐng)導(dǎo)閱批，再根據(jù)領(lǐng)導(dǎo)批示的內(nèi)容，送有關(guān)部門閱辦或轉(zhuǎn)發(fā)基層單位，有關(guān)部門閱辦或轉(zhuǎn)發(fā)以后，其文件原件一律由公司人事部收回并存檔案室。各部門收到的外來(lái)文件，應(yīng)交人事部處理；凡地方有關(guān)部門或顧客直接發(fā)到各職能部門與信息安全和有關(guān)的文件資料，各職能部門對(duì)照公司文件控制管理工作程序進(jìn)行文書處理。5.4文件的收發(fā)管理及使用5.4.1公司人事部設(shè)專職人員負(fù)責(zé)文件的收發(fā)、管理、更改和作廢文件的處置。5.4.2文件發(fā)放時(shí)應(yīng)確定發(fā)放范圍，辦理發(fā)放手續(xù)，建立發(fā)放臺(tái)帳。5.4.3凡進(jìn)入本單位、本部門的文件均要進(jìn)行收文登記；凡發(fā)到下級(jí)單位或個(gè)人的文件均要妥善保管，嚴(yán)防丟失和污損，確保文件清晰，易于識(shí)別；凡需歸檔的文件，要按《記錄管理程序》執(zhí)行。5.4.4人事部負(fù)責(zé)匯總編制公司受控文件總清單，由管理者代表審批。5.4.5各職能部門都要根據(jù)本部門、本單位的實(shí)際建立文件清單，以便對(duì)文件進(jìn)行動(dòng)態(tài)的管理。5.4.6文件不得隨意自行復(fù)印，如需要時(shí)使用者應(yīng)辦理復(fù)印審批手續(xù)，經(jīng)文件主控部門批準(zhǔn)后方可復(fù)印，復(fù)印的文件與原文同等發(fā)放管理。5.4.7文件使用者變動(dòng)為與原崗位無(wú)關(guān)的崗位或調(diào)出本單位時(shí)，其使用的文件須辦理交接，并填寫文件交接單。5.5文件評(píng)審和修改5.5.1在文件實(shí)施過(guò)程中，各職能部門應(yīng)及時(shí)收集不適宜之處，及時(shí)上報(bào)主編單位，由原文件審批人決定是否進(jìn)行更改?！缎畔踩芾硎謨?cè)》、程序文件每年在內(nèi)審時(shí)由人事部組織有關(guān)部門進(jìn)行文件的評(píng)審，必要時(shí)予以修訂。5.5.2文件在評(píng)審中決定需要更改時(shí)，必須由該文件的編寫單位填寫審批單，經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)后下達(dá)《文件審批接收單》，各級(jí)文件管理人員按通知要求進(jìn)行更改，并將更改的情況寫到文件變更記錄頁(yè)上。5.5.3文件清單中列出的文件應(yīng)為有效文件，并確保文件的更改和修訂狀態(tài)得到識(shí)別。5.6文件的作廢處置5.6.1文件作廢時(shí)，由發(fā)文單位下發(fā)《文件審批接收單》，持有文件的各部門、各單