ISMS-B-01 文件控制程序-ISO27001

1、文件控制程序文件編號(hào)：ISMS-B-01版 本：A/0頁(yè) 碼：第7頁(yè) 共83頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1.0 目的： 為了使公司系統(tǒng)文件得到有效的控制，以確保公司文件的系統(tǒng)有效運(yùn)作（包括信息的安全保密、貯存管理），特制訂本程序。2.0 適用范圍：適用于本公司所有運(yùn)作的管理文件，包括外來(lái)文件(如：國(guó)家、國(guó)際、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)、客戶和供應(yīng)商提供的文件、化學(xué)物質(zhì)管理資料)。3.0 術(shù)語(yǔ)與定義：3.1文件：以文字或

2、圖示描述管理內(nèi)容或業(yè)務(wù)內(nèi)容、通過(guò)規(guī)定程序由有權(quán)人員簽署發(fā)布、要求接收者據(jù)此作出規(guī)范反應(yīng)的電子文檔或紙質(zhì)文檔。 3.2 正本文件：由文件制作人制作的原稿文件。 3.3 受控文件：所有涉及到有版本控制要求的體系文件。 3.4 失效/作廢文件：經(jīng)改新版本后，其原來(lái)的文件/副本，以及自動(dòng)過(guò)期的文件稱為失效/作廢文件。 3.5 外來(lái)文件：獲取外部單位文件，包括客戶提供的圖紙/規(guī)格，國(guó)際、國(guó)家、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)； 供應(yīng)商提供的化學(xué)物質(zhì)管理資料（MSDS），社會(huì)責(zé)任相關(guān)文件、職業(yè)健康與安全相關(guān)的文件等等。3.6 參考文件：所有受控文件需外傳或不做文件回收控制之僅供參考的文件3.7 修訂：指文件的修改和

3、制定。3.8 管理手冊(cè)：即一階文件，（質(zhì)量/環(huán)境管理統(tǒng)稱管理手冊(cè)），是本公司的方針、目標(biāo)和管理方向性，是公司綱領(lǐng)性文件的描述。3.9 程序文件：即二階文件，手冊(cè)中管理重點(diǎn)所延伸引用的下一階文件，是管理體系各重要作業(yè)程序的運(yùn)作文件，這一類的作業(yè)通常都為跨部門性質(zhì)的作業(yè)。3.10 三階管理類文件：工作管理規(guī)定文件；規(guī)定某項(xiàng)活動(dòng)的具體方法的文件；3.11 三階技術(shù)類文件：說(shuō)明產(chǎn)品及方案指導(dǎo)產(chǎn)品生產(chǎn)、檢驗(yàn)等活動(dòng)的文件；目前本公司定義的三階技術(shù)文件為：產(chǎn)品檢驗(yàn)規(guī)范、作業(yè)指導(dǎo)書、BOM、工藝流程圖、承認(rèn)書、圖紙、工藝參數(shù)、FMEA等文件.3.12 表格：即四階文件，管理體系中運(yùn)行過(guò)程中運(yùn)用的表單記錄格式。

4、3.13 記錄：運(yùn)作表格表達(dá)體系運(yùn)作的證明，可參考記錄控制程序。 3.14 網(wǎng)絡(luò)發(fā)布：通過(guò)系統(tǒng)將受控體系文件發(fā)布給相關(guān)人員的途徑。4.0 職責(zé)和權(quán)限：4.1 總經(jīng)理：負(fù)責(zé)批準(zhǔn)管理手冊(cè)。 4.3 管理者代表4.3.1 負(fù)責(zé)批準(zhǔn)程序文件。4.3.2 負(fù)責(zé)公司程序文件格式和內(nèi)容文審.4.3.3 負(fù)責(zé)對(duì)管理方案、作業(yè)文件的批準(zhǔn)。4.4 文控中心4.4.1 負(fù)責(zé)公司文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收及報(bào)廢處理.4.4.2 負(fù)責(zé)外來(lái)文件之接收、歸檔、登錄電腦、標(biāo)識(shí)、分發(fā)和回收、保存。4.4.3 負(fù)責(zé)不定期對(duì)生產(chǎn)現(xiàn)場(chǎng)文件進(jìn)行審核和確認(rèn)其有效性。4.4.4 保存更新受控文件一覽表。4.4.5

5、負(fù)責(zé)文件編號(hào)及格式審定。4.5 部門負(fù)責(zé)人4.5.1負(fù)責(zé)編制本部門程序文件4.5.2會(huì)審相關(guān)部門的程序文件4.5.3審核本部門三階管理類文件與資料及批準(zhǔn)本部門三階技術(shù)類文件與資料.4.6 部門文員（文件管理員）4.6.1負(fù)責(zé)對(duì)受控文件簽收、登記、發(fā)放、將舊版及時(shí)退回體系辦并定期檢查。4.7 品質(zhì)中心4.7.1 工程師（含）以上人員負(fù)責(zé)審核外來(lái)產(chǎn)品檢查標(biāo)準(zhǔn)方面文件的有效性和實(shí)用性。4.7.2負(fù)責(zé)本部門制作的三階技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收處理.4.8 項(xiàng)目中心 4.8.1 工程師（含）以上人員負(fù)責(zé)審核外來(lái)產(chǎn)品方面技術(shù)文件的有效性和實(shí)用性。4.8.2 負(fù)責(zé)本部門制作的三階

6、技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收處理. 4.9 市場(chǎng)部/采購(gòu)課 客戶相關(guān)紙質(zhì)檔文件及相關(guān)標(biāo)準(zhǔn)資料的接收并傳遞到文控中心。4.10 模具中心負(fù)責(zé)本部門制作的三階技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收及報(bào)廢處理.5.0運(yùn)作流程： 6.0 運(yùn)作程序：6.1 文件格式 6.1.1 首頁(yè)：程序的首頁(yè)為修改履歷表，其內(nèi)容包括：版本、更新履歷、制訂/修訂、審批、批準(zhǔn)人和生效 日期及文件分發(fā)欄。6.1.2 文頭：程序的文頭由以下部分組成：公司Logo、程序名稱、文件編號(hào)、版本（含版號(hào)及修改狀態(tài)）、及頁(yè)碼。 6.1.3 所有系統(tǒng)程序和工作指引文件都要使用規(guī)定的格式，且文件的

7、編制需遵守以下規(guī)定：文件名稱一階主題文字用宋體、小二號(hào)字、加粗；文件編號(hào)、版本及頁(yè)碼用宋體、四號(hào)字、加粗；文件中的內(nèi)容之文字用宋體、五號(hào)字、1.5倍行距：1. 文件中涉及的所有文件及表單要加書名號(hào)“”；2. 修訂后的內(nèi)容用藍(lán)色字體，加粗，加雙下劃線標(biāo)識(shí)。涉及到新的術(shù)語(yǔ)需在3.0術(shù)語(yǔ)與定義中定義清楚；3. 文件中大的章節(jié)字體需加粗（如1.0.目的、2.0.適用范圍等）；4. 文件編制序號(hào)超過(guò)三位數(shù)，必須用1. 2. 3. 表示，此序號(hào)還有分述的，用a. b. c. 表示。 6.1.4 所有系統(tǒng)程序文件的正文應(yīng)包括以下章節(jié)：1.0 目的：2.0 適用范圍：3.0 術(shù)語(yǔ)與定義：4.0 職責(zé)與權(quán)限：5

8、.0 運(yùn)作流程： 6.0 運(yùn)作程序： 7.0 相關(guān)文件及附件： 8.0 相關(guān)記錄： （當(dāng)某一章節(jié)不適用時(shí)，請(qǐng)?jiān)诒菊鹿?jié)標(biāo)題下注明“不適用”或“無(wú)”。工作指引文件視其具體內(nèi)容和范圍，可包括以上適用章節(jié)。）6.2 文件的制訂、審核與批準(zhǔn) 6.2.1 各部門文件編好后發(fā)E-mail到文控中心，文控中心對(duì)文件格式，文件名稱，內(nèi)容適宜性進(jìn)行確認(rèn)，如無(wú)問(wèn)題則給文件編好號(hào)再回傳給文件制作部門，反之如存在問(wèn)題則直接回傳給文件制作部門要求整改，待整改合格后再確認(rèn)。 6.2.2 各部門根據(jù)自身的工作職責(zé)/內(nèi)容、手冊(cè)和相關(guān)程序文件的規(guī)定要求，編制相應(yīng)的工作指引文件。 6.2.3 各部門負(fù)責(zé)人在編寫文件時(shí)，要按照6.1

9、和6.2章節(jié)的有關(guān)規(guī)定進(jìn)行，要確保文件的完整性、有效性、清晰、可操作性和易讀性。 6.2.4 系統(tǒng)程序文件（二階文件）應(yīng)由該文件涉及到所有部門主管討論，部門負(fù)責(zé)人審核，呈交管理代表或總經(jīng)理批準(zhǔn)。詳細(xì)審核權(quán)限說(shuō)明見(jiàn)下表：文件職位管理手冊(cè)（一階文件）程序文件（二階文件）工作指引類（三階管理類文件）工作指引類（三階技術(shù)類文件）表單（四階文件）管理代表 制定/修改批準(zhǔn)批準(zhǔn)/總經(jīng)理批準(zhǔn)批準(zhǔn)/部門負(fù)責(zé)人評(píng)審會(huì)簽審核/部門負(fù)責(zé)人/制定/修改審核批準(zhǔn)批 準(zhǔn) 工程師以上人員或指定人員/制定/修改制定/修改制定/修改6.3 文件的培訓(xùn)與檢討 文件編制部門在文件獲得批準(zhǔn)后，制訂本部門文件培訓(xùn)計(jì)劃，對(duì)所有執(zhí)行該文件的

10、人員進(jìn)行培訓(xùn)，以確保每個(gè)執(zhí)行人員理解文件的規(guī)定和要求，確保正確實(shí)施和有效執(zhí)行。6.4 外來(lái)文件的控制6.4.1.業(yè)務(wù)部負(fù)責(zé)提供有關(guān)客戶的圖紙/規(guī)格/作業(yè)標(biāo)準(zhǔn)，項(xiàng)目工程人員應(yīng)在3個(gè)工作日之內(nèi)識(shí)別與確認(rèn)文件有效性及實(shí)用性，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.2.項(xiàng)目工程人員負(fù)責(zé)識(shí)別與確認(rèn)產(chǎn)品有關(guān)國(guó)家/國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.3.所有外來(lái)圖紙及工程有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過(guò)項(xiàng)目工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門；所有外來(lái)跟產(chǎn)品質(zhì)量有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過(guò)品質(zhì)中心工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門，然后交到體系辦受控分發(fā)

11、。6.4.4針對(duì)體系國(guó)家標(biāo)準(zhǔn)及質(zhì)量/環(huán)境/職業(yè)安全與健康的法律法規(guī)等均需經(jīng)過(guò)體系辦專員以上確認(rèn)。然后編號(hào)并加蓋“外來(lái)受控”印章發(fā)行以便識(shí)別。6.4.5 所有文件受控章都蓋在文件的右上角，以清晰不影響使用效果為準(zhǔn)。6.5 文件的分發(fā)與回收 6.5.1 文件審批前，應(yīng)呈交文控中心（三階技術(shù)文件除外），文控中心負(fù)責(zé)人應(yīng)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定，文件是否清晰、易讀：1.針對(duì)三階技術(shù)類文件，在文件審批完畢后，由制作部門的文件管理員負(fù)責(zé)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定；文件是否通過(guò)規(guī)定審批者審批，文件是否清晰、易讀。6.5.2 系統(tǒng)程序文件分發(fā)到所用審批部門各一份，

12、工作指引及其他類型文件的分發(fā)地點(diǎn)及份數(shù)由文件的制訂部門或和體系辦共同確定：1.文本發(fā)放a.文件制訂部門按規(guī)定的要求復(fù)印相應(yīng)的份數(shù)后連同正本文件一起交到體系辦，體系辦在發(fā)行受控文件時(shí)在文件上加蓋紅色“受控文件”章，然后將受控文件登記在文件發(fā)行和回收記錄表內(nèi)并通知相關(guān)單位到文控中心領(lǐng)取受控文件，正本文件保留于文控中心。 2.網(wǎng)絡(luò)發(fā)布a.針對(duì)分發(fā)的文件（三階技術(shù)文件除外）由體系辦制作成PDF檔并通過(guò)網(wǎng)絡(luò)發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤內(nèi)容；b.針對(duì)三階技術(shù)文件由制作部門設(shè)置權(quán)限通過(guò)網(wǎng)絡(luò)發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤內(nèi)容。6.5.3 文件回

13、收1.當(dāng)文件有變更新版本，各部門應(yīng)將舊版本文件及時(shí)回收文控中心換取新版本文件，文控人員發(fā)現(xiàn)文件發(fā)行3天內(nèi)還未回收舊版的，將清單列出通報(bào)，各相關(guān)部門主管回復(fù)原因。6.5.4 文件補(bǔ)發(fā)申請(qǐng)與審批1. 因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫文件申請(qǐng)表經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到文件補(bǔ)發(fā)一覽表中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收；2.針對(duì)三階技術(shù)文件，因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫文件申請(qǐng)表經(jīng)本部門主管審批，交文件制作部門的文件管理人員（品質(zhì)/工程/模具）處理。文件管理人員將其登記到文件補(bǔ)發(fā)一覽表中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收。6.5.5.文件的遺失/損壞處理 1.因管理

14、不善將文件遺失/損壞時(shí)，由遺失/損壞部門填寫文件申請(qǐng)表經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到文件補(bǔ)發(fā)一覽表中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收，并通報(bào)處理，遺失文件以后若找到需立即退回；2.針對(duì)無(wú)故或人為損壞/遺失受控文件，按員工獎(jiǎng)懲管理制度處理。6.6 文件評(píng)審與更改6.6.1 當(dāng)公司組織架構(gòu)和管理人員發(fā)生重大變更時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)。文件修訂人必須在“更改履歷”登錄,更改履歷最少需在文件中保留近三次。體系辦將根據(jù)內(nèi)部審核控制程序，在每次內(nèi)部審核過(guò)程中對(duì)文件進(jìn)行評(píng)審。1. 所有文件初次版本均為A/0，依次修改后為A/1、A/2、至A/4，然后按B/0至B/4進(jìn)行換版

15、。如果修訂篇幅比較多的，可以直接升版本和版次，A/1直接調(diào)到B/0；2. 當(dāng)方針和目標(biāo)不適用時(shí)按客戶需求和結(jié)合公司實(shí)際進(jìn)行修改。6.6.2 修訂后的文件必須按照本文件規(guī)定再次進(jìn)行審批，分發(fā)、同時(shí)回收原舊版本。6.6.3 外來(lái)文件的變更時(shí)，相關(guān)外來(lái)文件接收部門應(yīng)積極向客戶或外部索取。并確認(rèn)后交品質(zhì)/工程/模具/文控中心受控分發(fā)“外來(lái)受控文件”。另：外來(lái)環(huán)境方面法律法規(guī)可直接向體系辦確認(rèn)，確認(rèn)后受控分發(fā)。并將相關(guān)文件進(jìn)行修訂。6.7 作廢文件的處理6.7.1 失效版本或作廢文件需登記到作廢文件一覽表中，副本需立即銷毀（同時(shí)視作廢文件，非公司機(jī)密可以內(nèi)部作為再生紙使用）。6.7.2 受控原件（即正本

16、文件）在文件正面加蓋“作廢文件”印章分類歸檔，客戶產(chǎn)品圖紙?jiān)诒趁婕由w“作廢”印章做永久性保存，其他文件作廢原版保存三年。6.8 文件保管 6.8.1 公司所有的文件都應(yīng)保存在適宜的環(huán)境中，以免文件及其內(nèi)容受到損壞、遺失或作其它不適宜用途。 6.8.2 文控中心應(yīng)編制受控文件一覽表，各部門應(yīng)編制本部門所保管的受控文件一覽表便于相關(guān)人員的使用和查詢。 6.8.3 電子文檔保管：1 外來(lái)文件、程序文件、三級(jí)文件(技術(shù)類文件除外)等全部在各部門受控的同時(shí)將電子文檔電郵到體系辦，文控人員放到“*”中。體系管理及其他部門查閱全部依權(quán)限進(jìn)入。文控中心有放入和修訂權(quán)限，其他部門查閱權(quán)限。受控文件的修訂后的電子

17、文檔需要電郵到體系辦存檔； 2 IT對(duì)存放網(wǎng)絡(luò)上的程序文件需要作異地備份管理，以避免電腦崩潰而造成損失。6.8.4 外發(fā)文件申請(qǐng)與控制： 1 凡需發(fā)放到公司以外單位，有關(guān)人員填寫文件申請(qǐng)表，經(jīng)本部門主管審批后交到文控中心；2 文件受控部門將所需文件復(fù)印件蓋紅色“參考文件”印章分發(fā)到申請(qǐng)人，由申請(qǐng)人轉(zhuǎn)交到接收單位。7.0 相關(guān)文件及附件： 7.1 附件一文件名稱、編號(hào)規(guī)則如下表所示，未有標(biāo)注或后新增的文件，以名稱的英文縮寫為準(zhǔn)：NO.文件名稱（中文）文件編號(hào)1管理手冊(cè)ISMS-A-XX（流水號(hào)）2程序文件ISMS-B-XX（流水號(hào)）3工作指引ISMS-C-XX（流水號(hào)）4表單ISMS-D-XXX

18、（流水號(hào)）7.3 附件二 文件控制印章的樣式: 7.3 相關(guān)文件8.0 相關(guān)記錄：NO記錄名稱 表單編號(hào)保存期記錄保存部門1文件申請(qǐng)表ISMS-C-0013年體系辦2受控文件一覽表ISMS-C-0023年體系辦3文件補(bǔ)發(fā)一覽表ISMS-C-0033年體系辦4文件發(fā)行和回收記錄表ISMS-C-0043年體系辦5作廢文件一覽表ISMS-C-0053年體系辦9聯(lián)絡(luò)單ISMS-C-0063年體系辦記錄控制程序文件編號(hào)：ISMS-B-02版 本：A/0頁(yè) 碼：第10頁(yè) 共83頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中

19、心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為管制信息安全管理體系記錄，以展示信息安全管理體系符合規(guī)定并有效運(yùn)作,需保存所有證明符合要信息安全要求之相關(guān)記錄文件。2. 范圍適用于本公司信息安全管理體系內(nèi)所產(chǎn)生記錄之鑒別、儲(chǔ)存、查閱、防護(hù)保存期限及處置。3. 職責(zé)與權(quán)限3.1 記錄之收集、索引、查閱、建文件保存、維護(hù)與處理：相關(guān)單位。3.2 記錄一覽表之建立：體系中心。3.3 記錄一覽表之核準(zhǔn)：管理代表。4. 相關(guān)文件文件控制程序5. 術(shù)語(yǔ)定義無(wú)6. 控制程序6.1 記錄之鑒別：6.1.1新設(shè)計(jì)表單經(jīng)申請(qǐng)核可后，需由文件管制單位歸類確認(rèn)是否為記錄。6

20、.1.2 人事行政部依據(jù)各項(xiàng)程序文件規(guī)定之記錄并編表單號(hào)，將之匯總于記錄一覽表。6.1.3記錄一覽表轉(zhuǎn)管理代表核準(zhǔn)后，原稿存人事行政部，副本發(fā)行至各部門。6.2 記錄之填寫：6.2.1 所有記錄必須有充分的信息，足以追查所欲達(dá)成的品質(zhì)目標(biāo)，并判定品質(zhì)管理系統(tǒng)之有效性，而且記錄之內(nèi)容必須清楚干凈，必要時(shí)應(yīng)標(biāo)示清楚日期以利識(shí)別存取。6.2.2 記錄填寫之注意事項(xiàng)：記錄不得以鉛筆填寫，且字跡必須工整、清晰可辨。重要記錄修改時(shí)其空白字段需以“/”或“x”等符號(hào)劃銷 以避免規(guī)定需填列之字段漏記。記錄需經(jīng)授權(quán)人核準(zhǔn)后方為有效，凡記錄修改后，需再經(jīng)授權(quán)人確認(rèn)和認(rèn)可。6.3 收集/歸檔：6.3.1記錄之匯整，

21、需依不同表單別，分別設(shè)立檔案，并依序妥善放存，且應(yīng)避免有缺頁(yè)、破損之情形。6.3.2若記錄為連續(xù)周期性之表單，則盡可能依日期先后順序歸檔。6.3.3若記錄為非連續(xù)性表單，則依月日先后秩序整理歸檔。6.4 查閱：6.4.1 內(nèi)部查閱：凡屬本公司內(nèi)部部門與部門之間借調(diào)，由需求單位和表格制作單位/部門主管協(xié)商同意后，借調(diào)使用。屬機(jī)密性記錄，如合同、客戶檔案，銷售信息記錄等，需經(jīng)總經(jīng)理批準(zhǔn)。6.5.1 外部查閱：凡屬公司外部借調(diào)者，由外部機(jī)構(gòu)或企業(yè)之接洽單位開(kāi)出書面申請(qǐng)，經(jīng)本公司總經(jīng)理核準(zhǔn)后，方可借出。6.5 保存/銷毀：6.5.1 各項(xiàng)記錄應(yīng)規(guī)定保存部門及保存年限在記錄一覽表中，經(jīng)管理代表核準(zhǔn)后執(zhí)行

22、。6.5.1 記錄必須存于良好環(huán)境下防潮濕，以避免資料之毀壞。重要的記錄應(yīng)由電子版COPY一份，存入軟硬盤中保存。6.5.2 各項(xiàng)記錄之文件格式修改與變更，參照文件控制程序之規(guī)定辦理。6.5.3 逾期保存之記錄，由文管中心統(tǒng)一銷毀并作記錄。7. 附件、記錄記錄一覽表內(nèi)部審核控制程序文件編號(hào)：ISMS-B-03版 本：A/0頁(yè) 碼：第13頁(yè) 共83頁(yè)更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的驗(yàn)證公司的信息安全管理體系是否符合標(biāo)

23、準(zhǔn)及本公司信息安全管理體系的要求，是否符合策劃的安排，是否得到有效實(shí)施與保持。2. 范圍凡本公司信息安全管理相關(guān)活動(dòng)及實(shí)施單位之內(nèi)審作業(yè)均屬之。3. 職責(zé)與權(quán)限3.1 內(nèi)審計(jì)劃之?dāng)M定與內(nèi)審小組之籌措：管理代表。3.2 內(nèi)審計(jì)劃之核準(zhǔn)：總經(jīng)理。3.3 內(nèi)審計(jì)劃之實(shí)施：內(nèi)審小組。3.4 內(nèi)審缺失報(bào)告之開(kāi)立：內(nèi)審員。3.5 內(nèi)審缺失之改善：被審部門、相關(guān)部門。3.6 缺失改善之追蹤確認(rèn)：內(nèi)審員。4. 相關(guān)文件糾正與預(yù)防控制程序5. 術(shù)語(yǔ)定義無(wú)6. 控制程序6.1 內(nèi)審計(jì)劃之?dāng)M定：6.1.1 管理代表依受審狀況于每年度十二月訂定次年度的內(nèi)審計(jì)劃且每十二個(gè)月的審核次數(shù)不少于一次，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.

24、1.2 當(dāng)發(fā)生重大信息安全事件或有實(shí)際需要時(shí)，應(yīng)由管理代表提出不定期之內(nèi)審，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.1.3 每次內(nèi)審前一周由管理代表挑選合格之內(nèi)審人員組成內(nèi)審小組，以便執(zhí)行內(nèi)審。6.2 內(nèi)審?fù)ㄖ?.2.1 定期內(nèi)審時(shí)管理代表應(yīng)依內(nèi)審單位之狀況及重要性及前次內(nèi)審結(jié)果于內(nèi)審前與受審單位協(xié)調(diào)后，擬定內(nèi)審?fù)ㄖ獑纬士偨?jīng)理核準(zhǔn)后，提前一周由管理代表發(fā)出，不定期內(nèi)審則不提前通知。6.2.2 內(nèi)審?fù)ㄖ獞?yīng)說(shuō)明內(nèi)審時(shí)間、受審單位、內(nèi)審內(nèi)容及內(nèi)審員。6.3 內(nèi)審準(zhǔn)備：6.3.1 管理代表應(yīng)告知內(nèi)審小組人員，其內(nèi)審之區(qū)域或內(nèi)審之范圍。6.3.2 內(nèi)審人員不得參與自己所屬部門之內(nèi)審工作，且應(yīng)對(duì)受審區(qū)域有基本的認(rèn)知與了

25、解。6.3.3 內(nèi)審人員應(yīng)在內(nèi)審前取得該內(nèi)審區(qū)域前一次內(nèi)審之結(jié)果及有關(guān)資料，擬定此次的審查項(xiàng)目于內(nèi)審查檢表。6.4 內(nèi)審前會(huì)議：管理代表于正式內(nèi)審前舉行內(nèi)審前會(huì)議，說(shuō)明此次內(nèi)審內(nèi)容與方向，并安排內(nèi)審后會(huì)議之舉行時(shí)間及地點(diǎn)。6.5 內(nèi)審執(zhí)行：6.6.1 內(nèi)審人員依據(jù)內(nèi)審檢查表進(jìn)行內(nèi)審，并記下內(nèi)審所發(fā)現(xiàn)之事實(shí)。6.6.2 內(nèi)審人員可擴(kuò)大內(nèi)審項(xiàng)目，以便增大內(nèi)審之有效性6.6.3 內(nèi)審時(shí)，應(yīng)如實(shí)記錄于內(nèi)審檢查表上。6.6.4 內(nèi)審中所發(fā)現(xiàn)的每一項(xiàng)不符合事項(xiàng)應(yīng)記錄于內(nèi)部審核記錄中。6.6 內(nèi)審后會(huì)議及糾正措施：6.6.1 內(nèi)審人員應(yīng)于內(nèi)審后會(huì)議向受審單位之主管或其代表報(bào)告受審單位整體內(nèi)審結(jié)果。6.6.2

26、 若對(duì)內(nèi)審結(jié)果無(wú)異議時(shí)，受審單位于內(nèi)審缺失報(bào)告上對(duì)不符合事項(xiàng)逐一簽字，并提出改善原因分析及糾正預(yù)防措施與改善期限。管理代表將全部之內(nèi)審缺失報(bào)告，交內(nèi)審單位進(jìn)行糾正。6.6.3 受審單位主管對(duì)內(nèi)審之缺失在規(guī)定期限內(nèi)予以改善。6.7 追蹤確認(rèn)：6.7.1 內(nèi)審人員應(yīng)在內(nèi)審缺失報(bào)告上之改善期限內(nèi)與受審部門確認(rèn)以完成之糾正預(yù)防及其成效。6.7.2 內(nèi)審人員對(duì)于已完成之確認(rèn)動(dòng)作之內(nèi)審缺失報(bào)告應(yīng)予以簽認(rèn)結(jié)案，對(duì)于未改善的單位，應(yīng)規(guī)定再次改善措施之預(yù)定完成日期，并請(qǐng)受內(nèi)審部門主管于內(nèi)審缺失報(bào)告上簽認(rèn)，對(duì)于連續(xù)兩次確認(rèn)未改善者，由管理代表向總經(jīng)理匯報(bào)裁示。6.8 提報(bào)管理審查：6.8.1 內(nèi)審人員確認(rèn)已結(jié)案后

27、，應(yīng)將所有資料送交管理代表審核存檔。6.8.2 管理代表于每次內(nèi)審后一周，應(yīng)做成內(nèi)審總結(jié)報(bào)告呈總經(jīng)理核準(zhǔn)。6.8.3 管理代表于內(nèi)審計(jì)劃注明計(jì)劃完成情況，并將公司之內(nèi)外部審核狀況納入下次管理審查會(huì)議中報(bào)告。6.9 所有內(nèi)部?jī)?nèi)審所產(chǎn)生之記錄，由管理代表保存，保存期限二年。管理評(píng)審控制程序文件編號(hào)：ISMS-B-04版 本：A/0頁(yè) 碼：第16頁(yè) 共83頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為規(guī)定信息安全管理體系管理評(píng)

28、審之權(quán)責(zé)方式，確保組織效能與信息安全管理體系之適切性、有效性，且持續(xù)改善。2. 范圍公司信息安全管理體系所涵蓋的所有活動(dòng)。3. 職責(zé)與權(quán)限3.1 管理審查會(huì)議之召集及追蹤確認(rèn)：管理代表。3.2 管理審查會(huì)議之主持：總經(jīng)理。3.3 管理審查會(huì)議參加人員：管理代表、審核員、主管。4. 相關(guān)文件糾正與預(yù)防控制程序5. 術(shù)語(yǔ)定義無(wú)6. 控制程序6.1 管理審查時(shí)機(jī)：6.1.1 定期審查：每十二個(gè)月實(shí)施1次，在信息安全管理體系審查后15天內(nèi)擇期召開(kāi)。6.1.2 不定期審查：當(dāng)遇到下列情形時(shí)，由總經(jīng)理決定召開(kāi)管理審查會(huì)議，并由管理代表以會(huì)議/培訓(xùn)通知單的方式通知相關(guān)人員。組織改革：當(dāng)公司組織變革，明顯對(duì)信

29、息安全管理體系產(chǎn)生不適合、沖突或造成信息安全政策、目標(biāo)妨礙時(shí)。產(chǎn)品變化：新產(chǎn)品發(fā)展，顯示信息安全管理體系不能有效管制與運(yùn)作時(shí)。重大系統(tǒng)事項(xiàng)或客訴，顯示信息安全管理體系不當(dāng)導(dǎo)致者。客戶、認(rèn)證機(jī)構(gòu)評(píng)鑒有重大缺失時(shí)。6.2 管理審查會(huì)議輸入信息安全管理評(píng)審的輸入包括但不限于以下內(nèi)容：信息安全管理體系內(nèi)外部審核結(jié)果。相關(guān)方的反饋。用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程。預(yù)防和糾正措施的狀況。以往風(fēng)險(xiǎn)評(píng)估沒(méi)有強(qiáng)調(diào)的脆弱點(diǎn)或威脅。有效性測(cè)量的結(jié)果。以往管理評(píng)審的跟蹤措施?？赡苡绊慖SMS的任何變更。改進(jìn)建議。6.3 會(huì)議進(jìn)行6.3.1 管理代表負(fù)責(zé)于管理審查會(huì)議召開(kāi)一周前以會(huì)議/培訓(xùn)通知單通知

30、參加人員，會(huì)議由總經(jīng)理主持，具體進(jìn)行如下：6.3.2 上次會(huì)議決議事項(xiàng)執(zhí)行情形追蹤。a.管理代表對(duì)上次會(huì)議決議事項(xiàng)執(zhí)行成效(包括對(duì)管理體系的影響)提出報(bào)告與檢討。b.各部門主管對(duì)執(zhí)行成效不彰事項(xiàng)提出說(shuō)明及解決方案列入下次會(huì)議追蹤檢討。6.3.3 由各部門報(bào)告信息安全管理體系體系在部門之執(zhí)行情形。6.3.4會(huì)議主持人應(yīng)就上述報(bào)告事項(xiàng)，審查其現(xiàn)行績(jī)效及改善機(jī)會(huì)并評(píng)估本公司之管理體系，包括政策及目標(biāo)高更的需求。6.4 管理審查會(huì)議輸出：6.4.1 管理評(píng)審會(huì)議記錄：會(huì)議進(jìn)行之內(nèi)容及決議之事項(xiàng)，由管理代表指派適當(dāng)人員記錄于會(huì)議記錄中。會(huì)議后由管理者代表形成管理評(píng)審報(bào)告，報(bào)總經(jīng)理和相關(guān)部門。6.5.1

31、決議管理會(huì)議之決議事項(xiàng)應(yīng)制定糾正預(yù)防措施包括如下項(xiàng)目，并指定負(fù)責(zé)單位及完成期限并影印分發(fā)相關(guān)人員。a.管理體系的改善，例如管理目標(biāo)的展開(kāi)。b. 流程、產(chǎn)品及服務(wù)的稽核，例如更新稽核計(jì)劃。c. 資源需求，例如增新的測(cè)試儀器。d. 追蹤確認(rèn)/記錄與保存。管理代表應(yīng)負(fù)責(zé)決議工作之督導(dǎo)跟催與成效評(píng)議，并登錄于會(huì)議記錄之追蹤確認(rèn)檔。執(zhí)行事項(xiàng)如需疑難調(diào)解，由管理代表向總經(jīng)理提報(bào)裁示。管理審查之會(huì)議記錄由體系中心保存，保存期限三年。7. 附件、記錄7.1管理評(píng)審計(jì)劃7.2管理評(píng)審會(huì)議記錄7.3管理評(píng)審報(bào)告7.4會(huì)議簽到表糾正與預(yù)防控制程序文件編號(hào)：ISMS-B-05版 本：A/0頁(yè) 碼：第22頁(yè) 共83頁(yè)更

32、改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的針對(duì)不符合公司要求或客戶要求之產(chǎn)品,及時(shí)采取有效的糾正和預(yù)防措施，清除實(shí)際或潛在的不合格因素，并確保此類問(wèn)題不再發(fā)生。2. 范圍適用于對(duì)各部門制訂、實(shí)施和驗(yàn)證糾正及預(yù)防措施的控制。3. 職責(zé)與權(quán)限3.1 糾正與預(yù)防措施之提出：相關(guān)單位。3.2 原因分析：相關(guān)部門。3.3 改善對(duì)策之?dāng)M定：文控中心、相關(guān)部門。3.4 改善對(duì)策之執(zhí)行：相關(guān)部門。3.5 改善對(duì)策之追蹤確認(rèn)：相關(guān)單位、內(nèi)審小組

33、。4. 相關(guān)文件a) 文件控制程序b) 內(nèi)部審核控制程序c) 管理評(píng)審控制程序5. 術(shù)語(yǔ)定義無(wú)6. 控制程序6.1 糾正過(guò)程的管理6.1.1 評(píng)審已存在不合格6.1.1.1 已存在的不合格包括：安全管理不安全因素及發(fā)生的不安全事件；信息安全管理體系運(yùn)行的不合格項(xiàng)；顧客對(duì)服務(wù)的投訴；來(lái)自相關(guān)方的投訴。不合格可分為輕微不合格、一般不合格和嚴(yán)重不合格。6.1.1.2 已存在不合格信息的收集當(dāng)存在下列情況時(shí)，均屬于己發(fā)生的不合格項(xiàng)，必須采取糾正措施：a) 內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的一般不合格、嚴(yán)重不合格項(xiàng)或需重大改進(jìn)問(wèn)題；b) 信息安全管理體系運(yùn)行中出現(xiàn)的不合格項(xiàng)；c) 發(fā)現(xiàn)某一過(guò)程失控。6.1.1.

34、3 文控中心收集內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問(wèn)題，按需要填寫“糾正預(yù)防措施單”，提出糾正措施要求。6.1.1.5 文控中心收集和評(píng)審來(lái)自企業(yè)內(nèi)部員工、各業(yè)務(wù)系統(tǒng)用戶等提出的信息安全相關(guān)的不合格信息，按需要填寫“糾正預(yù)防措施單”，提出糾正和預(yù)防措施要求。6.1.1.6 收集的不合格信息形式可以是：內(nèi)部工作聯(lián)系單，合理化建議和技術(shù)改進(jìn)意見(jiàn)表格，相關(guān)會(huì)議意見(jiàn)，來(lái)自顧客的普通的傳真、電話和口頭建議，相關(guān)的社會(huì)媒體報(bào)道等。對(duì)于已經(jīng)收集到的不合格信息，按照“糾正預(yù)防措施單”進(jìn)行填寫。6.1.2 確定不合格的原因6.1.2.1 責(zé)任部門在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召

35、開(kāi)分析會(huì)，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的原因：a) 規(guī)程、標(biāo)準(zhǔn)及其他程序或規(guī)定不適當(dāng)；b) 人員缺乏培訓(xùn)，安全意識(shí)不強(qiáng)或業(yè)務(wù)水平不夠；c) 工作計(jì)劃控制不良，工時(shí)安排過(guò)緊，過(guò)程控制不當(dāng)；d) 檢驗(yàn)控制不良；e) 人力資源和物質(zhì)資源不足；f) 信息安全方面缺乏相關(guān)設(shè)備配置、技術(shù)手段等；g) 管理不嚴(yán)，缺乏有關(guān)程序規(guī)定等； h) 其他原因。6.1.2.2 對(duì)重大問(wèn)題產(chǎn)生的不合格，必要時(shí)由文控中心報(bào)管理者代表召開(kāi)專門分析會(huì)議，進(jìn)行原因分析，并提出糾正措施方案。6.1.3 確認(rèn)糾正措施計(jì)劃6.1.3.1 責(zé)任部門對(duì)己發(fā)生的不合格或潛在的不合格因素，在充分分析原因的基礎(chǔ)上，應(yīng)制定具體的

36、糾正和預(yù)防措施計(jì)劃，并填寫在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。6.1.3.2 制定糾正措施的計(jì)劃應(yīng)根據(jù)輕微不合格、一般不合格和嚴(yán)重不合格確定計(jì)劃的優(yōu)先順序，對(duì)于嚴(yán)重不合格項(xiàng)，應(yīng)在3個(gè)工作日內(nèi)完成相應(yīng)措施計(jì)劃的制定和落實(shí)；對(duì)于輕微和一般不合格，責(zé)任部門可以結(jié)合日常工作計(jì)劃予以安排、實(shí)施。6.1.3.3 糾正和預(yù)防措施應(yīng)與問(wèn)題的嚴(yán)重性和面臨的安全風(fēng)險(xiǎn)相適應(yīng)。6.1.3.4 對(duì)嚴(yán)重不合格所確定的糾正措施，由文控中心報(bào)請(qǐng)管理者代表召開(kāi)有關(guān)部門參加的專門會(huì)議進(jìn)行評(píng)審，必要時(shí)需進(jìn)行試驗(yàn)驗(yàn)證，糾正措施計(jì)劃必須經(jīng)管理者代表審批，重大項(xiàng)目報(bào)告要報(bào)最高管理者審批。6.1.4 實(shí)施糾正措施6.1.4.1

37、 對(duì)于所有擬訂的糾正措施，在實(shí)施前先通過(guò)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程進(jìn)行評(píng)審。6.1.4.2 責(zé)任部門應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按糾正措施要求對(duì)管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效，以防止不合格再發(fā)生。6.1.4.3 在實(shí)施糾正措施時(shí)，如出現(xiàn)問(wèn)題要及時(shí)向文控中心反映情況，當(dāng)糾正措施完成后，責(zé)任部門應(yīng)將完成情況填寫在“糾正預(yù)防措施單”上。6.1.5 驗(yàn)證所采取的糾正措施6.1.6.1 對(duì)已完成的糾正和預(yù)防措施，文控中心應(yīng)派人進(jìn)行評(píng)審驗(yàn)證，凡經(jīng)證實(shí)改進(jìn)措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正預(yù)防措施單”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門進(jìn)行實(shí)施評(píng)審驗(yàn)證。6.1.6.2 凡發(fā)

38、現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或糾正措施本身存在一定問(wèn)題，則應(yīng)要求部門重新分析原因制定糾正和預(yù)防措施計(jì)劃，按上述過(guò)程再次進(jìn)行，直到糾正措施有效為止。6.1.5.3 凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要更新的規(guī)定，則應(yīng)按文件控制程序規(guī)定進(jìn)行修改或補(bǔ)充。6.1.5.4文控中心匯集整理各部門的“糾正和預(yù)防措施跟蹤記錄”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，在公司相關(guān)會(huì)議上進(jìn)行公布說(shuō)明。6.1.6 記錄所采取措施的結(jié)果6.1.6.1 糾正措施在實(shí)施過(guò)程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)糾正措施的實(shí)施。6.1.6.2 對(duì)糾正措施的實(shí)施，責(zé)任部門要做好各種記錄，記錄按記錄控制程序規(guī)定執(zhí)行。責(zé)任部門

39、應(yīng)提供完成糾正措施及其效果的證實(shí)材料，并在“糾正預(yù)防措施單”上填寫完成情況，并一起報(bào)給文控中心。6.2 預(yù)防措施的管理6.2.1收集潛在的不合格因素6.2.1.1 可能引起潛在的不合格信息的收集當(dāng)存在下列情況時(shí)，應(yīng)考慮是否存在潛在的不合格項(xiàng)發(fā)生的可能性，并采取預(yù)防措施：a) 信息安全例行檢查中發(fā)現(xiàn)的可能引起信息安全類事件發(fā)生的不安全因素；b) 內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的輕微不合格；c) 發(fā)現(xiàn)信息安全管理體系運(yùn)行中有出現(xiàn)不合格項(xiàng)的傾向；d) 發(fā)現(xiàn)某一過(guò)程可能失控。6.2.1.2 各責(zé)任部門收集和評(píng)審本部門的可能發(fā)生不合格的信息，對(duì)未采取預(yù)防措施又確實(shí)需要的按職責(zé)上報(bào)文控中心。6.2.1.3 文控

40、中心收集內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問(wèn)題，按需要填寫“糾正預(yù)防措施單”，提出預(yù)防措施要求。6.2.1.4 收集潛在不合格信息的形式可以是來(lái)自公司內(nèi)部工作聯(lián)系單，公司合理化建議和技術(shù)改進(jìn)意見(jiàn)表格，相關(guān)會(huì)議意見(jiàn)，來(lái)自顧客的普通的傳真、電話和口頭建議，相關(guān)的社會(huì)媒體報(bào)道等。6.2.2 分析和確定潛在不合格的嚴(yán)重程度和原因6.2.2.1 相關(guān)責(zé)任部門在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召開(kāi)分析會(huì)，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的因素。6.2.2.2 對(duì)于可能引起嚴(yán)重不合格產(chǎn)生的因素，必要時(shí)由文控中心報(bào)管理者代表召開(kāi)專門分析會(huì)議，進(jìn)行原因分析，并提出預(yù)防

41、措施和實(shí)施方案。6.2.2.3 對(duì)于可能引起輕微或者一般性不合格的因素，由負(fù)責(zé)部門匯合文控中心進(jìn)行原因分析。6.2.2.4 對(duì)于已經(jīng)確認(rèn)的潛在的不合格因素，應(yīng)確定預(yù)防措施的具體實(shí)施部門，制定具體的預(yù)防措施計(jì)劃，并填寫在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。6.2.2.5 預(yù)防措施應(yīng)與問(wèn)題的嚴(yán)重性和面臨的風(fēng)險(xiǎn)相適應(yīng)，實(shí)施的預(yù)防措施應(yīng)不會(huì)引起新的潛在不合格因素的產(chǎn)生。6.2.3 實(shí)施預(yù)防措施6.2.3.1 對(duì)于所有擬訂的糾正措施計(jì)劃，在實(shí)施前先通過(guò)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程進(jìn)行評(píng)審。6.2.3.2 責(zé)任部門應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按預(yù)防措施要求對(duì)管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效

42、，以防止不合格再發(fā)生。6.2.3.3 在實(shí)施預(yù)防措施時(shí)，如出現(xiàn)問(wèn)題要及時(shí)向文控中心反映情況，當(dāng)預(yù)防措施完成后，責(zé)任部門應(yīng)將完成情況填寫在“糾正預(yù)防措施單”上。6.2.4 驗(yàn)證所采取的預(yù)防措施6.2.4.1 對(duì)已完成的預(yù)防措施，文控中心應(yīng)派人進(jìn)行評(píng)審驗(yàn)證，凡經(jīng)證實(shí)預(yù)防措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正措施計(jì)劃表”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門進(jìn)行實(shí)施評(píng)審驗(yàn)證。6.2.4.2 凡發(fā)現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或預(yù)防措施本身存在一定問(wèn)題，則應(yīng)要求部門重新分析原因制定預(yù)防措施計(jì)劃，按上述過(guò)程再次進(jìn)行，直到預(yù)防措施有效為止。6.2.4.3 凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要

43、更新的規(guī)定，則應(yīng)按文件控制程序規(guī)定進(jìn)行修改或補(bǔ)充。6.2.4.4 預(yù)防措施實(shí)施完成并效果滿意后，文控中心和責(zé)任部門對(duì)所采取的預(yù)防措施、記錄整理存檔，文控中心填寫“糾正和預(yù)防措施跟蹤記錄表”。6.2.4.5 文控中心匯集整理各部門的“糾正和預(yù)防措施跟蹤記錄表”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，并在公司相關(guān)會(huì)議上進(jìn)行公布說(shuō)明。6.2.5 記錄所采取預(yù)防措施的結(jié)果6.2.5.1 預(yù)防措施在實(shí)施過(guò)程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)預(yù)防措施的實(shí)施。6.2.5.2 對(duì)預(yù)防措施的實(shí)施，責(zé)任部門要做好各種記錄，記錄按記錄控制程序規(guī)定執(zhí)行。7. 附件、記錄7.1 糾正預(yù)防措施單信息安全目標(biāo)管理

44、程序文件編號(hào)：ISMS-B-06版 本：A/0頁(yè) 碼：第26頁(yè) 共83頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為確保信息安全管理體系(ISMS)的有效實(shí)施，根據(jù)公司信息安全方針制定信息安全目標(biāo)，并規(guī)定信息安全目標(biāo)的計(jì)算方法，以便于目標(biāo)達(dá)成情況的考核，特制定本程序。2. 范圍本程序適用于本公司的管理體系覆蓋的所有部門。3. 職責(zé)與權(quán)限3.1最高管理者：組織制訂并批準(zhǔn)企業(yè)的信息安全目標(biāo)。 3.2管理者代表：每年組織相關(guān)部

45、門對(duì)信息安全目標(biāo)進(jìn)行統(tǒng)計(jì)、分析。3.3各部門：負(fù)責(zé)與本部門相關(guān)的信息安全目標(biāo)的統(tǒng)計(jì)、分析，當(dāng)目標(biāo)不能達(dá)標(biāo)時(shí)，進(jìn)行原因分析并進(jìn)行改進(jìn)。 4. 相關(guān)文件a) 信息安全管理手冊(cè)b) 信息安全事件管理程序5. 術(shù)語(yǔ)定義無(wú) 6. 控制程序6.1本公司信息安全目標(biāo)1)安全事件發(fā)生次數(shù)：重大安全事件目標(biāo)值：0次/年 ，較大安全事件目標(biāo)值：不大于 4次/年，一般安全事件目標(biāo)值：不大于8次/年。2)信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保秘密、機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年6.2各部門信息安全目標(biāo)部 門部門信息安全目標(biāo)完成目標(biāo)的措施監(jiān)測(cè)頻率人力資源部1

46、、培訓(xùn)實(shí)施率100%2、培訓(xùn)合格率90%3、重要設(shè)備盤點(diǎn)范圍達(dá)到100%。4、重要崗位人員保密協(xié)議簽訂率100%5、人員離崗交接核實(shí)率100%1、制訂培訓(xùn)計(jì)劃并實(shí)施；2、培訓(xùn)完畢即進(jìn)行相應(yīng)的評(píng)審或考核；3、以實(shí)際盤點(diǎn)表中的數(shù)據(jù)為準(zhǔn)。4、與重要崗位人員簽訂保密協(xié)議5、對(duì)于離崗人員要及時(shí)進(jìn)行交接確認(rèn)1年體系中心1、 部門數(shù)據(jù)泄露次數(shù)為02、 非授權(quán)人員禁止訪問(wèn)部門敏感數(shù)據(jù)4、信息安全內(nèi)審如期完成5、信息安全內(nèi)審及管理評(píng)審資料齊全6、文件100%經(jīng)批準(zhǔn)才發(fā)布；1、 由部門管理人員檢測(cè)文件數(shù)據(jù)的安全性2、 由部門經(jīng)理核準(zhǔn)訪問(wèn)數(shù)據(jù)人員的身份信息3、按照信息安全年度內(nèi)審計(jì)劃執(zhí)行；4、及時(shí)整理信息安全內(nèi)審及

47、管理評(píng)審資料；5、及時(shí)發(fā)布在用文件清單。1年信息管理部1、網(wǎng)絡(luò)非正常中斷每月1次。2、主機(jī)系統(tǒng)非正常中斷每月1次。3、IT設(shè)備大面積病毒爆發(fā)不超過(guò)2起。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)3、以每月的網(wǎng)絡(luò)病毒安全事件為依據(jù)1年生產(chǎn)部1、部門數(shù)據(jù)泄露次數(shù)為02、非授權(quán)人員禁止訪問(wèn)部門敏感數(shù)據(jù)1、由部門經(jīng)理監(jiān)督銷售人員其履行職責(zé)情況；2、每月對(duì)客戶資料進(jìn)行核查，發(fā)現(xiàn)問(wèn)題及時(shí)改正。1年6.3數(shù)據(jù)收集、提供、統(tǒng)計(jì)和分析6.3.1在每年年底前，以上部門將本部門統(tǒng)計(jì)好的數(shù)據(jù)提交給信息安全委員會(huì)，由信息安全委員會(huì)進(jìn)行匯總。6.3.2對(duì)于未達(dá)成信息安全目標(biāo)的，相關(guān)部門要進(jìn)行原因分析

48、，并提解決辦法；對(duì)于連續(xù)未達(dá)成目標(biāo)的，要按照糾正預(yù)防措施程序進(jìn)行糾正和預(yù)防處理。7 附件、記錄7.1 信息安全目標(biāo)統(tǒng)計(jì)表信息安全風(fēng)險(xiǎn)評(píng)估控制程序文件編號(hào)：ISMS-B-07版 本：A/0頁(yè) 碼：第30頁(yè) 共83頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：r 市場(chǎng)中心r 項(xiàng)目中心r 模具中心r 采購(gòu)部r 品質(zhì)中心r 貨倉(cāng)課r 財(cái)務(wù)部r 總經(jīng)辦r 人力資源中心r 設(shè)備課r 計(jì)劃部r 生產(chǎn)中心1. 目的為規(guī)范公司的信息資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估的方法，以便在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將信息安全風(fēng)險(xiǎn)控制在可接受的水平，特制定本程序。2. 范圍本程

49、序適用于本公司信息安全管理體系范圍內(nèi)信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。3. 職責(zé)與權(quán)限3.1 信息安全委員會(huì)提供信息安全風(fēng)險(xiǎn)管理工作相關(guān)的資源支持及工作指導(dǎo)；對(duì)信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行確認(rèn)，確定可接受風(fēng)險(xiǎn)級(jí)別。3.2 體系中心負(fù)責(zé)組織及協(xié)調(diào)公司各部門實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估及信息安全風(fēng)險(xiǎn)處置，確保風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)處置工作按計(jì)劃執(zhí)行。3.3 各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的風(fēng)險(xiǎn)處置。4. 相關(guān)文件c) 風(fēng)險(xiǎn)評(píng)估方法與準(zhǔn)則5. 術(shù)語(yǔ)定義無(wú) 6. 控制程序6.1 風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備6.1.1 成立風(fēng)險(xiǎn)評(píng)估小組由體系中心牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員應(yīng)包含信息安全重要責(zé)任部門的成員，如體系中心、技術(shù)部等。6.1.2 制定計(jì)劃風(fēng)險(xiǎn)評(píng)估小組確定信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃，并通知各部門。6.2 資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估6.2.1 資產(chǎn)識(shí)別由風(fēng)險(xiǎn)評(píng)估小組成員識(shí)別各部門資產(chǎn)，并進(jìn)行資產(chǎn)賦值，編制信息資產(chǎn)清單。6.2.2 風(fēng)險(xiǎn)評(píng)估針對(duì)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，保留風(fēng)險(xiǎn)評(píng)估記錄，詳