信息安全管理體系程序文件-文件管理程序

**************有限公司

信息安全管理體系文件

文件管理程序

ISMS-0001-2017

受控狀態(tài)受才空

版本A/0

編制：審核：批準(zhǔn):

2017-1-10發(fā)布2017-1T0實(shí)施

修訂履歷

版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期

A/0初次發(fā)布

文件管理程序

1目的

對(duì)信息安全管理體系所要求的文件進(jìn)行控制，確?？色@得適用文件的有效版本，

特制定本程序。

2范圍

本程序適用于公司各部門的信息安全管理體系有關(guān)的文件和資料控制和管理。

3職責(zé)

3.1總經(jīng)理

負(fù)責(zé)《信息安全管理手冊(cè)》、《適用性聲明（SOA）》和《程序文件》的批準(zhǔn)。

3.2管理者代表

負(fù)責(zé)《信息安全管理手冊(cè)》和《程序文件》審核工作。

3.3行政財(cái)務(wù)部

3.3.1負(fù)責(zé)本程序文件的編制、更改、實(shí)施和控制管理；負(fù)責(zé)外來(lái)文件（國(guó)家、地方

和顧客與信息安全有關(guān)的文件和資料）的識(shí)別和管理。

3.3.2負(fù)責(zé)《信息安全管理手冊(cè)》的編制、發(fā)放、更改和控制管理，負(fù)責(zé)各程序文件

編制工作的指導(dǎo)、印制、發(fā)放、更改和控制管理。

3.3.3負(fù)責(zé)收集國(guó)家頒布的信息安全方面的法律法規(guī)并進(jìn)行有效的控制和管理。

3.4其他部門

負(fù)責(zé)主管業(yè)務(wù)范圍內(nèi)體系文件的編制、審核、修訂；以及所管轄的業(yè)務(wù)和相關(guān)的

外來(lái)文件、內(nèi)部文件資料的識(shí)別、控制與管理。

4程序

4.1工作流程

文件文件

分類編制

4.2文件的范圍及標(biāo)識(shí)

4.2.1受控文件范圍：

a）信息安全手冊(cè)（包括信息安全方針、信息安全目標(biāo)）、適用性聲明（SOA）、策

略；

b）標(biāo)準(zhǔn)所要求的程序文件；

c）外來(lái)文件；

d）記錄格式。

4.2.2信息安全管理體系文件的標(biāo)識(shí)

4.2.2.1行政財(cái)務(wù)部應(yīng)對(duì)信息安全管理體系文件進(jìn)行標(biāo)識(shí)，標(biāo)識(shí)號(hào)為文件編號(hào)，信息

安全管理手冊(cè)的編號(hào)為ISMS-M-2017,適用性聲明的編號(hào)為ISMS-S0A-2017其他文件

標(biāo)識(shí)號(hào)的編制如下：

ISMS□□□□一□□□□

.-------文件版本號(hào)（年代號(hào)）

------------------文件順序號(hào)

_________________________文件類別號(hào)

----------------------------------企業(yè)信息安全管理文件代號(hào)

4.2.2.2文件類別號(hào)編制為：

一—基礎(chǔ)管理程序文件00;

——信息安全管理體系綜合管理程序文件01；

——信息安全管理體系物理環(huán)境安全管理程序文件02；

一一信息安全管理體系信息系統(tǒng)安全管理程序文件03；

一一信息安全管理體系管理制度Wo

4.2.2.3文件順序號(hào)按01、02、03...........順序編號(hào)。

4.2.2.4涉密文件應(yīng)按《商業(yè)秘密管理程序》的規(guī)定分類并標(biāo)識(shí)。

4.3文件的批準(zhǔn)

4.3.1所有信息安全管理體系文件在發(fā)布前都要審核其正確性、完整性、協(xié)調(diào)性及可

操作性。

4.3.2《信息安全管理手冊(cè)》由行政財(cái)務(wù)部編寫，管理者代表審核，總經(jīng)理批準(zhǔn)；《適

用性聲明（SOA）》由技術(shù)部編寫，管理者代表審核，總經(jīng)理批準(zhǔn)后實(shí)施。

4.3.3程序文件和作業(yè)文件在行政財(cái)務(wù)部組織下由主管該程序的職能部門編寫管理

者代表或部門負(fù)責(zé)人審核，總經(jīng)理批準(zhǔn)發(fā)布。

4.3.4外來(lái)文件的管理程序。凡發(fā)到公司的與信息安全和有關(guān)的外來(lái)文件均由行政財(cái)

務(wù)部負(fù)責(zé)簽收、登記、分類，由行政財(cái)務(wù)部先送公司有關(guān)領(lǐng)導(dǎo)例批，再根據(jù)管理層批

示的內(nèi)容，送有關(guān)部門閱辦或轉(zhuǎn)發(fā)基層單位，有關(guān)部門閱辦或轉(zhuǎn)發(fā)以后，其文件原件

一律由公司行政財(cái)務(wù)部收回并存檔窠室。各部門收到的外來(lái)文件，應(yīng)交行政財(cái)務(wù)部處

理。

4.4文件的發(fā)布

4.4.1信息安全管理體系文件以印制和電子文件兩種形式發(fā)布，電子文件應(yīng)以Word

格式的文檔保護(hù)版發(fā)放到各部門。

4.4.2應(yīng)及時(shí)對(duì)電子文件進(jìn)行更新。

4.4.3印制兩份書(shū)面文件，一份存檔行政財(cái)務(wù)部，一份存檔總經(jīng)理室。如有借閱書(shū)面

文件，需填寫《文件資料借閱申請(qǐng)表》，經(jīng)管理者代表批準(zhǔn)后方可到行政財(cái)務(wù)部借用，

并按照約定期限歸還。

4.4.4信息安全管理體系文件，均為受控文件。文件受控副本由行政財(cái)務(wù)部按《文件

發(fā)放回收登記表》規(guī)定的范圍編號(hào)發(fā)放。《文件發(fā)放回收登記表》應(yīng)經(jīng)管理者代表批

準(zhǔn)。發(fā)放時(shí)由各部門接收人員在《文件發(fā)放回收登記表》上簽字?；厥諘r(shí)由接收人員

在《文件發(fā)放回收登記表》文件回收欄簽收?；厥諘r(shí)應(yīng)填寫回收日期并由回收人員簽

字。特殊情況如需增加發(fā)放范圍須經(jīng)管理者代表批準(zhǔn)。

4.5文件的評(píng)審和更改

4.5.1在文件實(shí)施過(guò)程中，各職能部門應(yīng)及時(shí)收集不適宜之處，及時(shí)上報(bào)頒發(fā)部門，

由原文件審批人決定是否進(jìn)行更改?！豆芾硎謨?cè)》、《程序文件》每年在內(nèi)審時(shí)由行

政財(cái)務(wù)部組織有關(guān)部門進(jìn)行文件的評(píng)審，必要時(shí)予以修訂。

4.5.2文件更改

a.當(dāng)文件和資料需要更改時(shí)，必須由更改人或部門提出《文件更改通知單》，說(shuō)

明更改原因，由文件資料的原審批人審批。原審批人不在原職時(shí)，應(yīng)由接替其職務(wù)的

人員審批。該審批人應(yīng)獲得審批所需依據(jù)及有關(guān)背景資料。

b.文件的版本由大寫英文字母A、B、C等代替，初版為A,以此類推，修改次數(shù)

由阿拉伯?dāng)?shù)字代替，初始狀態(tài)為0,更改標(biāo)記由小寫英文字母1、2、3等表示。文件

的更改一般采取換版、換頁(yè)的方式。當(dāng)文件大部分改動(dòng)時(shí)采取換版；換頁(yè)修改在修改

碼處編號(hào)，1.表示第一次更改,2.表示第二次更改，依次類推；同一處修改滿5次應(yīng)換

版，文件修訂后應(yīng)填寫《文件更改修訂狀態(tài)一覽表》，以明確更改和修訂狀態(tài)。

4.5.3文件審批后，系統(tǒng)管理員負(fù)責(zé)更新電子文檔，行政財(cái)務(wù)部同時(shí)更新書(shū)面文件。

4.5.4作廢的書(shū)面文件由行政財(cái)務(wù)部填寫《文件銷毀記錄》，經(jīng)批準(zhǔn)人批準(zhǔn)后銷毀;

作廢的電子文檔放入作廢文件夾里，或在行政財(cái)務(wù)部的監(jiān)督下直接刪除。

5引用文件

5.1《商業(yè)秘密管理