《02文件控制程序.docx》由会员分享,可在线阅读,更多相关《02文件控制程序.docx(5页珍藏版)》请在第壹文秘上搜索。
1、目录目录11目的22范围23职责24相关文件25程序26记录51目的为了对信息技术服务、信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制,特制定本程序。2范围本程序适用于文件管理。3职责3.1管理者代表负责审定信息技术服务、信息安全管理文件,负责批准信息安全程序文件和作业文件。负责批准信息技术服务、信息安全管理文件的制订、修订计划,负责批准信息技术服务与信息安全管理体系(含信息安全方针)和信息安全适用性声明4相关文件信息技术服务与信息安全管理体系信息安全适用性声明商业秘密管理程序信息安全法律法规管理程序5程序5.1 管理内容与要求5.1.1
2、 文件分类管理文件:a)信息技术服务与信息安全管理体系(含信息安全方针、方针文件、目标文件、信息安全适用性声明);b)管理程序文件;c)管理作业文件;d)策划的管理方案、管理记录表格。其他文件:a)法律法规及其他文件;b)生产、经营、管理、检查与考核记录;c)往来文件。5.2 文件编制和修订5.2.1 要求管理文件编制和修订前,编制人员充分了解相关方的要求和信息,广泛收集有关的文件和资料。作为文件编写的依据,应重点考虑以下几个方面:a)相关的法律法规要求,国家标准、行业标准、地方标准的要求,尤其是强制性标准的要求,上级主管部门颁发的标准、规章、规定等。b)对客户和其他相关方的合同和承诺,客户与
3、其他相关方的需求和期望方面的信息。c)国内外同行先进水平和发展方向的信息。d)本组织现有的有关文件,领导的意图和要求。e)内容应与组织的实际情况相适应,并保证文件在现有的资源条件下,能得到有效实施。5.2.2 文件编制部门a)管理文件由信息小组组织,相关职能部门参与进行编制。b)技术标准由相关财务部门负责,各相关部门参与。c)策划的管理方案和管理活动的检查考核记录及其他管理、技术文件由相关职能部门、单位编制。5.3 文件审批5.3.1 审批管理文件发布前须经审批。5.3.2 权限管理文件的审批权限如下:a)信息技术服务与信息安全管理体系(含方针、方针文件、目标文件、信息安全适用性声明)由管理者
4、代表批准发布。b)程序文件和作业文件由职能部门组织审核,财务部审核,管理者代表批准发布。c)策划的管理方案由职能部门组织审核,财务部审核,管理者代表批准发布。d)其他管理、技术作业和相关支持性文件由归口财务部门负责审核,部门负责人审核批准。5.4 文件标识为确保在使用处获得适用文件的有效版本,文件均要有明确的标识,包括文件编号、版本号、分发号、发布和实施日期等。管理文件编号规则如下:XA-ITSaiSMS-A-Ol信息技术服务与信息安全管理体系XA-ISMS-A-02信息安全适用性声明XA-ITS&ISMS-B-XX服务与信息安全程序文件(含QMS共用文件)XA-ITMS-C-XX/XA-IS
5、MS-C-XX服务/信息安全作业文件、策略XA-ITMS-B-XX-XXX/XA-ISMS-B-XX-XXX服务/信息安全记录表单涉密文件应按商业秘密管理程序的规定分类并标识。5.5 文件发放文件审批后,登记并制定信息安全文件一览表和文件发放/回收一览表,按文件发放/回收一览表规定的范围进行发放。文件发放时,应在文件第一页注明发放部门和发布日期。并标上“受控”标识。所发放使用的信息安全管理体系文件均为受控文件,各文件使用部门严格保管,不得外借和复制,并保持文件清晰、易于识别。5.6 文件的更改及版本管理当文件的当前内容和实施动作不一致时,财务部提出更改文件要求,由文件对口部门和财务部人员说明原
6、因,填写文件修改通知单,经原审批部门批准后,由文件归口财务部门进行修改。版本号规定:初次发布的文件,版本号以A/1作为标识,当文件发生修改时,版本号以下列方式进行编制:a)修改内容不超过20%时,版本号以A/1位依次递进,例:A/1;A/2A/9;A/10;A/11以此类推;b)修改内容超过20%时,版本号以A/1位依次递进,例:A/1,B0o文件按文件修改通知单上的内容进行修改,并更新变更记录,变更后由信息安全组长进行审核,管理者代表批准,确保所有文件更改到位。对已经过期,不适用本组织业务程序的文档,要进行“报废”处理;针对电子档文件需在首页打上“报废”水印,在变更履历中注明“报废”原因;针
7、对纸质文件,盖上“作废”章。5.7 文件的评审当出现以下情况,财务部应组织对文件进行评审、必要时予以更新并再次批准:a)管理体系结构发生重大变化时;b)管理体系标准发生重大变化时;c)组织结构发生重大变化时;d)活动、流程发生重大变化时。5.8 外来文件的控制组织的外来文件包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、标准,体现客户有关要求的文件等。组织的外来文件由文件接收负责登记在外来文件清单上,外来文件清单应注明分布部门,以供使用者查阅。对外来法律法规文件,按法律法规管理程序控制。各部门对受控中的外来文件进行编号管理,以便于查看。5.9 文件的销毁若受控文件已不在适合本组织时,可对文件进行“回收”处理,判定文件是否可被销毁,可以在信息安全内部审核或管理评审时提出,由财务部成员表决,管理者代表批准。如果文件被批准销毁,财务部成员需重新修改文件一览表、并将最新信息登记到文件发放/同收一览表。电子文件可以仍然保存在服务器中,但名称中要加入“作废”标记;同时,文件的“受控”标识也要改为“作废”标识。6记录文件一览表文件发放/回收一览表外来文件清单