ISMS文件和资料管理程序

（ISO27001-2013）
1.目的
对信息安全管理体系所要求的文件进行控制，确保可获得适用文件的有效版本。
2.适用范围
本程序适用于公司各部门的信息安全管理体系有关的文件和资料控制和管理。
3.职责
3.1 人事部负责本程序文件的编制、更改、实施和控制管理；负责外来文件（国家、地方、上级和顾客与信息安全有关的文件和资料）的识别控制和管理。
3.2 信息安全管理委员会负责《信息安全管理手册》的编制、发放、更改和控制管理，负责各程序文件编制工作的指导、印制、发放、更改和控制管理。
3.3 文控中心负责编制规范、标准和标准图等有效版本控制清单，下发到相关部门和单位，并组织对作废版本进行识别；负责重大技术项目施工组织设计编制工作；参与竣工的审核验收工作。
3.4 文控中心负责收集国家颁布的信息安全方面的法律法规并进行有效的控制和管理。
3.5各职能部门负责本部门所管辖的业务和相关的外来文件；以及内部文件资料的识别、控制与管理。
4.文件和资料编号/版本 规定
4.1本公司采用四级层次文件编写法。所有信息安全管理的文件（含记录）均以ISMS作为开头，规定由4或5个数字构成编号。
 首数字代表文件层次：1为手册、2为程序文件、3为作业指导书、4为表格记录；
 第二层次文件中第二位数字全部为0，末两位为自然序号，从01开始往后排序；
 第三层次文件中的第二位和第三位两个数字与第二层次文件的自然序列号相对应，第四或第五个数字为本层次的自然序列号；
 第四层次的文件编号中第二、三两个数字全部对应需要填写此表格的程序文件或作业指导书，后两个数字为自然序列号；。
 
版本及修订号的标注方法：1、2、3层次文件标注在封面。记录作为一种特殊形式的文件，没有标注版本及修订号的时候，默认为A/0版；当记录更新版本及修订号后，需要在记录的标题前增加更新后的版本及修订号，以示区别。
5.工作程序
 
5.2 文件分类(见下表)
序号 文件名称 主要内容
1 法律法规 国家和地方有关信息安全等方面的法律法规
2 公司文件 《信息安全管理手册》、程序文件，与信息安全有关的规章制度及行政文件、管理方案等
3 标准类文件 包括国家、地方、行业颁发的有关信息安全的各类技术规范、标准、标准图集、定额以及物理环境方面的规定等
4 合同类文件 承包合同、分包合同、物资采购合同、租赁合同、经济技术责任状、信息安全协议等
5 图纸类文件 各类施工图纸、设计变更、工程洽商记录等
6 外来文件 包括当地政府或上级主管部门下发的与信息安全管理体系有关的文件，还包括业主、分包商、供应商等方面有关体系方面的往来文件
7 运行记录 包括信息安全管理体系运行中的各类数据记录
8 系统文件 本公司与信息安全有关的系统文件包括：
a) 系统操作手册；
b) 关键商业作业流程；
c) 网络系统拓扑结构图；
d) 访问授权说明书及授权登记表；
e) ISMS体系文件；
f) 监视系统网络图；
g) 其它系统文件。
5.3 文件的批准、发布和标识
5.3.1《信息安全管理手册》由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。
5.3.2程序文件和三层文件在人事部组织下由主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。
5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。
5.3.4 其他管理文件由编写该文件的部门负责人审核，公司主管领导批准。
5.3.5《信息安全管理手册》和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。
5.3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填写《文件审批接收单》，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交人事部，人事部根据文件内容送有关领导签发，填写发文编号打印后，加盖印章发出。
5.3.7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文件均由人事部负责签收、登记、分类，由人事部先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司人事部收回并存档案室。各部门收到的外来文件，应交人事部处理；凡地方有关部门或顾客直接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公司文件控制管理工作程序进行文书处理。
5.4 文件的收发管理及使用
5.4.1公司人事部设专职人员负责文件的收发、管理、更改和作废文件的处置。
5.4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。
5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易于识别；凡需归档的文件，要按ISMS-2006《记录管理程序》执行。
5.4.4人事部负责汇总编制公司受控文件总清单，由管理者代表审批。
5.4.5各职能部门都要根据本部门、本单位的实际建立文件清单，以便对文件进行动态的管理。
5.4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续，经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。
5.4.7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用的文件须办理交接，并填写文件交接单。
5.5 文件评审和修改
5.5.1在文件实施过程中，各职能部门应及时收集不适宜之处，及时上报主编单位，由原文件审批人决定是否进行更改。《信息安全管理手册》、程序文件每年在内审时由人事部组织有关部门进行文件的评审，必要时予以修订。
5.5.2文件在评审中决定需要更改时，必须由该文件的编写单位填写审批单，经主管领导批准后下达《文件审批接收单》，各级文件管理人员按通知要求进行更改，并将更改的情况写到文件变更记录页上。
5.5.3文件清单中列出的文件应为有效文件，并确保文件的更改和修订状态得到识别。
5.6 文件的作废处置
5.6.1文件作废时，由发文单位下发《文件审批接收单》》，持有文件的各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件，标示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作废文件的非预期使用。
6.相关支持性文件
《记录管理程序》
7.记录
《文件审批接收单》
《受控文件和资料发放清单》
★CMMI认证★CCRC认证★ISO27001认证★ITSS认证★CS认证★两化融合认证★重庆CMMI认证★重庆CCRC认证★重庆ISO27001认证★重庆ITSS认证★重庆CS认证★重庆GJB5000A认证★重庆两化融合认证★