ISO27001:2013信息安全管理体系一整套程序
第 1 页 共 163 页
ISO27001:2013信息安全管理体系一整套程序
文件控制制度
目 录
1.目的和范围 ................................................................................................................................ 3 2.引用文件.................................................................................................................................... 3 3.职责和权限 ................................................................................................................................ 3 4.管理内容及控制要求 ................................................................................................................ 3 4.1文件的分类 ............................................................................................................................. 3 4.2文件编制 ................................................................................................................................. 3 4.3文件标识 ................................................................................................................................. 4 4.4文件的发放 ............................................................................................................................. 5 4.5文件的控制 ............................................................................................................................. 5 4.6文件的更改 ............................................................................................................................. 5 4.6.1文件更改申请 ...................................................................................................................... 5 4.6.2文件更改的审批或评审 ...................................................................................................... 5 4.6.3文件更改的实施 .................................................................................................................. 6 4.6.4版本控制 .............................................................................................................................. 6 4.7文件的评审 ............................................................................................................................. 6 4.8文件的作废 ............................................................................................................................. 6 4.9外来文件的管理 ..................................................................................................................... 6 4.10文件的归档 ........................................................................................................................... 6 5.相关记录.................................................................................................................................... 7
第 2 页 共 163 页
ISO27001:2013信息安全管理体系一整套程序
1. 目的和范围
为了有效控制信息安全管理体系文件,对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制,确保部门使用现行的有效版本,特制订本制度。
本制度适用于信息安全管理体系文件的管理。 2. 引用文件
1) 《合规性实施制度》
2) 《信息资产分类分级管理制度》 3.职责和权限
1) 总经办是信息安全管理体系文件的归口部门,负责信息安全有关的所有
文件的管理与控制。
2) 各部门:负责本部门信息安全管理文件的管理与控制。 4.管理内容及控制要求 4.1 文件的分类
信息安全管理体系文件主要包括:
1) 第一层:信息安全管理手册、信息安全目标、信息安全适用性声明(SOA)、
信息安全策略; 2) 第二层:制度文件;
3) 第三层:各管理规定、管理办法、流程、作业指导书(指南)及外来文
件等;
4) 第四层:记录、表单。记录控制执行《记录控制制度》。 4.2
文件编制
文件编制要有充分的依据,体现系统协调,可操作、可检查的原则。 1) 第一层:信息安全管理手册由体系负责人组织编写,信息安全管理者代
表审核,总经理批准发布。
第 3 页 共 163 页
ISO27001:2013信息安全管理体系一整套程序
2) 第二、三层:由相关责任部门编写,信息安全管理者代表审核,总经理
批准发布。
3) 第四层:由相关责任部门编写,文档负责人审批,信息安全管理者代表
批准发布。
4.3
文件标识
所有文件必须有明确的标识,包括:文件的名称、编号、版本号、密级标识等。
文件编号由总经办统一管理,文件编号方法如下: 其中: 1) 文件密级
? F1 一级文件(绝密) ? F2 二级文件(机密) ? F3 三级文件(秘密) ? F4 四级文件(内部公开) ? F5 五级文件(公开) 2) 层次号 ? A 手册 ? B 制度文件 ? C 流程和管理规定 ? D 表单 3) 部门 ? 总经办 ? 财务部 ? 行政部 ? 人力资源部
第 4 页 共 163 页
相关推荐: