ISO27001文件控制程序

XXX科技有限企业文献控制程序编号：ISMS-B-02版本号：V1.0编制：日期：审核：日期：同意：日期：受控状态1目的为了对信息安全管理文献的编制、审核、同意、标识、发放、管理、使用、评审、更改、修订、作废等过程的实行有效控制，特制定本程序。2范围本程序合用于与信息安全管理体系有关文献的管理与控制。3职责3.1总经理负责同意信息安全管理文献的制定、修订计划，负责同意《信息安全管理手册》（含信息安全方针）和《信息安全合用性申明》。3.2管理者代表负责审定信息安全管理文献，负责同意信息安全程序文献和作业文献。3.3综合管理部负责信息安全管理文献的归口管理。负责组织信息安全管理文献的制定、修订和评审等管理工作。负责信息安全管理文献的标识、作废、回收等平常工作。4有关文献《信息安全管理手册》《信息安全合用性申明》《商业秘密管理程序》《信息安全法律法规管理程序》5程序5.1管理内容与规定5.1.1文献分类信息安全管理文献：《信息安全管理手册》（含信息安全方针、方针文献、目的文献、信息安全合用性申明）；信息安全管理程序文献；信息安全管理作业文献；信息安全管理登记表格。其他文献：多种媒介加载的多种格式的非纸质性文献；信息安全法律法规及设备阐明书、国标等来自企业外部的文献。

5.2文献编制和修订5.2.1规定信息安全管理文献编制和修订前，编制人员充足理解有关方的规定和信息，广泛搜集有关的文献和资料。作为文献编写的根据，应重点考虑如下几种方面：有关的法律法规规定，国标、行业原则、地方原则的规定，尤其是强制性原则的规定，上级主管部门颁发的原则、规章、规定等。对客户和其他有关方的协议和承诺，客户与其他有关方的需求和期望方面的信息。国内外同行先进水平和发展方向的信息。本组织既有的有关文献，领导的意图和规定。内容应与组织的实际状况相适应，并保证文献在既有的资源条件下，能得到有效实行。5.2.2文献编制部门信息安全管理文献由信息安全小组组织，有关职能部门参与进行编制。技术原则由产品研发部负责，各有关部门参与。筹划的管理方案和管理活动的检查考核记录及其他管理、技术文献由有关职能部门、单位编制。5.3文献审批5.3.1审批信息安全管理文献公布前须经审批。5.3.2权限信息安全管理文献的审批权限如下：《信息安全管理手册》（含信息安全方针、方针文献、目的文献、信息安全合用性申明）由总经理同意公布。信息安全程序文献和作业文献由职能部门组织审核，管理者代表审核，总经理同意公布。筹划的管理方案由职能部门组织审核，管理者代表审核，总经理同意公布。其他管理、技术作业和有关支持性文献由归口管理部门负责审核，部门负责人审核同意。5.4文献标识为保证在使用处获得合用文献的有效版本，文献均要有明确的标识，包括文献编号、版本号、分发号、公布和实行日期、密级等。信息安全管理文献编号规则如下：SANDSTONE-ISMS-A-01《信息安全管理手册》SANDSTONE-ISMS-A-02《信息安全合用性申明》SANDSTONE-ISMS-B-XX程序文献SANDSTONE-ISMS-C-XX作业文献ISMS-D-XX-XX登记表单涉密文献应按《商业秘密管理程序》的规定分类并标识。5.5文献发放文献审批后,综合管理部登记并制定《信息安全文献一览表》和《文献发放/回收一览表》，按《文献发放/回收一览表》规定的范围进行发放。文献发放时，综合管理部应在文献第一页注明发放部门和公布日期。并标上“受控”标识。所发放使用的信息安全管理体系文献均为受控文献，各文献使用部门严格保管，不得外借和复制，并保持文献清晰、易于识别。5.6文献的更改及版本管理当文献的目前内容和实行动作不一致时，综合管理部提出更改文献规定，由文献对口部门和综合管理部人员阐明原因，填写《文献修改告知单》，经原审批部门同意后，由文献归口管理部门进行修改。版本号规定：初次公布的文献，版本号以1.0作为标识，当文献发生修改时，版本号如下列方式进行编制：修改内容不超过20%时，版本号以0.1位依次递进，例：1.1；1.2……1.9；1.10；1.11以此类推；修改内容超过20%时,版本号以1.0位依次递进,例:1.0,2.0。文献按文献修改告知单上的内容进行修改，并更新变更履历，变更后由综合管理部进行审核，总经理同意，保证所有文献更改到位。对已通过期，不合用本组织业务程序的文档，要进行“报废”处理；针对电子档文献需在首页打上“报废”水印，在变更履历中注明“报废”原因；针对纸质文献，盖上“作废”章,并及时销毁处理。5.7文献的评审当出现如下状况，综合管理部应组织对文献进行评审、必要时予以更新并再次同意：信息安全管理体系构造发生重大变化时；信息安全管理体系原则发生重大变化时；组织构造发生重大变化时；信息安全活动、流程发生重大变化时。5.8外来文献的控制组织的外来文献包括与运行维护有关的国家、地方、行业的法律、法规、部门规章、原则，体现客户有关规定的文献等。组织的外来文献由综合管理部负责登记在《外来文献清单》上，《外来文献清单》应注明分布部门，以供使用者查阅。对外来法律法规文献，按《信息安全法律法规管理程序》控制。综合管理部须对受控中的外来文献进行编号管理，以便于查看。5.9文献的销毁若受控文献已不在适合本组织时，可对文献进行“回收”处理，鉴定文献与否可被销毁，可以在信息安全内部审核或管理评审时提出，由综合管理部组员表决，总经理同意。假如文献被同意销毁，综合管理部需重新修改《信息安全文献一