22080-2016 ISO27001-2013信息安全管理体系程序文件.pdf

原创作者：李柏伦 翻版盗卖必追究责任 原创作者：李柏伦 翻版盗卖必追究责任 22080-2016 ISO27001-2013信息安全管理 体系程序文件 1 253 第 页 共 页 原创作者：李柏伦 翻版盗卖必追究责任 目 录 文件控制程序 记录控制程序 内审程序 管理评审程序 信息安全风险评估控制程序 信息安全组织控制程序 人力资源管理控制程序 资产管理控制程序 访问控制程序 密码控制程序 物理和环境安全控制程序 操作运行安全控制程序 通信安全控制程序 信息系统获取、开发及维护控制程序 供应商管理控制程序 信息安全事件控制程序 业务连续性控制程序 法律法规及其他要求符合性控制程序 信息安全目标及有效性测量控制程序 纠正和预防控制程序 2 253 第 页 共 页 原创作者：李柏伦 翻版盗卖必追究责任 文件控制程序 目 录 1.目的和范围3 2.引用文件4 3.职责和权限4 4.管理内容及控制要求4 4.1文件的分类4 4.2文件编制4 4.3文件标识4 4.4文件的发放6 4.5文件的控制6 4.6文件的更改6 4.6.1文件更改申请6 4.6.2文件更改的审批或评审6 4.6.3文件更改的实施6 4.6.4版本控制6 4.7文件的评审7 4.8文件的作废7 4.9外来文件的管理7 4.10文件的归档7 5.相关记录7 目的和范围 为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、 发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使 用现行的有效版本，特制订本制度。 本制度适用于信息安全管理体系文件的管理。 3 253 第 页 共 页 原创作者：李柏伦 翻版盗卖必追究责任 1.引用文件 1) 《合规性实施制度》 2) 《信息资产分类分级管理制度》 2.职责和权限 1) 总裁办是信息安全管理体系文件的归口部门，负责信息安全有关的所有 文件的管理与控制。 2) 各部门：负责本部门信息安全管理文件的管理与控制。 3.管理内容及控制要求 4.1文件的分类 信息安全管理体系文件主要包括： 1) 第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、 信息安全策略； 2) 第二层：制度文件； 3) 第三层：各管理规定、管理办法、流程、作业指导书 （指南）及外来文 件等； 4) 第四层：记录、表单。记录控制执行 《记录控制制度》。 4.2文件编制 文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。 1) 第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代 表审核，总经理批准发布。 2) 第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理 批准发布。 3) 第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表 批准发布。 4.3文件标识 所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识 等。