ISO20000记录控制程序.doc

记录控制程序 目 的 为了对公司工作过程中产生的记录进行控制，保证体系的有效运行，为采取纠正、预防和改进措施提供依据，特制定本程序。 适用范围 本程序适用于公司体系运行规定的所有记录，包括信息安全事件记录（ ISMS运行产生的记录）、IT 服务管理记录（ IT 服务管理体系运行情况证据） 、技术记录（业务活动的证据） 。 职责与权限 3.1 体系建设和维护部门 负责制定各类记录的编码规定； 负责搜集整理并及时更新各部门的记录样本； 负责保存各种记录样本； 负责监督检查各部门记录的规范操作情况。 3.2 各部门 负责本部门产生的记录的填写、收集、标识与保管；及时更新记录的格式； 向体系建设和维护部门提供更新过的最新的记录样本； 3.3 文件管理部门 负责保管各部门超过一年的记录。 程序和工作流程 4.1 记录的定义 记录：阐明所取得的结果或提供所完成活动的证据的文件。记录是一种特殊的文件，一般不允许更改，通常不需要采用控制版本的活动。当表格中填写了内容，表格即成了记录。 4.2 记录的标识 标识一般包含如下要素：编码、编号、记录名称、记录日期、分类代码、部门代码、页码编号（第几页、共几页）等。 各部门根据工作的需要设计各种记录的样式，根据《资产分类及编码说明》关于文件资产的规定对记录进行唯一性编码，对本部门的所有记录进行登记，注明记录名称、记录编码及编号、记录归档后的保存地点、记录保存期限等信息。将最新的索引信息提交一份电子版本给负责体系建设的部门备案。 4.3 记录的填写 记录的填写必须及时、真实、准确、清晰、完整，易于识别和检索。 对 IT 服务管理工作有重要影响的 IT 服务管理记录，或者对信息安全造成严重影响的安全记录，必须有责任人签名。记录的签名必须签全名，不可简化或者缩写。 纸版记录不允许用铅笔填写。 4.4 记录的更改 记录一旦形成，不能随意更改。若发现数据填写错误确需更改时，采用杠改法，即在更改处划一横线，并由更改人在更改处签全名和更改日期。 4.5 记录的整理与归档 各部门按照本部门产生记录文档的数量，每半年或者每一年整理一次记录，编制目录索引，按照时间先后顺序排列，装订成册。 装订好的记录封皮应该标注记录名称、记录起止时间、记录保存期限、记录产生部门等便于检索的信息。做成《内部记录清单》进行管理。 各部门根据工作需要，可以将装订好的记录作为档案交给文件管理部门统一进行管理，也可以方便起见保存在本部门。 各部门的归档记录应由专人负责保管。 4.6 记录的保管 4.6.1 各部门应指定专人对本部门产生的各种记录进行保管。 4.6.2 记录的保管环境需符合文件管理的要求，应干燥通风，防止变质、损坏或丢失。贮存环境湿度太大，容易引起记录纸张的霉变；日照强烈，容易使纸张变脆；接近强电磁场，容易干扰电子媒体的信息；以光盘形式保存的记录应避免碰伤、划伤信息页面的塑料基体。 4.6.3 以电子媒体保管的重要记录应有备份。 4.6.4 记录的保管期限可根据其内容及重要程度而定。一般地，产品和服务的记录保管时 间不少于两年，信息安全管理体系运行记录的保管时间不少于一年。 4.7 记录的销毁 记录的销毁由记录的产生部门提出， 部门负责人签字认可后， 报管理者代表审核， 公司 领导批准后方可实施。记录的销毁由文件管理部门统一执行，方法参见文件销毁方法。 相关支持性文件《文件控制程序》 《资产分类及编码说明》 相关记录 《内部记录清单》 ISO20000 IT 服务管理体系标准理解与实施 ISO20000 IT 服务管理体系标准理解与实施 下载报名表 内训调查表 【课程描述】 随着 IT 专业人士对 ITIL 最佳实践的广泛认可和 IT 服务理念的不断深入， IT 服务管理体系 ISO20000 标准的实施和 认证已成为组织进行 IT 治理和 IT 服务管理的重要手段和方法。 而作为 IT 服务管理体系实施的重要驱动力和手段， 内部审 核不仅是 ISO20000-1:2005 标准的基本要求，同时也是驱动体系有效执行、了解体系差距的重要手段。作为既是体系检查员，又是体系辅导者双重角色的内部审核人员，其能力和表现对体系价值的实现和推广起着关键的作用。 本课程目的就是通过大量的案例练习，对内审员进行全面系统的培训，使内审员了解标准的要求和精髓，理解审核的目的和作用，掌握流程审核的技巧和方法，从而在内审工作中实现由符合性检查到增值性流程审核的价值。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚 ISO20000 管理资料手册 【课程对象】 IT 服务管理人员，欲将 20000 导入组织的人员，在 20000 实施过程中承担内部审核工作的人员，有志于从事 IT 服务管理 工作的人员。 【课程大纲】 第一部分： IT 服