HRBank-ISMS-02-04-V1.0 文件控制管理规定.doc

密级:内部公开 HRBank-ISMS-02-04-V1.0 第 PAGE 1页共 NUMPAGES 6页 文件控制管理规定 总则 为规范科技发展部信息安全管理体系文件的审批、发布、发放、分发、更改、保管和作废等活动的管理和控制，特制定本规定。 本规定适用于科技发展部范围内的所有信息安全管理体系文件控制工作。 术语和定义 本文件采用GB/T 22080-2008/ISO/IEC 27001:2013、GB/T 22081-2008/ISO/IEC 27002:2013的定义和缩写，本文件中需补充说明的定义和缩写如下： （一） 文件：为建立信息安全方针和信息安全管理体系相关要求而采取的一组相互关联和相互作用的要素的描述，包括电子和纸质的形式。 （二） 外来文件：有关的法律、法规，国家、行业或监管机构的标准要求。 （三） 文件控制：指信息安全管理体系所要求的文件得到控制。内容包括： 1. 文件发布前得到批准，以确保文件是充分与适宜的； 2. 必要时对文件进行评审与更新，并再次批准； 3. 确保文件的更改与现行修订状态得到识别； 4. 确保可获得适用文件的相应版本； 5. 确保文件保持清晰，易于识别； 6. 确保外来文件得到识别，并控制其分发； 7. 防止作废文件的非预期使用，若因任何原因需保留作废文件时，应对这些文件进行适当的标识。 组织与职责 科技发展部信息安全工作指挥小组负责本规定的审批、体系一、二级文件及科技发展部范围三级文件的审批。 科技发展部风险管理组负责组织一、二级文件编写与更新，并提交审批、涉及科技发展部范围的三级文件的编写与更新。 各部门负责人或信息安全保障领导小组负责对本部门三级文件的审批。 各部门信息安全管理组负责根据科技发展部发布的相关文件制定，组织本部门三级文件的编写与更新、推广落实发布的信息安全管理体系相关各级文件、本部门信息安全管理体系文件的集中管理。 文件控制管理规定 文件的分类及编号 信息安全管理体系文件可分为以下几类： 1. 一级文件：方针策略性文件； 2. 二级文件：信息安全管理规定类文件； 3. 三级文件：实施细则及操作指南； 4. 四级文件：体系运行记录。 文件的编写格式应遵从统一规范要求，详见《文件编写规范》。 文件的审批和发布 （一） 一、二级文件的审批和发布 科技发展部风险管理组完成文件制定或更新后，需提交科技发展部信息安全工作指挥小组审批和发布。 （二） 三级文件的审批和发布 三级文件应在二级文件的指导下编写。审批发布流程如下： 适用于各部门的三级文件，其编写和更新后，需提交各部门相关责任人或信息安全保障领导小组审批和发布，并报备科技发展部。 文件的分发 （一） 一、二级文件的分发应经科技发展部批准，三级文件的分发应经相关部门批准，分发范围根据文件密级情况确定，详细参考《信息资产安全管理规定》。 （二） 文件分发传递时要确保传输过程中的安全，确保信息不被泄漏或篡改。 文件的评审与修订 （一） 文件负责部门应定期组织对文件的评审和修订，文件评审至少每年进行一次，文件的修订更新版本需要重新提交相关负责人或文件审批部门审批。 （二） 当科技发展部业务发生重大变化、组织架构出现重大调整或法律法规发生变化时，也应酌情进行文件评审，并根据需要对文件进行必要的修订与更新。 （三） 文件的更新应该严格遵守版本控制规则。 文件的保管 （一） 一、二级文件由科技发展部风险管理组负责管理。 （二） 三级文件由各部门自行管理。 （三） 各部门应按照《信息资产安全管理规定》的要求对文件进行管理，并实施相应的安全保护手段，确保： 1. 文件的可用性：用户可以方便、及时获取正确版本的文件； 2. 文件的完整性：文件不会被非授权修改； 3. 文件的保密性：文件不会被非授权分发。 文件的作废 （一） 文件不适用或其被其他文件取代时，该文件应被废除。 （二） 文件的作废需相应审批部门审批后方可执行。 外来文件的管控 外来文件的管控由引入部门负责。 附则 本规定由科技发展部制定、修订和解释。 本规定自发布之日起生效。 附件一： 修订记录 日期(年月日) 版本 描述 作者 审批人 审批日期1.0 发布稿 詹学文 乌传欣