ISO27001：2013信息安全管理体系一整套程序(1).docx

ISO27001：2013信息安全管理体系一整套程序

第

第PAGE1页共NUMPAGES235页

XXXXXX软件有限公司人性化科技提升业绩

第PAGE1页

第PAGE1页共NUMPAGES11页

文件控制制度

目录

TOC\o1-3\h\z1.目的和范围 2

2.引用文件 2

3.职责和权限 2

4.管理内容及控制要求 2

4.1文件的分类 2

4.2文件编制 3

4.3文件标识 3

4.4文件的发放 5

4.5文件的控制 5

4.6文件的更改 5

4.6.1文件更改申请 5

4.6.2文件更改的审批或评审 5

4.6.3文件更改的实施 5

4.6.4版本控制 6

4.7文件的评审 6

4.8文件的作废 6

4.9外来文件的管理 7

4.10文件的归档 7

5.相关记录 7

目的和范围

为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2.引用文件

《合规性实施制度》

《信息资产分类分级管理制度》

3.职责和权限

总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求

文件的分类

信息安全管理体系文件主要包括：

第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；

第二层：制度文件；

第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；

第四层：记录、表单。记录控制执行《记录控制制度》。

文件编制

文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

文件标识

所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。

文件编号由总经办统一管理，文件编号方法如下：

其中：

文件密级

F1一级文件（绝密）

F2二级文件（机密）

F3三级文件（秘密）

F4四级文件（内部公开）

F5五级文件（公开）

层次号

A手册

B制度文件

C流程和管理规定

D表单

部门

总经办

财务部

行政部

人力资源部

商务采购部等

文件顺序号

从000～999，层次号改变，顺序号改变。

版本号

Vm.n--m为修订年度顺序号，n为年内修订次数。如起始版本为V1.0，表示首次发布当年未修订。

文件的发放

所有体系文件由相关文档负责人负责维护，经审批后以邮件进行发布或修订通知。确保所有相关人员能够查阅、获得现行有效版本的文件和资料。

文件的控制

文件领用人应对领用的文件加以妥善保管和使用。

所有文件，按密级管理规定发放，F1-F4类文件需填写《内部人员借阅文件登记表》/《向第三方人员提供材料申请表》经审批同意后方可进行打印、复印或对外交流、外借或外送。其中F4类文件需负责部门经理/总监签字；F3类文件需负责部门副总签字；F1-F2类文件需总经理签字。

调到与信息安全无关岗位的，原使用文件由其直属部门领导负责收回。

总经办为确保文件的有效性，每年发布一次现行有效的《信息安全体系文件管理矩阵表》，及时调整新增和作废文件。

文件的更改

文件更改申请

文件更改提出者或提出部门填写《文件变更审批表》，说明更改原因。

文件更改的审批或评审

由文件的原审批人对文件的更改申请进行审批，当原审批人不在岗时应由其接替者审批。

文件更改的实施

文件更改被批准后，应由信息安全工作小组指定相关人员负责实施更改。

更改后的文件按照原审批程序进行审批，批准后的原件仍送交总经办保存管理，由总经办在原发放范围和发放方式的基础上进行更改和发布，并公布《文件变更审批表》，保证相关人员能了解到变更的内容。

版本控制

文档未发布前，版本号小于1.0；正式发布的版本号为1.0；发布后根据需要版本号可以升级为1.1，1.2……或2.0，3.0……。文档局部或文字上的修改只升级小数点后的版本号，文档结构发生重大的修改或相关政策的重大升级则进行大版本升级，如2.0等。

文件的评审

文件的评审条件

当使用部门提出需要更改时