ISO27001-文件控制程序

文件控制程序

目录

1. 目的................................................................................................................................................... 3 2. 范围................................................................................................................................................... 3 3. 职责与权限 ...................................................................................................................................... 3 4. 相关文件........................................................................................................................................... 3 5. 术语定义........................................................................................................................................... 3 6. 控制程序........................................................................................................................................... 4 7. 附件、记录 ...................................................................................................................................... 7

1. 目的

制订本程序以确保公司文件制订、修订、发放、回收、废止，保管均得到有效的管制，使过时作废的文件及时撤离各使用场所，并能随时获得有效之最新版本。

2. 范围

凡属本公司与信息安全管理体系有关的管理文件和资料的制作与管理均适用之。(例如：管理手册、程序文件、作业标准文件、指导书、技术资料、表格、ISO 27001标准有关的文件等)。

3. 职责与权限

3.1 内部文件管制权限表：

文件 阶层 1 2 3 4 文件名称 管理手册 程序文件 作业标准文件 表单 制订 管理者代表 部门主管 承办人员 承办人员 会签 相关部门经理 相关部门经理 审查 管理者代表 管理者代表 管理者代表 核准 总经理 总经理 总经理 管制 单位 综合部 综合部 综合部 综合部 附程序文件一同审查核准 3.2 （策划和运行管理体系所需）外来文件管制权限表

文件类别 厂商客户规范 国家国际标准 法律法规 接收 综合部 综合部 综合部 审查 管理者代表 管理者代表 管理者代表 管制部门 综合部 综合部 综合部 4. 相关文件

a) 记录控制程序

5. 术语定义

5.1 管理手册(一阶文件)：是为让客户或公司员工了解公司信息安全管理体系要项的主要文件。

5.2 程序文件(二阶文件)：就是将如何进行活动的步骤，管制项目及管制结果记录

的一种管理文件。例：管理责任、合约审查、内部审核等质量手册内所订定的各项程序。

5.3 作业标准文件(三阶文件)：为支持管理程序于执行阶段时重要的依据或指导文件。例：作业指导书、检验规范等。

5.4 表单(四阶文件)：表单是为显示管理结果所使用的单据。例：“空白表单”。 5.5 受控文件：受更改控制的文件。

5.6 非受控文件：不受更改控制的文件。(例如：在投标时提供给客户的《管理手册》等)。

6. 控制程序

6.1 文件之制定与修订作业 6.1.1 文件制定需求之时机：

a) 由于各部门运作上之必要而需制定。 b) 由于各部门间为协调之必要而需制定。 c) 内部审核或管理审查决议而需制定。 d) 由于经营政策上之需要，奉上级批示制定。 6.1.2 文件制定、修订：

文件若经稽核单位或制定部门、运作部门认为不合实际需要，需增订修改时，得由提出单位填写文件制修废申请单，经部门经理审核，管理代表核准后，由制定单位研拟增修之。

注：文件首次制定可不用文件修废申请单。 6.1.3 文件之审核、核准与发行：

制订或修订之文件，应由制订者召集单位主管及管理代表研讨，依确保文件之适切性与可操作性。各阶层文件之制订、会签、审查核准依内外部管制权限表执行。

对于外来文件，由权责单位进行审核确认。 6.1.4 文件之分类：

a.依文件性质，公司文件可分为：手册、程序文件、作业标准文件、表单。 依文件管制性，公司文件可分为：受控文件和非受控文件。 6.2 文件编号系统

6.2.1 一级文件之编号原则： XXXX-ISMS-□□

XXXX公司代码，ISMS信息安全管理手册文件，流水号(以01开始) 6.2.2二级文件之编号原则 XXXX-IP-□□

XXXX公司代码，IP信息安全管理程序文件，流水号(以01开始) 6.2.3 三级文件编号原则： XXXX-IW-□□

XXXX公司代码，IW信息安全管理作业指导文件,流水号(以01开始) 6.2.4 四级文件编号原则： XXXX-□□□□-□□

XXXX公司代码，中间为所属上级文件编号，表单文件流水号 6.2.5 版次编号：

一级文件、二级文件、三级文件和四级文件，用A/0版表示首版修改0次，修改一次为A/1…2；每10次增修依序编号B，C…Z。

6.3 文件分发作业

6.3.1综合部依管理代表拟定之分发单位及份数进行复印。

6.3.2 对于受控文件，于每页文件的右下角加盖黑色“受控文件”章，否则于每页文件右下角加盖“非受控文件”章。

6.3.3 综合部依分发单位及份数，将文件分发至各单位，并由接收单位于文件分发签收一览表上签收。

6.3.4 若因客户要求等情况，需求非受控文件，由总经理核准提供并加盖“非受控文件”章。