ISO27001信息安全管理体系全套程序文件(6)

东莞市有限公司 ISMS-COP01

3 标准类文件 包括国家、地方、行业颁发的有关信息安全的各类技术规范、标准、标准图集、定额以及物理环境方面的规定等 承包合同、分包合同、物资采购合同、租赁合同、经济技术责任状、信息安全协议等 厂房、宿舍楼、办公楼竣工图纸等 包括当地政府或上级主管部门下发的与信息安全管理体系有关的文件，还包括业主、分包商、供应商等方面有关体系方面的往来文件 包括信息安全管理体系运行中的各类数据记录 本公司与信息安全有关的系统文件包括： 7) 系统操作手册； 8) 关键商业作业流程； 9) 网络系统拓扑结构图； 10) 访问授权说明书及授权登记表； 11) ISMS体系文件； 12) 监视系统网络图； 13) 其它系统文件。 4 合同类文件 5 图纸类文件 6 外来文件 7 运行记录 8 系统文件 5.3 文件的批准、发布和标识

5.3.1《信息安全管理手册》由信息安全管理委员会编写，管理者代表审核，最高管理者批准发布。

5.3.2程序文件和三层文件在办公室组织下由主管该程序的职能部门或指定相关责任人代表本部门编写，部门负责人审核，管理者代表批准发布。

5.3.3信息安全计划和施工技术指导性文件的编写、审核、批准，按照公司按照国家颁布的信息安全方面的法律法规进行编写。

5.3.4 其他管理文件由编写该文件的部门负责人审核，公司主管领导批准。

5.3.5《信息安全管理手册》和程序文件都应标识清楚文件的名称、编号、版本、制文时间、发布部门和日期等。

5.3.6公司内行政文件的发文程序。文件编写部门在文件定稿以后，填写《文件审批接收单》，标明文件名称、编号、份数、说明、主办单位、接受部门，经部门领导审核签字后交办公室，办公室根据文件内容送有关领导签发，填写发文编号打印后，加盖印章发出。

5.3.7外来文件的管理程序。凡发到公司的与信息安全和有关的外来文件均由办公室负责签收、登记、分类，由办公室先送公司有关领导阅批，再根据领导批示的内容，送有关部门阅办或转发基层单位，有关部门阅办或转发以后，其文件原件一律由公司办公室收回并存档案

第26页 共106页

东莞市有限公司 ISMS-COP01

室。各部门收到的外来文件，应交办公室处理；凡地方有关部门或顾客直接发到各职能部门与信息安全和有关的文件资料，各职能部门对照公司文件控制管理工作程序进行文书处理。

5.4 文件的收发管理及使用

5.4.1公司办公室设专职人员负责文件的收发、管理、更改和作废文件的处置。 5.4.2文件发放时应确定发放范围，办理发放手续，建立发放台帐。

5.4.3凡进入本单位、本部门的文件均要进行收文登记；凡发到下级单位或个人的文件均要妥善保管，严防丢失和污损，确保文件清晰，易于识别；凡需归档的文件，要按《记录管理程序》执行。

5.4.4办公室负责汇总编制公司受控文件总清单，由管理者代表审批。

5.4.5各职能部门都要根据本部门、本单位的实际建立文件清单，以便对文件进行动态的管理。

5.4.6文件不得随意自行复印，如需要时使用者应办理复印审批手续，经文件主控部门批准后方可复印，复印的文件与原文同等发放管理。

5.4.7文件使用者变动为与原岗位无关的岗位或调出本单位时，其使用的文件须办理交接，并填写文件交接单。

5.5 文件评审和修改

5.5.1在文件实施过程中，各职能部门应及时收集不适宜之处，及时上报主编单位，由原文件审批人决定是否进行更改。《信息安全管理手册》、程序文件每年在内审时由办公室组织有关部门进行文件的评审，必要时予以修订。

5.5.2文件在评审中决定需要更改时，必须由该文件的编写单位填写审批单，经主管领导批准后下达《文件审批接收单》，各级文件管理人员按通知要求进行更改，并将更改的情况写到文件变更记录页上。

5.5.3文件清单中列出的文件应为有效文件，并确保文件的更改和修订状态得到识别。

5.6 文件的作废处置

5.6.1文件作废时，由发文单位下发《文件审批接收单》，持有文件的各部门、各单位和人员在接到作废通知单后，应及时撤出作废文件，标示后妥善保存或销毁，电子文件应在文件名后标注“作废”，防止作废文件的非预期使用。

6. 相关支持性文件

? 《记录管理程序》

第27页 共106页

东莞市有限公司 ISMS-COP01

7. 记录

记录名称 《文件审批接收单》 《受控文件和资料发放清单》

保存部门 办公室 办公室 保存期限 2年 3年 东莞市有限公司

事故、事件、薄弱点与

故障管理程序

文件编号：ISMS-COP06 编写：信息安全管理委员会 审核： 批准：陈世胜

状态：受控 2018年05月10日 2018年05月10日 2018年05月12日

第28页 共106页

东莞市有限公司 ISMS-COP01

发布版次：A/0版 生效日期： 分发：各部门

2018年05月12日 2018年05月18日 接受部门：各部门

编写 审核 批准 变 更 记 录

变更日期 版本 A/0 变更说明 初始版本

第29页 共106页

东莞市有限公司 ISMS-COP01

事故、事件、薄弱点与故障管理程序

1 适用

本程序适用于公司信息安全事故、事件、薄弱点、故障和风险处置的管理。

2 目的

为建立一个适当信息安全事故、事件、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。

3 职责

3.1各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。

各系统信息安全归口管理部门

系统和相关信息 绘图、防伪、出版系统 喷墨印刷 检测系统 财务系统

信息安全归口部门 设计部 办公室协助参与火灾、雷击、供电、印刷厂及各车间 质量部 财务部 盗窃、洪水等相关的信息安全风险的整体调查、处理和纠正措施管理。 备注 3.2 各系统使用人员负责相关系统安全事故、事件、薄弱点、故障和风险的评价、处置报告。

第30页 共106页