信息安全管理体系记录控制程序

1、管理体系控制程序1.适用本程序适用于本公司产生的的管理。2.目的为支持体系的而明确的管理。3.管理方法3-1保管方法（1）由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当 容器中保管。（2）对保管场所的环境，本程序没有特别指定。由各保管部门考虑适 当处理。的特性做（3）以电子保管的场合，为预防意外，需做适当的备份。备份的安全要求执行信息备份管理程序。（4）保管部门应建立，明确规定保管类别、保存期限等。记录的保存应符合有关的要求，保存期限参考本规格书第 4 条款。（5）因工作需要，借阅其他部门的，应获得保管部门后方可借 阅，并留下只准在现场查阅。和借阅。借阅者在借阅期内应妥善

2、保管，并按期归还（6）的字迹应清晰、真实、文字表达准确、简练，不得随意修改。确需修改时，必须在修改处作标识，并由修改人签名确认。3-2废弃 超过保管期限的，由保管部门作为文件处理废弃。废弃应采用安全可靠的处置 方法（如采用方法、电子采用格式化方法等)，处置应予以保存。 但若保管部门认为必要时，仍可继续保管超出保管期限的。ISO27001管理标准理解及内审员培训ISO27001管理标准理解及内审员培训报名表内训表【课程描述】ISO/IEC27001:2005安全管理体系要求用于组织的管理体系的建立和实施，保障组织的。本课程将详述 ISO 27001:2005/ISO 27002:2005 标准的

3、每一个要求，指导如何管理风险，并附以大量的审核实战案例以作说明。审核部分将以 ISO 19011:2002 为基础，教授学员如何策划和实施管理体系的技巧。审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核【课程帮助】如果你想对本课程有更深入的了解，请参考 ISO27001 内审员相关资料手册【课程对象】管理，欲将ISO27001 导入组织的，在ISO27001 实施过程中承担审核工作的，有志于从事 IT管理工作的。【课程大纲】第一部分：ISO27001：2005概述、标准条款讲解概述：信息及，目标，需求来源，管理。风险评估与管理：风险管理要素，过程，定量与

4、定性风险评估方法，风险消减。ISO/IEC 27001 简介：ISO27001 标准发展历史、现状和主要内容，ISO27001 标准认证。管理实施细则：从十个方面介绍 ISO27001 的各项控制目标和控制措施。管理体系规范：ISO/IEC27001-2005 标准要求内容，PDCA 管理模型，ISMS 建设方法和过程。第二部分：ISO27001：2005管理体系文件建立（ISO27001 与 ISO9001、ISO14001 管理体系如何整合）ISO27001 与 ISO9001、ISO14001 的异同ISO27001 与 ISO9001、ISO14001 可以共用的程序文件和三级文件如何

5、将三体系整合降低公司的体系运行成本ISO9001、ISO14001、ISO27001 体系三合一整合案例分析第三部分：管理体系审核技巧和认证应对案例分析ISO27001：2005 标准对内审员的新要求管理体系认证现场审核的流程、技巧及沟通方法如何应对认证公司的认证审核、监督审核、案例分析合格者颁发“ISO27000管理体系审核员培训合格”4.的分类和保存年限用户3 年技术部用户权限评审记 保持至员工录离职技术部用户逻辑相关审核日志（电子)3 年集成部参见1 年集成部类型保管期限（年)保管部门测试3 年技术部关于合同内容确认的记 质量保合政部录定单集成部供应商变更申请书管理供应商需求单合同质量保行政部 集成部供应商评价表合同结束后 3 年供应商检查表5 年文件管理5 年行政部审核5 年行政部员工教育履历2 年行政部管理评审会议以及纠正措施3 年行政部目标以及分解1 年行政部预防措施影响分析2 年业务持续性计划10 年集成部业务持续性计划测试 10 年集成部报业务持续管理告业务持续性计划评审 3 年集成部报告信息资产识别表3 年集成部重要信息资产3 年行政部重要信息资产评估表3 年集成部风险评估3 年集成部资产识别和风险评估风险处理计划3 年集成部3 年集成部信息事故、异常处理记 纠正措施3 年行政部录信息设备更改申请书3 年集成部变更管理安装/升级