文件控制程序（ISO27001-2013）

文件控制程序目录TOC\o"1-3"\h\z1.目的和范围 22.引用文件 23.职责和权限 24.管理内容及控制要求 24.1文件的分类 24.2文件编制 34.3文件标识 34.4文件的发放 54.5文件的控制 54.6文件的更改 54.6.1文件更改申请 54.6.2文件更改的审批或评审 54.6.3文件更改的实施 54.6.4版本控制 64.7文件的评审 64.8文件的作废 64.9外来文件的管理 74.10文件的归档 75.相关记录 7

目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。本制度适用于信息安全管理体系文件的管理。2.引用文件《合规性实施制度》《信息资产分类分级管理制度》3.职责和权限总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。各部门：负责本部门信息安全管理文件的管理与控制。4.管理内容及控制要求文件的分类信息安全管理体系文件主要包括：第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；第二层：制度文件；第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；第四层：记录、表单。记录控制执行《记录控制制度》。文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。文件编号由总经办统一管理，文件编号方法如下：其中：文件密级F1一级文件（绝密）F2二级文件（机密）F3三级文件（秘密）F4四级文件（内部公开）F5五级文件（公开）层次号A手册B制度文件C流程和管理规定D表单部门总经办财务部行政部人力资源部商务采购部等文件顺序号从000～999，层次号改变，顺序号改变。版本号Vm.n--m为修订年度顺序号，n为年内修订次数。如起始版本为V1.0，表示首次发布当年未修订。文件的发放所有体系文件由相关文档负责人负责维护，经审批后以邮件进行发布或修订通知。确保所有相关人员能够查阅、获得现行有效版本的文件和资料。文件的控制文件领用人应对领用的文件加以妥善保管和使用。所有文件，按密级管理规定发放，F1-F4类文件需填写《内部人员借阅文件登记表》/《向第三方人员提供材料申请表》经审批同意后方可进行打印、复印或对外交流、外借或外送。其中F4类文件需负责部门经理/总监签字；F3类文件需负责部门副总签字；F1-F2类文件需总经理签字。调到与信息安全无关岗位的，原使用文件由其直属部门领导负责收回。总经办为确保文件的有效性，每年发布一次现行有效的《信息安全体系文件管理矩阵表》，及时调整新增和作废文件。文件的更改文件更改申请文件更改提出者或提出部门填写《文件变更审批表》，说明更改原因。文件更改的审批或评审由文件的原审批人对文件的更改申请进行审批，当原审批人不在岗时应由其接替者审批。文件更改的实施文件更改被批准后，应由信息安全工作小组指定相关人员负责实施更改。更改后的文件按照原审批程序进行审批，批准后的原件仍送交总经办保存管理，由总经办在原发放范围和发放方式的基础上进行更改和发布，并公布《文件变更审批表》，保证相关人员能了解到变更的内容。版本控制文档未发布前，版本号小于1.0；正式发布的版本号为1.0；发布后根据需要版本号可以升级为1.1，1.2……或2.0，3.0……。文档局部或文字上的修改只升级小数点后的版本号，文档结构发生重大的修改或相关政策的重大升级则进行大版本升级，如2.0等。文件的评审文件的评审条件当使用部门提出需要更改时；出现不合格与文件有关时；其它对文件的适宜性有异议时。一、二、三级文档的修改由总经理进行审批，四级文档由信息安全管理者代表进行审批。文件的作废纸制文件不保留时，必须用碎纸机进行粉碎，不得随意丢弃或当废品出售。有参考或保留价值的文件可以存档，存档的文件应该有明确的标识，以防止其误用。文件作废时,应由总经办发布该文件作废,以防止误用。外来文件的管理各部门按《合规性实施制度》要求对外来相关文件进行收集、管理和使用。文件的归档需要归