1、文件管理程序 文件管理程序1 目的为对与信息安全管理体系相关的文件实施有效的控制,特制定本程序。2 范围本程序适用于信息安全管理体系文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的控制要求。3 职责与权限3.1 最高管理者负责信息安全管理手册的批准。3.2 管理者代表负责信息安全管理手册的审核、程序文件的批准工作。3.3 项目及流程管理部信息安全部信息安全管理体系文件的归口管理岗位。负责组织管理手册等体系文件的制订、修订、评审等工作,负责体系文件的标识、发放、更改、作废、回收等日常工作。3.4相关职能部门负责主管业务范围内体系文件的编制、修订等工作。4 程序4.1
2、 文件的分类及标识4.1.1 文件分以下几类: 企业文件:a. 信息安全管理手册;b. 信息安全适用性声明等; c. 程序文件;d. 作业指导书、操作规程等。外来文件:a. 银行金融系统发布的相关文件b. 集团发布的相关文件c. 相关联系方的文件4.1.2 信息安全管理体系文件的标识4.1.2.1信息安全管理体系程序文件由行政人员项目及流程管理部负责人负责进行标识,每一文件均应有标识号,文件标识号的编制如下: ISMS 用于体系1级和2级文件ISMS GK 用于记录文件记录文件顺序号体系文件顺序号体系文件大类号文件版本号企业代号4.1.2.2企业代号一般采用企业的英文或拼音缩写来表示,如果企业
3、有固定的英文标志应优先采用;4.1.2.3文件版本号用该文件初次形成时的年代来表示;4.1.2.4文件体系大类号用于一级和二级文件,一级用01表示,二级用02表示;4.1.2.5体系文件顺序号采用递增的编号方式,如01-02-03;4.1.2.6记录文件顺序号采用递增的编号方式,如01-02-03;4.1.2.7 涉密文件应按资产识别管理程序的规定分为“公开、内部、秘密、机密”四类。“内部、秘密、机密”的文件为受控文件。标识受控文件采用以下方法:“内部”文件,加盖“受控”章。秘密”文件,根据文件的性质和内容,可选择在文件封面上加盖“受控”章和“秘密”章或是在文件的保存载体上加贴秘密标签“机密”
4、文件,根据文件的性质和内容,可选择在文件封面上加盖“受控”章和“机密”章或是在文件的保存载体上加贴机密标签4.1.3 外来文件的标识外来文件不进行专门标识,但在保存时需和体系文件分开,并可以对存放的容器进行适当的标识。4.2 文件的批准 4.2.1 所有信息安全管理体系文件在发布前都要审核其正确性、完整性、协调性及可操作性。4.2.2 信息安全管理手册、信息安全适用性声明必须由总经理中心副总裁批准后实施。 4.2.3 其他文件由管理者代表批准后实施。 4.3 文件的发放 4.3.1 所有信息安全管理体系文件,均为受控版本,项目及流程管理部负责人行政人员对文件的有效性负责。4.3.2文件受控副本
5、由项目及流程管理部负责人行政人员按资产识别管理程序中规定的授权范围保管,并记录在受控文件清单中。4.3.3 因工作需要借用文件资料的,借用人员应填写文件资料借阅登记表经项目及流程管理部负责人行政人员批准后方可借用。 4.3.4 外来文件涉及到发放、公示等问题,如国家关于节假日放假通知,大楼停水、停电通知等,需要经过公司总经理中心副总裁批准才可以发放给员工或者在公司技术中心内公示。作废后,有相关负责人/部门(一般为项目及流程管理部负责人行政人员)负责回收。4.4 文件的更改4.4.1 当文件和资料需要更改时,必须由更改人或部门提出文件更改通知单,说明更改原因,由文件资料的原审批人审批。原审批人不
6、在原职时,应由接替其职务的人员审批。该审批人应获得审批所需依据及有关背景资料。 4.4.2 文件更改通知单经批准后,对文件应将改动的页次重新印制,在新换页上标明该文件的更改次数,由项目及流程管理部负责人行政人员按文件发放一览表范围进行换页更改,换页时应在有关文件的更改一览表上填写更改记录。 4.4.3文件的正本由项目及流程管理部负责人行政人员存档,对存档的受控文件不编号、更改时不将原作废页次换回,在该页上加盖“作废”章,并按上述规定夹入更改的新页。 4.4.4 文件修订换版时可不填写文件更改通知单,但应经该文件的原批准人员重新审核批准,原审批人不在原职时,应由接替其职务的人员审批。注明新版本号和发布日期,并送发原文件持有人,同时收回作废版本。4.4.5 作废的文件由项目及流程管理部负责人行政人员填写文件销毁记录,经原批准人批准后销毁。 4.4.6项目及流程管理部负责人行政人员在文件内容前面的修改履历中写的版本更新的情况,以表明文件的现行修订状态。5引用文件信息安全管理手册信息安全适用性声明6. 记录受控文件清单文件更改通知单文件销毁记录文件资料借阅登记表 第 3 页 共 5 页