XXX科技有限企業文獻控制程序編號：ISMS-B-02版本號：V1.0編制：日期：審核：日期：同意：日期：受控狀態1目的為了對信息安全管理文獻的編制、審核、同意、標識、發放、管理、使用、評審、更改、修訂、作廢等過程的實行有效控制，特制定本程序。2范圍本程序合用于與信息安全管理體系有關文獻的管理與控制。3職責3.1總經理負責同意信息安全管理文獻的制定、修訂計劃，負責同意《信息安全管理手冊》（含信息安全方針）和《信息安全合用性申明》。3.2管理者代表負責審定信息安全管理文獻，負責同意信息安全程序文獻和作業文獻。3.3綜合管理部負責信息安全管理文獻的歸口管理。負責組織信息安全管理文獻的制定、修訂和評審等管理工作。負責信息安全管理文獻的標識、作廢、回收等平常工作。4有關文獻《信息安全管理手冊》《信息安全合用性申明》《商業秘密管理程序》《信息安全法律法規管理程序》5程序5.1管理內容與規定5.1.1文獻分類信息安全管理文獻：《信息安全管理手冊》（含信息安全方針、方針文獻、目的文獻、信息安全合用性申明）；信息安全管理程序文獻；信息安全管理作業文獻；信息安全管理登記表格。其他文獻：多種媒介加載的多種格式的非紙質性文獻；信息安全法律法規及設備闡明書、國標等來自企業外部的文獻。

5.2文獻編制和修訂5.2.1規定信息安全管理文獻編制和修訂前，編制人員充足理解有關方的規定和信息，廣泛搜集有關的文獻和資料。作為文獻編寫的根據，應重點考慮如下幾種方面：有關的法律法規規定，國標、行業原則、地方原則的規定，尤其是強制性原則的規定，上級主管部門頒發的原則、規章、規定等。對客戶和其他有關方的協議和承諾，客戶與其他有關方的需求和期望方面的信息。國內外同行先進水平和發展方向的信息。本組織既有的有關文獻，領導的意圖和規定。內容應與組織的實際狀況相適應，并保證文獻在既有的資源條件下，能得到有效實行。5.2.2文獻編制部門信息安全管理文獻由信息安全小組組織，有關職能部門參與進行編制。技術原則由產品研發部負責，各有關部門參與。籌劃的管理方案和管理活動的檢查考核記錄及其他管理、技術文獻由有關職能部門、單位編制。5.3文獻審批5.3.1審批信息安全管理文獻公布前須經審批。5.3.2權限信息安全管理文獻的審批權限如下：《信息安全管理手冊》（含信息安全方針、方針文獻、目的文獻、信息安全合用性申明）由總經理同意公布。信息安全程序文獻和作業文獻由職能部門組織審核，管理者代表審核，總經理同意公布。籌劃的管理方案由職能部門組織審核，管理者代表審核，總經理同意公布。其他管理、技術作業和有關支持性文獻由歸口管理部門負責審核，部門負責人審核同意。5.4文獻標識為保證在使用處獲得合用文獻的有效版本，文獻均要有明確的標識，包括文獻編號、版本號、分發號、公布和實行日期、密級等。信息安全管理文獻編號規則如下：SANDSTONE-ISMS-A-01《信息安全管理手冊》SANDSTONE-ISMS-A-02《信息安全合用性申明》SANDSTONE-ISMS-B-XX程序文獻SANDSTONE-ISMS-C-XX作業文獻ISMS-D-XX-XX登記表單涉密文獻應按《商業秘密管理程序》的規定分類并標識。5.5文獻發放文獻審批后,綜合管理部登記并制定《信息安全文獻一覽表》和《文獻發放/回收一覽表》，按《文獻發放/回收一覽表》規定的范圍進行發放。文獻發放時，綜合管理部應在文獻第一頁注明發放部門和公布日期。并標上“受控”標識。所發放使用的信息安全管理體系文獻均為受控文獻，各文獻使用部門嚴格保管，不得外借和復制，并保持文獻清晰、易于識別。5.6文獻的更改及版本管理當文獻的目前內容和實行動作不一致時，綜合管理部提出更改文獻規定，由文獻對口部門和綜合管理部人員闡明原因，填寫《文獻修改告知單》，經原審批部門同意后，由文獻歸口管理部門進行修改。版本號規定：初次公布的文獻，版本號以1.0作為標識，當文獻發生修改時，版本號如下列方式進行編制：修改內容不超過20%時，版本號以0.1位依次遞進，例：1.1；1.2……1.9；1.10；1.11以此類推；修改內容超過20%時,版本號以1.0位依次遞進,例:1.0,2.0。文獻按文獻修改告知單上的內容進行修改，并更新變更履歷，變更后由綜合管理部進行審核，總經理同意，保證所有文獻更改到位。對已通過期，不合用本組織業務程序的文檔，要進行“報廢”處理；針對電子檔文獻需在首頁打上“報廢”水印，在變更履歷中注明“報廢”原因；針對紙質文獻，蓋上“作廢”章,并及時銷毀處理。5.7文獻的評審當出現如下狀況，綜合管理部應組織對文獻進行評審、必要時予以更新并再次同意：信息安全管理體系構造發生重大變化時；信息安全管理體系原則發生重大變化時；組織構造發生重大變化時；信息安全活動、流程發生重大變化時。5.8外來文獻的控制組織的外來文獻包括與運行維護有關的國家、地方、行業的法律、法規、部門規章、原則，體現客戶有關規定的文獻等。組織的外來文獻由綜合管理部負責登記在《外來文獻清單》上，《外來文獻清單》應注明分布部門，以供使用者查閱。對外來法律法規文獻，按《信息安全法律法規管理程序》控制。綜合管理部須對受控中的外來文獻進行編號管理，以便于查看。5.9文獻的銷毀若受控文獻已不在適合本組織時，可對文獻進行“回收”處理，鑒定文獻與否可被銷毀，可以在信息安全內部審核或管理評審時提出，由綜合管理部組員表決，總經理同意。假如文獻被同意銷毀，綜合管理部需重新修改《信息安全文獻一