ISO27001记录控制程序.doc

记录控制程序1目的为了对公司工作过程中产生的记录进行控制，保证体系的有效运行，为采取纠正、预防和改进措施提供依据，特制定本程序。2适用范围本程序适用于公司体系运行规定的所有记录，包括信息安全事件记录（ISMS运行产生的记录）、IT服务管理记录（IT服务管理体系运行情况证据）、技术记录（业务活动的证据）。3职责与权限3.1体系建设和维护部门 负责制定各类记录的编码规定； 负责搜集整理并及时更新各部门的记录样本； 负责保存各种记录样本； 负责监督检查各部门记录的规范操作情况。3.2各部门 负责本部门产生的记录的填写、收集、标识与保管； 及时更新记录的格式； 向体系建设和维护部门提供更新过的最新的记录样本；3.3文件管理部门 负责保管各部门超过一年的记录。4程序和工作流程4.1记录的定义记录：阐明所取得的结果或提供所完成活动的证据的文件。记录是一种特殊的文件，一般不允许更改，通常不需要采用控制版本的活动。当表格中填写了内容，表格即成了记录。4.2记录的标识标识一般包含如下要素：编码、编号、记录名称、记录日期、分类代码、部门代码、页码编号（第几页、共几页）等。各部门根据工作的需要设计各种记录的样式，根据资产分类及编码说明关于文件资产的规定对记录进行唯一性编码，对本部门的所有记录进行登记，注明记录名称、记录编码及编号、记录归档后的保存地点、记录保存期限等信息。将最新的索引信息提交一份电子版本给负责体系建设的部门备案。4.3记录的填写记录的填写必须及时、真实、准确、清晰、完整，易于识别和检索。 对IT服务管理工作有重要影响的IT服务管理记录，或者对信息安全造成严重影响的安全记录，必须有责任人签名。记录的签名必须签全名，不可简化或者缩写。纸版记录不允许用铅笔填写。4.4记录的更改记录一旦形成，不能随意更改。若发现数据填写错误确需更改时，采用杠改法，即在更改处划一横线，并由更改人在更改处签全名和更改日期。4.5记录的整理与归档各部门按照本部门产生记录文档的数量，每半年或者每一年整理一次记录，编制目录索引，按照时间先后顺序排列，装订成册。装订好的记录封皮应该标注记录名称、记录起止时间、记录保存期限、记录产生部门等便于检索的信息。做成内部记录清单进行管理。各部门根据工作需要，可以将装订好的记录作为档案交给文件管理部门统一进行管理，也可以方便起见保存在本部门。各部门的归档记录应由专人负责保管。4.6记录的保管4.6.1 各部门应指定专人对本部门产生的各种记录进行保管。4.6.2 记录的保管环境需符合文件管理的要求，应干燥通风，防止变质、损坏或丢失。贮存环境湿度太大，容易引起记录纸张的霉变；日照强烈，容易使纸张变脆；接近强电磁场，容易干扰电子媒体的信息；以光盘形式保存的记录应避免碰伤、划伤信息页面的塑料基体。4.6.3 以电子媒体保管的重要记录应有备份。4.6.4 记录的保管期限可根据其内容及重要程度而定。一般地，产品和服务的记录保管时间不少于两年，信息安全管理体系运行记录的保管时间不少于一年。4.7记录的销毁记录的销毁由记录的产生部门提出，部门负责人签字认可后，报管理者代表审核，公司领导批准后方可实施。记录的销毁由文件管理部门统一执行，方法参见文件销毁方法。5相关支持性文件文件控制程序资产分类及编码说明6相关记录内部记录清单ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”