ISO27001管理體系整套程序文件 OK

文件控制程序文件編號：ISMS-B-01版本：A/0頁碼：第2頁共9頁ISO27001信息安全程序文件清單版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心作者筆名：何姍1.0目的：為了使公司系統(tǒng)文件得到有效的控制，以確保公司文件的系統(tǒng)有效運(yùn)作（包括信息的安全保密、貯存管理），特制訂本程序。2.0適用范圍：適用于本公司所有運(yùn)作的管理文件，包括外來文件(如：國家、國際、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)、客戶和供應(yīng)商提供的文件、化學(xué)物質(zhì)管理資料)。3.0術(shù)語與定義：3.1文件：以文字或圖示描述管理內(nèi)容或業(yè)務(wù)內(nèi)容、通過規(guī)定程序由有權(quán)人員簽署發(fā)布、要求接收者據(jù)此作出規(guī)范反應(yīng)的電子文檔或紙質(zhì)文檔。3.2正本文件：由文件制作人制作的原稿文件。3.3受控文件：所有涉及到有版本控制要求的體系文件。3.4失效/作廢文件：經(jīng)改新版本后，其原來的文件/副本，以及自動過期的文件稱為失效/作廢文件。3.5外來文件：獲取外部單位文件，包括客戶提供的圖紙/規(guī)格，國際、國家、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)；供應(yīng)商提供的化學(xué)物質(zhì)管理資料（MSDS），社會責(zé)任相關(guān)文件、職業(yè)健康與安全相關(guān)的文件等等。3.6參考文件：所有受控文件需外傳或不做文件回收控制之僅供參考的文件3.7修訂：指文件的修改和制定。3.8管理手冊：即一階文件，（質(zhì)量/環(huán)境管理統(tǒng)稱管理手冊），是本公司的方針、目標(biāo)和管理方向性，是公司綱領(lǐng)性文件的描述。3.9程序文件：即二階文件，手冊中管理重點(diǎn)所延伸引用的下一階文件，是管理體系各重要作業(yè)程序的運(yùn)作文件，這一類的作業(yè)通常都為跨部門性質(zhì)的作業(yè)。3.10三階管理類文件：工作管理規(guī)定文件；規(guī)定某項(xiàng)活動的具體方法的文件；3.11三階技術(shù)類文件：說明產(chǎn)品及方案指導(dǎo)產(chǎn)品生產(chǎn)、檢驗(yàn)等活動的文件；目前本公司定義的三階技術(shù)文件為：產(chǎn)品檢驗(yàn)規(guī)范、作業(yè)指導(dǎo)書、BOM、工藝流程圖、承認(rèn)書、圖紙、工藝參數(shù)、FMEA等文件.3.12表格：即四階文件，管理體系中運(yùn)行過程中運(yùn)用的表單記錄格式。3.13記錄：運(yùn)作表格表達(dá)體系運(yùn)作的證明，可參考《記錄控制程序》。3.14網(wǎng)絡(luò)發(fā)布：通過系統(tǒng)將受控體系文件發(fā)布給相關(guān)人員的途徑。4.0職責(zé)和權(quán)限：4.1總經(jīng)理：負(fù)責(zé)批準(zhǔn)管理手冊。4.3管理者代表4.3.1負(fù)責(zé)批準(zhǔn)程序文件。4.3.2負(fù)責(zé)公司程序文件格式和內(nèi)容文審.4.3.3負(fù)責(zé)對管理方案、作業(yè)文件的批準(zhǔn)。4.4文控中心4.4.1負(fù)責(zé)公司文件之編號、歸檔、登錄電腦、標(biāo)識、保存、分發(fā)、回收及報(bào)廢處理.4.4.2負(fù)責(zé)外來文件之接收、歸檔、登錄電腦、標(biāo)識、分發(fā)和回收、保存。4.4.3負(fù)責(zé)不定期對生產(chǎn)現(xiàn)場文件進(jìn)行審核和確認(rèn)其有效性。4.4.4保存更新《受控文件一覽表》。4.4.5負(fù)責(zé)文件編號及格式審定。4.5部門負(fù)責(zé)人4.5.1負(fù)責(zé)編制本部門程序文件4.5.2會審相關(guān)部門的程序文件4.5.3審核本部門三階管理類文件與資料及批準(zhǔn)本部門三階技術(shù)類文件與資料.4.6部門文員（文件管理員） 4.6.1負(fù)責(zé)對受控文件簽收、登記、發(fā)放、將舊版及時(shí)退回體系辦并定期檢查。4.7品質(zhì)中心4.7.1工程師（含）以上人員負(fù)責(zé)審核外來產(chǎn)品檢查標(biāo)準(zhǔn)方面文件的有效性和實(shí)用性。4.7.2負(fù)責(zé)本部門制作的三階技術(shù)文件之編號、歸檔、登錄電腦、標(biāo)識、保存、分發(fā)、回收處理.4.8項(xiàng)目中心4.8.1工程師（含）以上人員負(fù)責(zé)審核外來產(chǎn)品方面技術(shù)文件的有效性和實(shí)用性。4.8.2負(fù)責(zé)本部門制作的三階技術(shù)文件之編號、歸檔、登錄電腦、標(biāo)識、保存、分發(fā)、回收處理.4.9市場部/采購課客戶相關(guān)紙質(zhì)檔文件及相關(guān)標(biāo)準(zhǔn)資料的接收并傳遞到文控中心。4.10模具中心負(fù)責(zé)本部門制作的三階技術(shù)文件之編號、歸檔、登錄電腦、標(biāo)識、保存、分發(fā)、回收及報(bào)廢處理.5.0運(yùn)作流程：6.0運(yùn)作程序：6.1文件格式6.1.1首頁：程序的首頁為《修改履歷表》，其內(nèi)容包括：版本、更新履歷、制訂/修訂、審批、批準(zhǔn)人和生效日期及文件分發(fā)欄。6.1.2文頭：程序的文頭由以下部分組成：公司Logo、程序名稱、文件編號、版本（含版號及修改狀態(tài)）、及頁碼。6.1.3所有系統(tǒng)程序和工作指引文件都要使用規(guī)定的格式，且文件的編制需遵守以下規(guī)定：文件名稱一階主題文字用宋體、小二號字、加粗；文件編號、版本及頁碼用宋體、四號字、加粗；文件中的內(nèi)容之文字用宋體、五號字、1.5倍行距：文件中涉及的所有文件及表單要加書名號“《》”；修訂后的內(nèi)容用藍(lán)色字體，加粗，加雙下劃線標(biāo)識。涉及到新的術(shù)語需在3.0術(shù)語與定義中定義清楚；文件中大的章節(jié)字體需加粗（如1.0.目的、2.0.適用范圍等）；文件編制序號超過三位數(shù)，必須用1.2.3.………表示，此序號還有分述的，用a.b.c.……表示。6.1.4所有系統(tǒng)程序文件的正文應(yīng)包括以下章節(jié)： 1.0目的： 2.0適用范圍： 3.0術(shù)語與定義： 4.0職責(zé)與權(quán)限：5.0運(yùn)作流程：6.0運(yùn)作程序： 7.0相關(guān)文件及附件： 8.0相關(guān)記錄：（當(dāng)某一章節(jié)不適用時(shí)，請?jiān)诒菊鹿?jié)標(biāo)題下注明“不適用”或“無”。工作指引文件視其具體內(nèi)容和范圍，可包括以上適用章節(jié)。）6.2文件的制訂、審核與批準(zhǔn)6.2.1各部門文件編好后發(fā)E-mail到文控中心，文控中心對文件格式，文件名稱，內(nèi)容適宜性進(jìn)行確認(rèn)，如無問題則給文件編好號再回傳給文件制作部門，反之如存在問題則直接回傳給文件制作部門要求整改，待整改合格后再確認(rèn)。6.2.2各部門根據(jù)自身的工作職責(zé)/內(nèi)容、手冊和相關(guān)程序文件的規(guī)定要求，編制相應(yīng)的工作指引文件。6.2.3各部門負(fù)責(zé)人在編寫文件時(shí)，要按照6.1和6.2章節(jié)的有關(guān)規(guī)定進(jìn)行，要確保文件的完整性、有效性、清晰、可操作性和易讀性。6.2.4系統(tǒng)程序文件（二階文件）應(yīng)由該文件涉及到所有部門主管討論，部門負(fù)責(zé)人審核，呈交管理代表或總經(jīng)理批準(zhǔn)。詳細(xì)審核權(quán)限說明見下表：文件職位管理手冊（一階文件）程序文件（二階文件）工作指引類（三階管理類文件）工作指引類（三階技術(shù)類文件）表單（四階文件）管理代表制定/修改批準(zhǔn)批準(zhǔn)//總經(jīng)理批準(zhǔn)批準(zhǔn)///部門負(fù)責(zé)人評審會簽審核///部門負(fù)責(zé)人/制定/修改審核批準(zhǔn)批準(zhǔn)工程師以上人員或指定人員//制定/修改制定/修改制定/修改6.3文件的培訓(xùn)與檢討文件編制部門在文件獲得批準(zhǔn)后，制訂本部門文件培訓(xùn)計(jì)劃，對所有執(zhí)行該文件的人員進(jìn)行培訓(xùn)，以確保每個(gè)執(zhí)行人員理解文件的規(guī)定和要求，確保正確實(shí)施和有效執(zhí)行。6.4外來文件的控制6.4.1.業(yè)務(wù)部負(fù)責(zé)提供有關(guān)客戶的圖紙/規(guī)格/作業(yè)標(biāo)準(zhǔn)，項(xiàng)目工程人員應(yīng)在3個(gè)工作日之內(nèi)識別與確認(rèn)文件有效性及實(shí)用性，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.2.項(xiàng)目工程人員負(fù)責(zé)識別與確認(rèn)產(chǎn)品有關(guān)國家/國際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，并注明需分發(fā)的部門，然后交到文控中心受控分發(fā)。6.4.3.所有外來圖紙及工程有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過項(xiàng)目工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門；所有外來跟產(chǎn)品質(zhì)量有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過品質(zhì)中心工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門，然后交到體系辦受控分發(fā)。6.4.4針對體系國家標(biāo)準(zhǔn)及質(zhì)量/環(huán)境/職業(yè)安全與健康的法律法規(guī)等均需經(jīng)過體系辦專員以上確認(rèn)。然后編號并加蓋“外來受控”印章發(fā)行以便識別。6.4.5所有文件受控章都蓋在文件的右上角，以清晰不影響使用效果為準(zhǔn)。6.5文件的分發(fā)與回收6.5.1文件審批前，應(yīng)呈交文控中心（三階技術(shù)文件除外），文控中心負(fù)責(zé)人應(yīng)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定，文件是否清晰、易讀：1.針對三階技術(shù)類文件，在文件審批完畢后，由制作部門的文件管理員負(fù)責(zé)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定；文件是否通過規(guī)定審批者審批，文件是否清晰、易讀。6.5.2系統(tǒng)程序文件分發(fā)到所用審批部門各一份，工作指引及其他類型文件的分發(fā)地點(diǎn)及份數(shù)由文件的制訂部門或和體系辦共同確定：1.文本發(fā)放a.文件制訂部門按規(guī)定的要求復(fù)印相應(yīng)的份數(shù)后連同正本文件一起交到體系辦，體系辦在發(fā)行受控文件時(shí)在文件上加蓋紅色“受控文件”章，然后將受控文件登記在《文件發(fā)行和回收記錄表》內(nèi)并通知相關(guān)單位到文控中心領(lǐng)取受控文件，正本文件保留于文控中心。2.網(wǎng)絡(luò)發(fā)布a.針對分發(fā)的文件（三階技術(shù)文件除外）由體系辦制作成PDF檔并通過網(wǎng)絡(luò)發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤內(nèi)容；b.針對三階技術(shù)文件由制作部門設(shè)置權(quán)限通過網(wǎng)絡(luò)發(fā)布在公共盤內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤內(nèi)容。6.5.3文件回收1.當(dāng)文件有變更新版本，各部門應(yīng)將舊版本文件及時(shí)回收文控中心換取新版本文件，文控人員發(fā)現(xiàn)文件發(fā)行3天內(nèi)還未回收舊版的，將清單列出通報(bào)，各相關(guān)部門主管回復(fù)原因。6.5.4文件補(bǔ)發(fā)申請與審批1.因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫《文件申請表》經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收；2.針對三階技術(shù)文件，因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫《文件申請表》經(jīng)本部門主管審批，交文件制作部門的文件管理人員（品質(zhì)/工程/模具）處理。文件管理人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收。6.5.5.文件的遺失/損壞處理1.因管理不善將文件遺失/損壞時(shí)，由遺失/損壞部門填寫《文件申請表》經(jīng)本部門主管審批，交文控人員處理，文控人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收，并通報(bào)處理，遺失文件以后若找到需立即退回；2.針對無故或人為損壞/遺失受控文件，按《員工獎懲管理制度》處理。6.6文件評審與更改6.6.1當(dāng)公司組織架構(gòu)和管理人員發(fā)生重大變更時(shí)對文件進(jìn)行評審與更新，并再次批準(zhǔn)。文件修訂人必須在“更改履歷”登錄,更改履歷最少需在文件中保留近三次。體系辦將根據(jù)《內(nèi)部審核控制程序》，在每次內(nèi)部審核過程中對文件進(jìn)行評審。所有文件初次版本均為A/0，依次修改后為A/1、A/2、至A/4，然后按B/0至B/4進(jìn)行換版。如果修訂篇幅比較多的，可以直接升版本和版次，A/1直接調(diào)到B/0；當(dāng)方針和目標(biāo)不適用時(shí)按客戶需求和結(jié)合公司實(shí)際進(jìn)行修改。6.6.2修訂后的文件必須按照本文件規(guī)定再次進(jìn)行審批，分發(fā)、同時(shí)回收原舊版本。6.6.3外來文件的變更時(shí)，相關(guān)外來文件接收部門應(yīng)積極向客戶或外部索取。并確認(rèn)后交品質(zhì)/工程/模具/文控中心受控分發(fā)“外來受控文件”。另：外來環(huán)境方面法律法規(guī)可直接向體系辦確認(rèn)，確認(rèn)后受控分發(fā)。并將相關(guān)文件進(jìn)行修訂。6.7作廢文件的處理6.7.1失效版本或作廢文件需登記到《作廢文件一覽表》中，副本需立即銷毀（同時(shí)視作廢文件，非公司jimi可以內(nèi)部作為再生紙使用）。6.7.2受控原件（即正本文件）在文件正面加蓋“作廢文件”印章分類歸檔，客戶產(chǎn)品圖紙?jiān)诒趁婕由w“作廢”印章做永久性保存，其他文件作廢原版保存三年。6.8文件保管6.8.1公司所有的文件都應(yīng)保存在適宜的環(huán)境中，以免文件及其內(nèi)容受到損壞、遺失或作其它不適宜用途。6.8.2文控中心應(yīng)編制《受控文件一覽表》，各部門應(yīng)編制本部門所保管的《受控文件一覽表》便于相關(guān)人員的使用和查詢。6.8.3電子文檔保管：1外來文件、程序文件、三級文件(技術(shù)類文件除外)等全部在各部門受控的同時(shí)將電子文檔電郵到體系辦，文控人員放到“*”中。體系管理及其他部門查閱全部依權(quán)限進(jìn)入。文控中心有放入和修訂權(quán)限，其他部門查閱權(quán)限。受控文件的修訂后的電子文檔需要電郵到體系辦存檔；2IT對存放網(wǎng)絡(luò)上的程序文件需要作異地備份管理，以避免電腦崩潰而造成損失。6.8.4外發(fā)文件申請與控制：1凡需發(fā)放到公司以外單位，有關(guān)人員填寫《文件申請表》，經(jīng)本部門主管審批后交到文控中心；2文件受控部門將所需文件復(fù)印件蓋紅色“參考文件”印章分發(fā)到申請人，由申請人轉(zhuǎn)交到接收單位。7.0相關(guān)文件及附件：7.1附件一文件名稱、編號規(guī)則如下表所示，未有標(biāo)注或后新增的文件，以名稱的英文縮寫為準(zhǔn)：NO.文件名稱（中文）文件編號1管理手冊ISMS-A-XX（流水號）2程序文件ISMS-B-XX（流水號）3工作指引ISMS-C-XX（流水號）4表單ISMS-D-XXX（流水號）7.3附件二文件控制印章的樣式:7.3相關(guān)文件8.0相關(guān)記錄：NO記錄名稱表單編號保存期記錄保存部門1《文件申請表》ISMS-C-0013年體系辦2《受控文件一覽表》ISMS-C-0023年體系辦3《文件補(bǔ)發(fā)一覽表》ISMS-C-0033年體系辦4《文件發(fā)行和回收記錄表》ISMS-C-0043年體系辦5《作廢文件一覽表》ISMS-C-0053年體系辦9《聯(lián)絡(luò)單》ISMS-C-0063年體系辦記錄控制程序文件編號：ISMS-B-02版本：A/0頁碼：第2頁共3頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為管制ISO27001管理體系記錄，以展示ISO27001管理體系符合規(guī)定并有效運(yùn)作,需保存所有證明符合要ISO27001要求之相關(guān)記錄文件。2.范圍適用于本公司ISO27001管理體系內(nèi)所產(chǎn)生記錄之鑒別、儲存、查閱、防護(hù)保存期限及處置。3.職責(zé)與權(quán)限3.1記錄之收集、索引、查閱、建文件保存、維護(hù)與處理：相關(guān)單位。3.2記錄一覽表之建立：體系中心。3.3記錄一覽表之核準(zhǔn)：管理代表。相關(guān)文件文件控制程序術(shù)語定義無控制程序6.1記錄之鑒別：6.1.1新設(shè)計(jì)表單經(jīng)申請核可后，需由文件管制單位歸類確認(rèn)是否為記錄。6.1.2人事行政部依據(jù)各項(xiàng)程序文件規(guī)定之記錄并編表單號，將之匯總于記錄一覽表。6.1.3記錄一覽表轉(zhuǎn)管理代表核準(zhǔn)后，原稿存人事行政部，副本發(fā)行至各部門。6.2記錄之填寫：6.2.1所有記錄必須有充分的信息，足以追查所欲達(dá)成的品質(zhì)目標(biāo)，并判定品質(zhì)管理系統(tǒng)之有效性，而且記錄之內(nèi)容必須清楚干凈，必要時(shí)應(yīng)標(biāo)示清楚日期以利識別存取。6.2.2記錄填寫之注意事項(xiàng)：記錄不得以鉛筆填寫，且字跡必須工整、清晰可辨。重要記錄修改時(shí)其空白字段需以“/”或“x”等符號劃銷以避免規(guī)定需填列之字段漏記。記錄需經(jīng)授權(quán)人核準(zhǔn)后方為有效，凡記錄修改后，需再經(jīng)授權(quán)人確認(rèn)和認(rèn)可。6.3收集/歸檔：6.3.1記錄之匯整，需依不同表單別，分別設(shè)立檔案，并依序妥善放存，且應(yīng)避免有缺頁、破損之情形。6.3.2若記錄為連續(xù)周期性之表單，則盡可能依日期先后順序歸檔。6.3.3若記錄為非連續(xù)性表單，則依月日先后秩序整理歸檔。6.4查閱：6.4.1內(nèi)部查閱：凡屬本公司內(nèi)部部門與部門之間借調(diào)，由需求單位和表格制作單位/部門主管協(xié)商同意后，借調(diào)使用。屬jimi性記錄，如合同、客戶檔案，銷售信息記錄等，需經(jīng)總經(jīng)理批準(zhǔn)。6.5.1外部查閱：凡屬公司外部借調(diào)者，由外部機(jī)構(gòu)或企業(yè)之接洽單位開出書面申請，經(jīng)本公司總經(jīng)理核準(zhǔn)后，方可借出。6.5保存/銷毀：6.5.1各項(xiàng)記錄應(yīng)規(guī)定保存部門及保存年限在記錄一覽表中，經(jīng)管理代表核準(zhǔn)后執(zhí)行。6.5.1記錄必須存于良好環(huán)境下防潮濕，以避免資料之毀壞。重要的記錄應(yīng)由電子版COPY一份，存入軟硬盤中保存。6.5.2各項(xiàng)記錄之文件格式修改與變更，參照《文件控制程序》之規(guī)定辦理。6.5.3逾期保存之記錄，由文管中心統(tǒng)一銷毀并作記錄。7.附件、記錄記錄一覽表內(nèi)部審核控制程序文件編號：ISMS-B-03版本：A/0頁碼：第1頁共4頁更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的驗(yàn)證公司的ISO27001管理體系是否符合標(biāo)準(zhǔn)及本公司ISO27001管理體系的要求，是否符合策劃的安排，是否得到有效實(shí)施與保持。2.范圍凡本公司ISO27001管理相關(guān)活動及實(shí)施單位之內(nèi)審作業(yè)均屬之。3.職責(zé)與權(quán)限3.1內(nèi)審計(jì)劃之?dāng)M定與內(nèi)審小組之籌措：管理代表。3.2內(nèi)審計(jì)劃之核準(zhǔn)：總經(jīng)理。3.3內(nèi)審計(jì)劃之實(shí)施：內(nèi)審小組。3.4內(nèi)審缺失報(bào)告之開立：內(nèi)審員。3.5內(nèi)審缺失之改善：被審部門、相關(guān)部門。3.6缺失改善之追蹤確認(rèn)：內(nèi)審員。4.相關(guān)文件糾正與預(yù)防控制程序5.術(shù)語定義無6.控制程序6.1內(nèi)審計(jì)劃之?dāng)M定：6.1.1管理代表依受審狀況于每年度十二月訂定次年度的內(nèi)審計(jì)劃且每十二個(gè)月的審核次數(shù)不少于一次，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.1.2當(dāng)發(fā)生重大ISO27001事件或有實(shí)際需要時(shí)，應(yīng)由管理代表提出不定期之內(nèi)審，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.1.3每次內(nèi)審前一周由管理代表挑選合格之內(nèi)審人員組成內(nèi)審小組，以便執(zhí)行內(nèi)審。6.2內(nèi)審?fù)ㄖ?.2.1定期內(nèi)審時(shí)管理代表應(yīng)依內(nèi)審單位之狀況及重要性及前次內(nèi)審結(jié)果于內(nèi)審前與受審單位協(xié)調(diào)后，擬定內(nèi)審?fù)ㄖ獑纬士偨?jīng)理核準(zhǔn)后，提前一周由管理代表發(fā)出，不定期內(nèi)審則不提前通知。6.2.2內(nèi)審?fù)ㄖ獞?yīng)說明內(nèi)審時(shí)間、受審單位、內(nèi)審內(nèi)容及內(nèi)審員。6.3內(nèi)審準(zhǔn)備：6.3.1管理代表應(yīng)告知內(nèi)審小組人員，其內(nèi)審之區(qū)域或內(nèi)審之范圍。6.3.2內(nèi)審人員不得參與自己所屬部門之內(nèi)審工作，且應(yīng)對受審區(qū)域有基本的認(rèn)知與了解。6.3.3內(nèi)審人員應(yīng)在內(nèi)審前取得該內(nèi)審區(qū)域前一次內(nèi)審之結(jié)果及有關(guān)資料，擬定此次的審查項(xiàng)目于內(nèi)審查檢表。6.4內(nèi)審前會議：管理代表于正式內(nèi)審前舉行內(nèi)審前會議，說明此次內(nèi)審內(nèi)容與方向，并安排內(nèi)審后會議之舉行時(shí)間及地點(diǎn)。6.5內(nèi)審執(zhí)行：6.6.1內(nèi)審人員依據(jù)內(nèi)審檢查表進(jìn)行內(nèi)審，并記下內(nèi)審所發(fā)現(xiàn)之事實(shí)。6.6.2內(nèi)審人員可擴(kuò)大內(nèi)審項(xiàng)目，以便增大內(nèi)審之有效性6.6.3內(nèi)審時(shí)，應(yīng)如實(shí)記錄于內(nèi)審檢查表上。6.6.4內(nèi)審中所發(fā)現(xiàn)的每一項(xiàng)不符合事項(xiàng)應(yīng)記錄于內(nèi)部審核記錄中。6.6內(nèi)審后會議及糾正措施：6.6.1內(nèi)審人員應(yīng)于內(nèi)審后會議向受審單位之主管或其代表報(bào)告受審單位整體內(nèi)審結(jié)果。6.6.2若對內(nèi)審結(jié)果無異議時(shí)，受審單位于內(nèi)審缺失報(bào)告上對不符合事項(xiàng)逐一簽字，并提出改善原因分析及糾正預(yù)防措施與改善期限。管理代表將全部之內(nèi)審缺失報(bào)告，交內(nèi)審單位進(jìn)行糾正。6.6.3受審單位主管對內(nèi)審之缺失在規(guī)定期限內(nèi)予以改善。6.7追蹤確認(rèn)：6.7.1內(nèi)審人員應(yīng)在內(nèi)審缺失報(bào)告上之改善期限內(nèi)與受審部門確認(rèn)以完成之糾正預(yù)防及其成效。6.7.2內(nèi)審人員對于已完成之確認(rèn)動作之內(nèi)審缺失報(bào)告應(yīng)予以簽認(rèn)結(jié)案，對于未改善的單位，應(yīng)規(guī)定再次改善措施之預(yù)定完成日期，并請受內(nèi)審部門主管于內(nèi)審缺失報(bào)告上簽認(rèn)，對于連續(xù)兩次確認(rèn)未改善者，由管理代表向總經(jīng)理匯報(bào)裁示。6.8提報(bào)管理審查：6.8.1內(nèi)審人員確認(rèn)已結(jié)案后，應(yīng)將所有資料送交管理代表審核存檔。6.8.2管理代表于每次內(nèi)審后一周，應(yīng)做成《內(nèi)審總結(jié)報(bào)告》呈總經(jīng)理核準(zhǔn)。6.8.3管理代表于內(nèi)審計(jì)劃注明計(jì)劃完成情況，并將公司之內(nèi)外部審核狀況納入下次管理審查會議中報(bào)告。6.9所有內(nèi)部內(nèi)審所產(chǎn)生之記錄，由管理代表保存，保存期限二年。管理評審控制程序文件編號：ISMS-B-04版本：A/0頁碼：第4頁共4頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心目的為規(guī)定ISO27001管理體系管理評審之權(quán)責(zé)方式，確保組織效能與ISO27001管理體系之適切性、有效性，且持續(xù)改善。范圍公司ISO27001管理體系所涵蓋的所有活動。職責(zé)與權(quán)限3.1管理審查會議之召集及追蹤確認(rèn)：管理代表。3.2管理審查會議之主持：總經(jīng)理。3.3管理審查會議參加人員：管理代表、審核員、主管。相關(guān)文件糾正與預(yù)防控制程序術(shù)語定義無控制程序6.1管理審查時(shí)機(jī)：6.1.1定期審查：每十二個(gè)月實(shí)施1次，在ISO27001管理體系審查后15天內(nèi)擇期召開。6.1.2不定期審查：當(dāng)遇到下列情形時(shí)，由總經(jīng)理決定召開管理審查會議，并由管理代表以會議/培訓(xùn)通知單的方式通知相關(guān)人員。組織改革：當(dāng)公司組織變革，明顯對ISO27001管理體系產(chǎn)生不適合、沖突或造成ISO27001政策、目標(biāo)妨礙時(shí)。產(chǎn)品變化：新產(chǎn)品發(fā)展，顯示ISO27001管理體系不能有效管制與運(yùn)作時(shí)。重大系統(tǒng)事項(xiàng)或客訴，顯示ISO27001管理體系不當(dāng)導(dǎo)致者?？蛻?、認(rèn)證機(jī)構(gòu)評鑒有重大缺失時(shí)。6.2管理審查會議輸入ISO27001管理評審的輸入包括但不限于以下內(nèi)容：ISO27001管理體系內(nèi)外部審核結(jié)果。相關(guān)方的反饋。用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程。預(yù)防和糾正措施的狀況。以往風(fēng)險(xiǎn)評估沒有強(qiáng)調(diào)的脆弱點(diǎn)或威脅。有效性測量的結(jié)果。以往管理評審的跟蹤措施。可能影響ISMS的任何變更。改進(jìn)建議。6.3會議進(jìn)行6.3.1管理代表負(fù)責(zé)于管理審查會議召開一周前以會議/培訓(xùn)通知單通知參加人員，會議由總經(jīng)理主持，具體進(jìn)行如下：6.3.2上次會議決議事項(xiàng)執(zhí)行情形追蹤。a.管理代表對上次會議決議事項(xiàng)執(zhí)行成效(包括對管理體系的影響)提出報(bào)告與檢討。b.各部門主管對執(zhí)行成效不彰事項(xiàng)提出說明及解決方案列入下次會議追蹤檢討。6.3.3由各部門報(bào)告ISO27001管理體系體系在部門之執(zhí)行情形。6.3.4會議主持人應(yīng)就上述報(bào)告事項(xiàng)，審查其現(xiàn)行績效及改善機(jī)會并評估本公司之管理體系，包括政策及目標(biāo)高更的需求。6.4管理審查會議輸出：6.4.1管理評審會議記錄：會議進(jìn)行之內(nèi)容及決議之事項(xiàng)，由管理代表指派適當(dāng)人員記錄于會議記錄中。會議后由管理者代表形成管理評審報(bào)告，報(bào)總經(jīng)理和相關(guān)部門。6.5.1決議管理會議之決議事項(xiàng)應(yīng)制定糾正預(yù)防措施包括如下項(xiàng)目，并指定負(fù)責(zé)單位及完成期限并影印分發(fā)相關(guān)人員。a.管理體系的改善，例如管理目標(biāo)的展開。b.流程、產(chǎn)品及服務(wù)的稽核，例如更新稽核計(jì)劃。c.資源需求，例如增新的測試儀器。d.追蹤確認(rèn)/記錄與保存。管理代表應(yīng)負(fù)責(zé)決議工作之督導(dǎo)跟催與成效評議，并登錄于會議記錄之追蹤確認(rèn)檔。執(zhí)行事項(xiàng)如需疑難調(diào)解，由管理代表向總經(jīng)理提報(bào)裁示。管理審查之會議記錄由體系中心保存，保存期限三年。7.附件、記錄7.1管理評審計(jì)劃7.2管理評審會議記錄7.3管理評審報(bào)告7.4會議簽到表糾正與預(yù)防控制程序文件編號：ISMS-B-05版本：A/0頁碼：第5頁共6頁更改履歷制訂/修訂審批生效日期A/0 編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的針對不符合公司要求或客戶要求之產(chǎn)品,及時(shí)采取有效的糾正和預(yù)防措施，清除實(shí)際或潛在的不合格因素，并確保此類問題不再發(fā)生。2.范圍適用于對各部門制訂、實(shí)施和驗(yàn)證糾正及預(yù)防措施的控制。3.職責(zé)與權(quán)限3.1糾正與預(yù)防措施之提出：相關(guān)單位。3.2原因分析：相關(guān)部門。3.3改善對策之?dāng)M定：文控中心、相關(guān)部門。3.4改善對策之執(zhí)行：相關(guān)部門。3.5改善對策之追蹤確認(rèn)：相關(guān)單位、內(nèi)審小組。4.相關(guān)文件a)文件控制程序b)內(nèi)部審核控制程序c)管理評審控制程序5.術(shù)語定義無6.控制程序6.1糾正過程的管理6.1.1評審已存在不合格已存在的不合格包括：安全管理不安全因素及發(fā)生的不安全事件；ISO27001管理體系運(yùn)行的不合格項(xiàng)；顧客對服務(wù)的投訴；來自相關(guān)方的投訴。不合格可分為輕微不合格、一般不合格和嚴(yán)重不合格。已存在不合格信息的收集當(dāng)存在下列情況時(shí)，均屬于己發(fā)生的不合格項(xiàng)，必須采取糾正措施：a)內(nèi)外審核和管理評審中發(fā)現(xiàn)的一般不合格、嚴(yán)重不合格項(xiàng)或需重大改進(jìn)問題；b)ISO27001管理體系運(yùn)行中出現(xiàn)的不合格項(xiàng)；c)發(fā)現(xiàn)某一過程失控。文控中心收集內(nèi)外審核和管理評審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問題，按需要填寫“糾正預(yù)防措施單”，提出糾正措施要求。文控中心收集和評審來自企業(yè)內(nèi)部員工、各業(yè)務(wù)系統(tǒng)用戶等提出的ISO27001相關(guān)的不合格信息，按需要填寫“糾正預(yù)防措施單”，提出糾正和預(yù)防措施要求。收集的不合格信息形式可以是：內(nèi)部工作聯(lián)系單，合理化建議和技術(shù)改進(jìn)意見表格，相關(guān)會議意見，來自顧客的普通的chuanzhen、dianhua和口頭建議，相關(guān)的社會媒體報(bào)道等。對于已經(jīng)收集到的不合格信息，按照“糾正預(yù)防措施單”進(jìn)行填寫。6.1.2確定不合格的原因責(zé)任部門在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召開分析會，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的原因：a)規(guī)程、標(biāo)準(zhǔn)及其他程序或規(guī)定不適當(dāng)；b)人員缺乏培訓(xùn)，安全意識不強(qiáng)或業(yè)務(wù)水平不夠；c)工作計(jì)劃控制不良，工時(shí)安排過緊，過程控制不當(dāng)；d)檢驗(yàn)控制不良；e)人力資源和物質(zhì)資源不足；f)ISO27001方面缺乏相關(guān)設(shè)備配置、技術(shù)手段等；g)管理不嚴(yán)，缺乏有關(guān)程序規(guī)定等；h)其他原因。對重大問題產(chǎn)生的不合格，必要時(shí)由文控中心報(bào)管理者代表召開專門分析會議，進(jìn)行原因分析，并提出糾正措施方案。6.1.3確認(rèn)糾正措施計(jì)劃責(zé)任部門對己發(fā)生的不合格或潛在的不合格因素，在充分分析原因的基礎(chǔ)上，應(yīng)制定具體的糾正和預(yù)防措施計(jì)劃，并填寫在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。制定糾正措施的計(jì)劃應(yīng)根據(jù)輕微不合格、一般不合格和嚴(yán)重不合格確定計(jì)劃的優(yōu)先順序，對于嚴(yán)重不合格項(xiàng)，應(yīng)在3個(gè)工作日內(nèi)完成相應(yīng)措施計(jì)劃的制定和落實(shí)；對于輕微和一般不合格，責(zé)任部門可以結(jié)合日常工作計(jì)劃予以安排、實(shí)施。糾正和預(yù)防措施應(yīng)與問題的嚴(yán)重性和面臨的安全風(fēng)險(xiǎn)相適應(yīng)。對嚴(yán)重不合格所確定的糾正措施，由文控中心報(bào)請管理者代表召開有關(guān)部門參加的專門會議進(jìn)行評審，必要時(shí)需進(jìn)行試驗(yàn)驗(yàn)證，糾正措施計(jì)劃必須經(jīng)管理者代表審批，重大項(xiàng)目報(bào)告要報(bào)最高管理者審批。6.1.4實(shí)施糾正措施對于所有擬訂的糾正措施，在實(shí)施前先通過風(fēng)險(xiǎn)評價(jià)過程進(jìn)行評審。責(zé)任部門應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按糾正措施要求對管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效，以防止不合格再發(fā)生。在實(shí)施糾正措施時(shí)，如出現(xiàn)問題要及時(shí)向文控中心反映情況，當(dāng)糾正措施完成后，責(zé)任部門應(yīng)將完成情況填寫在“糾正預(yù)防措施單”上。6.1.5驗(yàn)證所采取的糾正措施對已完成的糾正和預(yù)防措施，文控中心應(yīng)派人進(jìn)行評審驗(yàn)證，凡經(jīng)證實(shí)改進(jìn)措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正預(yù)防措施單”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門進(jìn)行實(shí)施評審驗(yàn)證。凡發(fā)現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或糾正措施本身存在一定問題，則應(yīng)要求部門重新分析原因制定糾正和預(yù)防措施計(jì)劃，按上述過程再次進(jìn)行，直到糾正措施有效為止。凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要更新的規(guī)定，則應(yīng)按《文件控制程序》規(guī)定進(jìn)行修改或補(bǔ)充。文控中心匯集整理各部門的“糾正和預(yù)防措施跟蹤記錄”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，在公司相關(guān)會議上進(jìn)行公布說明。6.1.6記錄所采取措施的結(jié)果糾正措施在實(shí)施過程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)糾正措施的實(shí)施。對糾正措施的實(shí)施，責(zé)任部門要做好各種記錄，記錄按《記錄控制程序》規(guī)定執(zhí)行。責(zé)任部門應(yīng)提供完成糾正措施及其效果的證實(shí)材料，并在“糾正預(yù)防措施單”上填寫完成情況，并一起報(bào)給文控中心。6.2預(yù)防措施的管理6.2.1收集潛在的不合格因素可能引起潛在的不合格信息的收集當(dāng)存在下列情況時(shí)，應(yīng)考慮是否存在潛在的不合格項(xiàng)發(fā)生的可能性，并采取預(yù)防措施：a)ISO27001例行檢查中發(fā)現(xiàn)的可能引起ISO27001類事件發(fā)生的不安全因素；b)內(nèi)外審核和管理評審中發(fā)現(xiàn)的輕微不合格；c)發(fā)現(xiàn)ISO27001管理體系運(yùn)行中有出現(xiàn)不合格項(xiàng)的傾向；d)發(fā)現(xiàn)某一過程可能失控。各責(zé)任部門收集和評審本部門的可能發(fā)生不合格的信息，對未采取預(yù)防措施又確實(shí)需要的按職責(zé)上報(bào)文控中心。文控中心收集內(nèi)外審核和管理評審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問題，按需要填寫“糾正預(yù)防措施單”，提出預(yù)防措施要求。收集潛在不合格信息的形式可以是來自公司內(nèi)部工作聯(lián)系單，公司合理化建議和技術(shù)改進(jìn)意見表格，相關(guān)會議意見，來自顧客的普通的chuanzhen、dianhua和口頭建議，相關(guān)的社會媒體報(bào)道等。6.2.2分析和確定潛在不合格的嚴(yán)重程度和原因相關(guān)責(zé)任部門在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召開分析會，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的因素。對于可能引起嚴(yán)重不合格產(chǎn)生的因素，必要時(shí)由文控中心報(bào)管理者代表召開專門分析會議，進(jìn)行原因分析，并提出預(yù)防措施和實(shí)施方案。對于可能引起輕微或者一般性不合格的因素，由負(fù)責(zé)部門匯合文控中心進(jìn)行原因分析。對于已經(jīng)確認(rèn)的潛在的不合格因素，應(yīng)確定預(yù)防措施的具體實(shí)施部門，制定具體的預(yù)防措施計(jì)劃，并填寫在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。預(yù)防措施應(yīng)與問題的嚴(yán)重性和面臨的風(fēng)險(xiǎn)相適應(yīng)，實(shí)施的預(yù)防措施應(yīng)不會引起新的潛在不合格因素的產(chǎn)生。6.2.3實(shí)施預(yù)防措施對于所有擬訂的糾正措施計(jì)劃，在實(shí)施前先通過風(fēng)險(xiǎn)評價(jià)過程進(jìn)行評審。責(zé)任部門應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按預(yù)防措施要求對管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效，以防止不合格再發(fā)生。在實(shí)施預(yù)防措施時(shí)，如出現(xiàn)問題要及時(shí)向文控中心反映情況，當(dāng)預(yù)防措施完成后，責(zé)任部門應(yīng)將完成情況填寫在“糾正預(yù)防措施單”上。6.2.4驗(yàn)證所采取的預(yù)防措施對已完成的預(yù)防措施，文控中心應(yīng)派人進(jìn)行評審驗(yàn)證，凡經(jīng)證實(shí)預(yù)防措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正措施計(jì)劃表”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門進(jìn)行實(shí)施評審驗(yàn)證。凡發(fā)現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或預(yù)防措施本身存在一定問題，則應(yīng)要求部門重新分析原因制定預(yù)防措施計(jì)劃，按上述過程再次進(jìn)行，直到預(yù)防措施有效為止。凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要更新的規(guī)定，則應(yīng)按《文件控制程序》規(guī)定進(jìn)行修改或補(bǔ)充。預(yù)防措施實(shí)施完成并效果滿意后，文控中心和責(zé)任部門對所采取的預(yù)防措施、記錄整理存檔，文控中心填寫“糾正和預(yù)防措施跟蹤記錄表”。文控中心匯集整理各部門的“糾正和預(yù)防措施跟蹤記錄表”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，并在公司相關(guān)會議上進(jìn)行公布說明。6.2.5記錄所采取預(yù)防措施的結(jié)果預(yù)防措施在實(shí)施過程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)預(yù)防措施的實(shí)施。對預(yù)防措施的實(shí)施，責(zé)任部門要做好各種記錄，記錄按《記錄控制程序》規(guī)定執(zhí)行。7.附件、記錄7.1糾正預(yù)防措施單ISO27001目標(biāo)管理程序文件編號：ISMS-B-06版本：A/0頁碼：第1頁共3頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為確保ISO27001管理體系(ISMS)的有效實(shí)施，根據(jù)公司ISO27001方針制定ISO27001目標(biāo)，并規(guī)定ISO27001目標(biāo)的計(jì)算方法，以便于目標(biāo)達(dá)成情況的考核，特制定本程序。2.范圍本程序適用于本公司的管理體系覆蓋的所有部門。3.職責(zé)與權(quán)限3.1 最高管理者：組織制訂并批準(zhǔn)企業(yè)的ISO27001目標(biāo)。3.2 管理者代表：每年組織相關(guān)部門對ISO27001目標(biāo)進(jìn)行統(tǒng)計(jì)、分析。3.3 各部門：負(fù)責(zé)與本部門相關(guān)的ISO27001目標(biāo)的統(tǒng)計(jì)、分析，當(dāng)目標(biāo)不能達(dá)標(biāo)時(shí)，進(jìn)行原因分析并進(jìn)行改進(jìn)。4.相關(guān)文件《ISO27001管理手冊》《ISO27001事件管理程序》5.術(shù)語定義無6.控制程序6.1本公司ISO27001目標(biāo)1) 安全事件發(fā)生次數(shù)：重大安全事件目標(biāo)值：0次/年，較大安全事件目標(biāo)值：不大于4次/年，一般安全事件目標(biāo)值：不大于8次/年。2) 信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保秘密、jimi信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年6.2各部門ISO27001目標(biāo)部門部門ISO27001目標(biāo)完成目標(biāo)的措施監(jiān)測頻率人力資源部1、培訓(xùn)實(shí)施率100%2、培訓(xùn)合格率90%3、重要設(shè)備盤點(diǎn)范圍達(dá)到100%。4、重要崗位人員保密協(xié)議簽訂率100%5、人員離崗交接核實(shí)率100%1、制訂培訓(xùn)計(jì)劃并實(shí)施；2、培訓(xùn)完畢即進(jìn)行相應(yīng)的評審或考核；3、以實(shí)際盤點(diǎn)表中的數(shù)據(jù)為準(zhǔn)。4、與重要崗位人員簽訂保密協(xié)議5、對于離崗人員要及時(shí)進(jìn)行交接確認(rèn)1年體系中心部門數(shù)據(jù)泄露次數(shù)為0非授權(quán)人員禁止訪問部門敏感數(shù)據(jù)4、ISO27001內(nèi)審如期完成5、ISO27001內(nèi)審及管理評審資料齊全6、文件100%經(jīng)批準(zhǔn)才發(fā)布；由部門管理人員檢測文件數(shù)據(jù)的安全性由部門經(jīng)理核準(zhǔn)訪問數(shù)據(jù)人員的身份信息3、按照ISO27001年度內(nèi)審計(jì)劃執(zhí)行；4、及時(shí)整理ISO27001內(nèi)審及管理評審資料；5、及時(shí)發(fā)布在用文件清單。1年信息管理部1、網(wǎng)絡(luò)非正常中斷每月≤1次。2、主機(jī)系統(tǒng)非正常中斷每月≤1次。3、IT設(shè)備大面積病毒爆發(fā)不超過2起。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)3、以每月的網(wǎng)絡(luò)病毒安全事件為依據(jù)1年生產(chǎn)部1、部門數(shù)據(jù)泄露次數(shù)為02、非授權(quán)人員禁止訪問部門敏感數(shù)據(jù)1、由部門經(jīng)理監(jiān)督銷售人員其履行職責(zé)情況；2、每月對客戶資料進(jìn)行核查，發(fā)現(xiàn)問題及時(shí)改正。1年6.3數(shù)據(jù)收集、提供、統(tǒng)計(jì)和分析6.3.1在每年年底前，以上部門將本部門統(tǒng)計(jì)好的數(shù)據(jù)提交給ISO27001委員會，由ISO27001委員會進(jìn)行匯總。6.3.2對于未達(dá)成ISO27001目標(biāo)的，相關(guān)部門要進(jìn)行原因分析，并提解決辦法；對于連續(xù)未達(dá)成目標(biāo)的，要按照《糾正預(yù)防措施程序》進(jìn)行糾正和預(yù)防處理。7附件、記錄7.1《ISO27001目標(biāo)統(tǒng)計(jì)表》ISO27001風(fēng)險(xiǎn)評估控制程序文件編號：ISMS-B-07版本：A/0頁碼：第4頁共4頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司的信息資產(chǎn)識別、風(fēng)險(xiǎn)評估的方法，以便在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將ISO27001風(fēng)險(xiǎn)控制在可接受的水平，特制定本程序。2.范圍本程序適用于本公司ISO27001管理體系范圍內(nèi)ISO27001風(fēng)險(xiǎn)評估活動。3.職責(zé)與權(quán)限3.1ISO27001委員會提供ISO27001風(fēng)險(xiǎn)管理工作相關(guān)的資源支持及工作指導(dǎo)；對ISO27001風(fēng)險(xiǎn)評估結(jié)果進(jìn)行確認(rèn)，確定可接受風(fēng)險(xiǎn)級別。3.2體系中心負(fù)責(zé)組織及協(xié)調(diào)公司各部門實(shí)施ISO27001風(fēng)險(xiǎn)評估及ISO27001風(fēng)險(xiǎn)處置，確保風(fēng)險(xiǎn)評估及風(fēng)險(xiǎn)處置工作按計(jì)劃執(zhí)行。3.3各部門負(fù)責(zé)本部門使用或管理的資產(chǎn)的識別和風(fēng)險(xiǎn)評估，并負(fù)責(zé)本部門所涉及的資產(chǎn)的風(fēng)險(xiǎn)處置。4.相關(guān)文件《風(fēng)險(xiǎn)評估方法與準(zhǔn)則》5.術(shù)語定義無6.控制程序6.1風(fēng)險(xiǎn)評估前準(zhǔn)備6.1.1成立風(fēng)險(xiǎn)評估小組由體系中心牽頭成立風(fēng)險(xiǎn)評估小組，小組成員應(yīng)包含ISO27001重要責(zé)任部門的成員，如體系中心、技術(shù)部等。6.1.2制定計(jì)劃風(fēng)險(xiǎn)評估小組確定ISO27001風(fēng)險(xiǎn)評估計(jì)劃，并通知各部門。6.2資產(chǎn)識別及風(fēng)險(xiǎn)評估6.2.1資產(chǎn)識別由風(fēng)險(xiǎn)評估小組成員識別各部門資產(chǎn)，并進(jìn)行資產(chǎn)賦值，編制信息資產(chǎn)清單。6.2.2風(fēng)險(xiǎn)評估針對重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評估，保留風(fēng)險(xiǎn)評估記錄，詳細(xì)風(fēng)險(xiǎn)評估方法參考《風(fēng)險(xiǎn)評估方法與準(zhǔn)則》。6.3風(fēng)險(xiǎn)處理對可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果是不可接受風(fēng)險(xiǎn)（中、高風(fēng)險(xiǎn)），則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。對不可接受風(fēng)險(xiǎn)，應(yīng)采取新的風(fēng)險(xiǎn)處理的措施，規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門和時(shí)間進(jìn)度，高風(fēng)險(xiǎn)應(yīng)得到優(yōu)先的考慮。6.3.1計(jì)劃風(fēng)險(xiǎn)評估小組應(yīng)編制《風(fēng)險(xiǎn)處理計(jì)劃》。6.3.2報(bào)告風(fēng)險(xiǎn)評估小組編制《ISO27001風(fēng)險(xiǎn)評估報(bào)告》（格式不限），提交公司領(lǐng)導(dǎo)審核。6.3.3審核ISO27001風(fēng)險(xiǎn)評估小組應(yīng)考慮成本與風(fēng)險(xiǎn)的關(guān)系，對《風(fēng)險(xiǎn)處理計(jì)劃》的相關(guān)內(nèi)容審核，對認(rèn)為不合適的控制或風(fēng)險(xiǎn)處理方式等提出說明，由風(fēng)險(xiǎn)評估小組協(xié)同相關(guān)部門重新考慮或選擇其他的控制或風(fēng)險(xiǎn)處理方式，并重新提交公司領(lǐng)導(dǎo)審核。6.3.4實(shí)施各責(zé)任部門按照批準(zhǔn)后的《風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施，確保所采取的控制措施是有效的。6.4剩余風(fēng)險(xiǎn)評估6.4.1再評估對采取安全措施處理后的風(fēng)險(xiǎn)，ISO27001風(fēng)險(xiǎn)評估小組應(yīng)進(jìn)行再評估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。6.4.2再處理某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。6.4.3審核批準(zhǔn)剩余風(fēng)險(xiǎn)評估完成后，應(yīng)編制《剩余風(fēng)險(xiǎn)評估報(bào)告》（格式不限），報(bào)公司領(lǐng)導(dǎo)審批。6.5ISO27001風(fēng)險(xiǎn)的連續(xù)評估6.5.1定期評估ISO27001風(fēng)險(xiǎn)評估小組每年應(yīng)組織對ISO27001風(fēng)險(xiǎn)重新評估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。6.5.2非定期評估當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評估：1）當(dāng)發(fā)生重大ISO27001事故時(shí)；2）當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；3）公司領(lǐng)導(dǎo)及ISO27001風(fēng)險(xiǎn)評估小組確定有必要時(shí)。6.5.3更新資產(chǎn)各部門對新增加、轉(zhuǎn)移的或授權(quán)銷毀的資產(chǎn)應(yīng)及時(shí)更新資產(chǎn)清單。6.5.4調(diào)整控制措施ISO27001風(fēng)險(xiǎn)評估小組應(yīng)分析信息資產(chǎn)的風(fēng)險(xiǎn)變化情況，以便根據(jù)企業(yè)的資金和技術(shù)，確定、增加或調(diào)整適當(dāng)?shù)腎SO27001控制措施。7附件、記錄7.1《資產(chǎn)清單》7.2《重要資產(chǎn)清單》7.3《風(fēng)險(xiǎn)評估表》7.4《風(fēng)險(xiǎn)處理計(jì)劃》7.5《風(fēng)險(xiǎn)評估報(bào)告》7.6《剩余風(fēng)險(xiǎn)評估報(bào)告》信息處理設(shè)施控制程序文件編號：ISMS-B-08版本：A/0頁碼：第3頁共4頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范信息處理設(shè)施的安全管理，包括信息處理設(shè)施的采購、安裝、驗(yàn)收、授權(quán)使用、更新、停用、報(bào)廢等，特制定本程序。2.范圍本程序適用于公司信息處理設(shè)施的管理控制。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)全公司信息處理相關(guān)設(shè)備的統(tǒng)一采購及協(xié)調(diào)處理。3.2信息管理部是全公司計(jì)算機(jī)信息系統(tǒng)和信息資源的統(tǒng)一歸口管理部門，包括信息處理設(shè)備的購置、安裝、維修、調(diào)配、停用、報(bào)廢等。3.3其他部門遵守本程序的各項(xiàng)要求正確、安全的使用信息處理設(shè)施。4.相關(guān)文件《ISO27001獎懲管理規(guī)定》5.術(shù)語定義無6.控制程序6.1信息處理設(shè)備的分類服務(wù)器：包括小型機(jī)、PC服務(wù)器、帶庫等。網(wǎng)絡(luò)及安全設(shè)備：包括交換機(jī)、路由器、防火墻等。辦公設(shè)備：PC電腦及其打印機(jī)、輔助設(shè)備。輔助設(shè)備：電源、UPS、電纜、光纜等傳輸線路及設(shè)備。6.2信息處理設(shè)備管理6.2.1各部門的信息處理設(shè)施，包括計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))、軟件、資料（以下統(tǒng)稱為計(jì)算機(jī)設(shè)備）的購置，無論資金來源，均應(yīng)由使用部門提出申請，人力資源部負(fù)責(zé)組織審查設(shè)計(jì)方案、選型配置和必要的論證后提出配置和購置意見和計(jì)劃，報(bào)請領(lǐng)導(dǎo)批準(zhǔn)后，由人力資源部統(tǒng)一采購。6.2.2需要安裝的計(jì)算機(jī)設(shè)備，使用部門應(yīng)確定安裝地點(diǎn)，對計(jì)算機(jī)設(shè)備進(jìn)行定置管理和妥善保護(hù)，以降低來自環(huán)境威脅和危害的風(fēng)險(xiǎn)，以及非授權(quán)訪問的機(jī)會。6.2.3凡未經(jīng)申請、審核、批準(zhǔn)，任何部門和個(gè)人不得擅自購置計(jì)算機(jī)設(shè)備。對其它來源的計(jì)算機(jī)，需移交經(jīng)營管理使用時(shí)，應(yīng)由信息管理部統(tǒng)一調(diào)配。6.2.4計(jì)算機(jī)設(shè)備用低值易耗品和零配件由人力資源部制訂計(jì)劃、選材、選型并負(fù)責(zé)購置、發(fā)放并做好領(lǐng)用登記。6.3信息處理設(shè)備使用6.3.1計(jì)算機(jī)設(shè)備使用部門應(yīng)確定設(shè)備的使用負(fù)責(zé)人，確保按批準(zhǔn)的使用目的和使用范圍使用。如果將這些設(shè)備用于未經(jīng)批準(zhǔn)的非業(yè)務(wù)目的，或用于未經(jīng)授權(quán)的目的，為設(shè)備使用不當(dāng)。一經(jīng)發(fā)現(xiàn)，將按《ISO27001獎懲管理規(guī)定》采取懲戒措施。6.3.2嚴(yán)禁無關(guān)人員操作計(jì)算機(jī)設(shè)備，不得隨意拆裝計(jì)算機(jī)設(shè)備。6.3.3計(jì)算機(jī)設(shè)備管理部門應(yīng)識別計(jì)算機(jī)設(shè)備的使用要求和限制，必要時(shí)應(yīng)制定文件化的使用規(guī)則或指南（操作手冊或說明書），并保證包括本本公司員工、合作方及第三方用戶在內(nèi)的所有使用者了解和遵守設(shè)備的使用要求和限制。6.3.4進(jìn)入各部門的計(jì)算機(jī)設(shè)備以及電纜、接駁器等應(yīng)嚴(yán)格保管，不準(zhǔn)隨意搬遷、拆拉或損壞，如發(fā)現(xiàn)設(shè)備異常及時(shí)通知?dú)w口管理部門。6.3.5不得擅自將設(shè)備、信息或軟件帶出工作場所。因工作需要的，應(yīng)經(jīng)使用部門領(lǐng)導(dǎo)批準(zhǔn)，并清楚說明將設(shè)備帶到場所外的責(zé)任人及時(shí)間限制。6.3.6嚴(yán)禁在計(jì)算機(jī)旁使用強(qiáng)電磁場設(shè)備和進(jìn)行有腐蝕氣體和塵埃產(chǎn)生的一切作業(yè)活動。6.3.7嚴(yán)禁在專用UPS電源上使用與計(jì)算機(jī)工作無關(guān)的用電設(shè)備。6.3.8人力資源部應(yīng)與大樓物業(yè)保持及時(shí)聯(lián)系，確保公司業(yè)務(wù)不受電力故障以及由其他支持設(shè)施故障的影響。6.4信息處理設(shè)備維護(hù)6.4.1計(jì)算機(jī)設(shè)備的維護(hù)部門應(yīng)定期進(jìn)行設(shè)備的檢查、維護(hù)、清潔并作好必要的運(yùn)行和保養(yǎng)記錄。6.4.2非計(jì)算機(jī)專業(yè)維護(hù)人員、管理人員不得隨意打開計(jì)算機(jī)設(shè)備的機(jī)箱，任意插拔各種接駁口及更換零部件。6.4.3計(jì)算機(jī)設(shè)備維修或升級，應(yīng)及時(shí)報(bào)送歸口管理部門，經(jīng)審核及領(lǐng)導(dǎo)批準(zhǔn)后由歸口管理部門統(tǒng)一安排和實(shí)施維修或升級。6.4.4計(jì)算機(jī)設(shè)備的停用或報(bào)廢應(yīng)由使用部門提出申請，報(bào)人力資源部審核，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，將停用或報(bào)廢設(shè)備移交信息管理部統(tǒng)一處理。用戶訪問控制程序文件編號：ISMS-B-09版本：A/0頁碼：第5頁共6頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為明確公司信息系統(tǒng)的訪問控制準(zhǔn)則，確保訪問控制措施有效，特制定本程序。2.范圍本程序適用操作系統(tǒng)、數(shù)據(jù)庫、各應(yīng)用系統(tǒng)的邏輯訪問控制，物理訪問按《安全區(qū)域控制程序》進(jìn)行控制。3.職責(zé)與權(quán)限3.1信息管理部負(fù)責(zé)公司信息系統(tǒng)相關(guān)訪問權(quán)限的分配、審批，以及帳號口令管理。3.2其他部門各部門根據(jù)實(shí)際需要向信息管理部部提交賬號及訪問權(quán)限的申請，協(xié)助信息管理部人員對用戶賬號及權(quán)限進(jìn)行定期復(fù)查。4.相關(guān)文件《計(jì)算機(jī)管理程序》5.術(shù)語定義無6.控制程序6.1訪問控制策略6.1.1本公司目前的網(wǎng)絡(luò)服務(wù)主要有互聯(lián)網(wǎng)上網(wǎng)服務(wù)，供內(nèi)部員工進(jìn)行日常辦公。6.1.2公司辦公電腦均應(yīng)通過網(wǎng)絡(luò)線纜接入公司網(wǎng)絡(luò)，無線網(wǎng)絡(luò)僅供經(jīng)過公司授權(quán)的人員使用。6.1.3用戶不得訪問或嘗試訪問未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。6.1.4外部來訪人員需要使用公司網(wǎng)絡(luò)服務(wù)必須經(jīng)過相關(guān)負(fù)責(zé)人同意，才能授權(quán)其使用。不得將訪問密碼隨意告知不必要的人員，6.1.5外部來訪人員需要使用公司無線網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過公司授權(quán)并登記后，無線網(wǎng)絡(luò)管理人員應(yīng)代為輸入訪問密碼，不得直接告知密碼，確保無線訪問密碼的安全。6.1.6外部人員離開時(shí)應(yīng)及時(shí)收回其訪問權(quán)限，并根據(jù)情況及時(shí)修改原來的訪問密碼。6.1.7用戶不得以任何方式私自安裝路由器、交換機(jī)、代理服務(wù)器、無線網(wǎng)絡(luò)訪問點(diǎn)(包括軟件和硬件)等。6.1.8用戶不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。6.1.9公司內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的維護(hù)一般采用現(xiàn)場維護(hù)，如確有需要使用遠(yuǎn)程方式維護(hù)，應(yīng)確保有相應(yīng)的身份驗(yàn)證（如登錄密碼）等安全保護(hù)措施，遠(yuǎn)程維護(hù)完畢應(yīng)及時(shí)關(guān)閉遠(yuǎn)程維護(hù)端口。6.1.10公司員工在不必要的情況下盡量不要使用文件共享，一定要使用共享文件時(shí)，應(yīng)對共享文件進(jìn)行加密保護(hù)，并及時(shí)通知需要獲取共享信息的人員，還應(yīng)及時(shí)撤消文件共享。6.1.11根據(jù)公司實(shí)際情況及安全需要，可考慮將自動設(shè)備鑒別作為一種證明從特定位置和設(shè)備進(jìn)行連接的手段，如IP地址對應(yīng)計(jì)算機(jī)名。6.1.12非網(wǎng)絡(luò)系統(tǒng)管理人員不得使用系統(tǒng)實(shí)用程序（系統(tǒng)工具），防止對系統(tǒng)造成破壞。6.1.13對于重要的應(yīng)用（如財(cái)務(wù)系統(tǒng)）可考慮采取適當(dāng)?shù)倪B接時(shí)間限制和訪問控制，在不經(jīng)常使用時(shí)停止應(yīng)用系統(tǒng)或關(guān)閉設(shè)備。6.1.14對于信息系統(tǒng)審計(jì)工具（如漏洞掃描工具等）的訪問及使用應(yīng)加以限制及保護(hù)，禁止任何可能的濫用或誤用，防止對公司信息系統(tǒng)帶來損害。6.2用戶訪問管理6.2.1權(quán)限申請所有用戶，包括第三方人員均需要履行訪問授權(quán)手續(xù)。授權(quán)流程如下：a)申請部門申請：申請部門根據(jù)業(yè)務(wù)及管理工作的需要，確定需要訪問的系統(tǒng)和訪問權(quán)限，經(jīng)過本部門領(lǐng)導(dǎo)同意后，向信息管理部提交“用戶授權(quán)申請表”。b)經(jīng)信息管理部領(lǐng)導(dǎo)審核后，將“用戶授權(quán)申請表”交訪問授權(quán)實(shí)施人員（如信息管理部網(wǎng)管人員）實(shí)施。c)訪問授權(quán)實(shí)施人員實(shí)施授權(quán)。“用戶授權(quán)申請表”應(yīng)對以下內(nèi)容予以明確：a)權(quán)限申請人員；b)訪問權(quán)限的級別和范圍；c)申請理由；d)有效期。6.2.2權(quán)限變更對發(fā)生以下情況對其訪問權(quán)應(yīng)從系統(tǒng)中予以注銷：a)內(nèi)部用戶雇傭合同終止時(shí)；b)內(nèi)部用戶因崗位調(diào)整不再需要此項(xiàng)訪問服務(wù)時(shí)；c)第三方訪問合同終止時(shí)；d)其它情況必須注銷時(shí)。由于用戶變換崗位等原因造成訪問權(quán)限變更時(shí)，用戶應(yīng)重新填寫“用戶授權(quán)申請表”，按照本標(biāo)準(zhǔn)6.2.1的要求履行授權(quán)手續(xù)。信息管理部應(yīng)將人事變動情況及時(shí)通知各部門，訪問授權(quán)實(shí)施人員（如網(wǎng)管人員）應(yīng)及時(shí)收回其帳號和權(quán)限。特權(quán)用戶因故暫時(shí)不能履行特權(quán)職責(zé)時(shí)，根據(jù)需要可以經(jīng)授權(quán)部門領(lǐng)導(dǎo)批準(zhǔn)后，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員；特權(quán)用戶返回工作崗位時(shí)，收回臨時(shí)特權(quán)人員的特權(quán)。6.2.3用戶訪問權(quán)的維護(hù)和評審對于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷)，訪問授權(quán)實(shí)施人員應(yīng)進(jìn)行記錄，填寫“用戶授權(quán)申請表”包括：a)權(quán)限開放/變更/注銷時(shí)間；b)變化后權(quán)限內(nèi)容；c)開放權(quán)限的管理員。授權(quán)管理部門每半年應(yīng)對訪問權(quán)限進(jìn)行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知訪問授權(quán)實(shí)施人員予以調(diào)整或注銷。授權(quán)管理部門應(yīng)對訪問權(quán)限的檢查結(jié)果予以記錄。6.3用戶口令管理6.3.1各系統(tǒng)訪問授權(quán)實(shí)施人員應(yīng)按以下過程對被授權(quán)訪問該系統(tǒng)的用戶口令予以分配：a)在生成帳號時(shí)，系統(tǒng)管理員應(yīng)該分配給合法用戶一個(gè)唯一的安全臨時(shí)口令，并通過安全渠道傳遞給用戶，并要求用戶在第一次登錄時(shí)更改臨時(shí)口令；b)當(dāng)用戶忘記口令時(shí)，系統(tǒng)管理員在獲得用戶的確認(rèn)后可以為其重新分配口令。6.3.2口令策略所有計(jì)算機(jī)用戶在使用口令時(shí)應(yīng)遵循以下原則：a)所有活動帳號都必須有口令保護(hù)。b)所有系統(tǒng)初始默認(rèn)口令必須更改。c)口令輸入時(shí)不應(yīng)將口令的明文顯示出來，應(yīng)該采取掩蓋措施。d)口令必須至少要含有6個(gè)字符。e)口令不能和用戶名或登錄名相同。f)口令不能是字典中能夠找到的詞。g)口令不能采用姓名、dianhua號碼、生日等容易猜測的口令，不得用連續(xù)的數(shù)字或字母群。h)口令必須是保密的，不能共享、含在程序中或?qū)懺诩埳稀)口令不能通過明文電子郵件傳輸。j)口令不能通過語音或移動dianhua告知。k)口令不能以明文形式保存在任何電子介質(zhì)中。l)口令不能在工作組中共享以保證可以通過用戶名追查到具體責(zé)任人。m)用戶應(yīng)該在不同的系統(tǒng)中使用不同的口令。n)可以在PGP或強(qiáng)度相當(dāng)?shù)募用艽胧┑谋Ｗo(hù)下將口令存放在電子文件中。o)任何時(shí)候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。p)一般用戶口令至少一年變更一次，特權(quán)用戶口令至少每半年變更一次；對于用戶口令的變更會影響應(yīng)用程序運(yùn)行的情況，該用戶的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予以變更。6.4第三方訪問6.4.1第三方訪問是指本公司以外其他組織/人員對本公司的信息系統(tǒng)的邏輯訪問。6.4.2第三方訪問包括網(wǎng)絡(luò)訪問、操作系統(tǒng)訪問、數(shù)據(jù)庫訪問、信息系統(tǒng)訪問。6.4.3第三方訪問前各責(zé)任部門要對第三方訪問可能導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行評估，采取適當(dāng)?shù)目刂拼胧ㄈ纾菏跈?quán)、簽署保密協(xié)議等），維護(hù)被第三方訪問的本公司信息處理設(shè)施和信息資產(chǎn)的安全。6.4.4第三方授權(quán)的方式包括簽訂協(xié)議和臨時(shí)訪問授權(quán)兩種方式。與本公司建立長期業(yè)務(wù)合作關(guān)系，需要經(jīng)常在公司內(nèi)工作的第三方及長期邏輯訪問本公司信息系統(tǒng)的第三方，應(yīng)與其簽訂安全條款或保密協(xié)議；規(guī)定其在公司內(nèi)活動的場所范圍，時(shí)間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔(dān)的法律賠償責(zé)任等，必要時(shí)對其工作人員進(jìn)行資格審查。如果屬于臨時(shí)參觀學(xué)習(xí)或業(yè)務(wù)工作需要的第三方訪問采用臨時(shí)授權(quán)方式。6.4.5第三方訪問的授權(quán)第三方在訪問本公司網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息系統(tǒng)時(shí)需要書面授權(quán)。授權(quán)權(quán)限的規(guī)定：a)訪問敏感信息須經(jīng)對應(yīng)部門負(fù)責(zé)人及公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)；b)所有的邏輯訪問均需信息管理部部負(fù)責(zé)人審核，報(bào)公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)后方可進(jìn)行；c)第三方人員在工作完成后立即收回。授權(quán)程序a)第三方訪問前，如第三方需要申請帳號，訪問接待部門應(yīng)填寫“第三方訪問申請/授權(quán)表”，辦理相關(guān)授權(quán)批準(zhǔn)手續(xù)；b)“第三方訪問申請/授權(quán)表”上應(yīng)明確規(guī)定訪問的類型、時(shí)間、權(quán)限。7附件、記錄7.1《用戶授權(quán)申請表》7.2《第三方訪問申請/授權(quán)表》7.3《用戶賬號權(quán)限復(fù)查表》相關(guān)方服務(wù)管理程序文件編號：ISMS-B-10版本：A/0頁碼：第2頁共3頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為有效防范相關(guān)方帶來的安全風(fēng)險(xiǎn)，加強(qiáng)和規(guī)范相關(guān)方的安全管理，保障公司的ISO27001，特制定本程序。2.范圍本程序適用于本公司對相關(guān)方服務(wù)的管理。3.職責(zé)與權(quán)限3.1人力資源部是公司信息系統(tǒng)相關(guān)方服務(wù)的歸口管理部門，負(fù)責(zé)對公司所有與外部相關(guān)方的服務(wù)進(jìn)行協(xié)調(diào)及管理。3.2其他部門其他部門負(fù)責(zé)對本部門相關(guān)的服務(wù)進(jìn)行管理。4.相關(guān)文件《安全區(qū)域控制程序》《用戶訪問控制程序》5.術(shù)語定義相關(guān)方：包括上級單位、認(rèn)證審核機(jī)構(gòu)、公司客戶及供應(yīng)商、為公司提供服務(wù)的第三方等。6.控制程序6.1總則6.1.1本公司需要將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和ISO27001等事項(xiàng)進(jìn)行外包時(shí)，應(yīng)與相關(guān)服務(wù)提供方簽署服務(wù)合同。6.1.2相關(guān)服務(wù)提供方需提供服務(wù)人員的姓名、技術(shù)能力評定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入現(xiàn)場。臨時(shí)服務(wù)人員由專業(yè)人員全程陪同，長時(shí)間服務(wù)人員需辦理外來人員臨時(shí)出入證。6.1.3相關(guān)服務(wù)人員在現(xiàn)場或遠(yuǎn)程服務(wù)時(shí)，必須明確相關(guān)內(nèi)容，包括時(shí)間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。6.1.4外來人員的物理訪問按《安全區(qū)域控制程序》進(jìn)行。6.1.5外來人員的邏輯訪問按《用戶訪問控制程序》進(jìn)行。6.1.6應(yīng)與當(dāng)?shù)卣块T（如執(zhí)法部門、消防部門、監(jiān)管部門等）保持聯(lián)系，確保公司在發(fā)生ISO27001事件時(shí)能及時(shí)有效處理，且符合相關(guān)法律法規(guī)要求。6.1.7應(yīng)與權(quán)威機(jī)構(gòu)、特殊專業(yè)團(tuán)體（如ISO27001協(xié)會、ISO27001專家等）保持聯(lián)系，以獲得ISO27001的最佳實(shí)踐和最新狀態(tài)的知識。6.2相關(guān)方能力的評定6.2.1將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和ISO27001等事項(xiàng)外包時(shí)，應(yīng)明確外包服務(wù)的內(nèi)容和服務(wù)級別要求，對相關(guān)方提供服務(wù)的能力進(jìn)行評定，必要時(shí)通過招投標(biāo)，確定合格的服務(wù)方。6.2.2應(yīng)確保相關(guān)方保持充分的提供服務(wù)的能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。6.3協(xié)議履行6.3.1安全控制服務(wù)提供方必須明確安全責(zé)任，并在服務(wù)合同中體現(xiàn)ISO27001風(fēng)險(xiǎn)。對服務(wù)提供方技術(shù)人員在現(xiàn)場處理需要設(shè)備入網(wǎng)時(shí)，應(yīng)填寫“第三方訪問申請/授權(quán)表”（請見《用戶訪問控制程序》），經(jīng)相關(guān)部門領(lǐng)導(dǎo)同意后方可入網(wǎng)，對系統(tǒng)的巡檢和維護(hù)需有相關(guān)人員陪同，按《安全區(qū)域控制程序》和《用戶訪問控制程序》進(jìn)行，并填寫“第三方工作記錄單”，或在運(yùn)維記錄、外來人員工作記錄中填寫第三方服務(wù)情況。第三方用戶完成合同時(shí)，應(yīng)辦理完所負(fù)責(zé)的所有資產(chǎn)歸還手續(xù)。第三方用戶完成合同時(shí)，公司相關(guān)負(fù)責(zé)人應(yīng)及時(shí)解除其訪問權(quán)限。6.3.2服務(wù)監(jiān)控和評審相關(guān)服務(wù)歸口管理部門應(yīng)保持對第三方訪問、處理公司的敏感信息、關(guān)鍵信息、信息處理設(shè)施的監(jiān)控。相關(guān)服務(wù)歸口管理部門應(yīng)指定專人按照服務(wù)合同要求對服務(wù)情況進(jìn)行檢查，對服務(wù)內(nèi)容和質(zhì)量進(jìn)行評審或驗(yàn)收。6.4服務(wù)的變更管理6.4.1當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評估。對變更后的服務(wù)提供方進(jìn)行服務(wù)評估或驗(yàn)收。6.4.2當(dāng)服務(wù)內(nèi)容發(fā)生變更時(shí)，進(jìn)行服務(wù)內(nèi)容變更登記，對服務(wù)變更后對現(xiàn)有系統(tǒng)進(jìn)行評估，確保系統(tǒng)的安全性。7附件、記錄7.1《第三方工作記錄單》7.2《相關(guān)方聯(lián)絡(luò)表》變更控制程序文件編號：ISMS-B-11版本：A/0頁碼：第4頁共4頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范及加強(qiáng)對公司信息系統(tǒng)變更的控制，降低由于變更管理不當(dāng)而導(dǎo)致的信息系統(tǒng)風(fēng)險(xiǎn)，特制定本程序。2.范圍本程序適用于公司信息系統(tǒng)的維護(hù)管理部門對信息系統(tǒng)變更的管理。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)本公司信息系統(tǒng)變更的管理和協(xié)調(diào)處理，包括總體評價(jià)變更影響，決策管理，變更的計(jì)劃、實(shí)施、恢復(fù)等。3.2相關(guān)部門需要時(shí)，相關(guān)部門應(yīng)配合人力資源部實(shí)施信息系統(tǒng)變更。4.相關(guān)文件《軟件控制程序》5.術(shù)語定義無6.控制程序6.1變更分類6.1.1本公司涉及的變更分為以下6類：a)IT設(shè)備（信息處理設(shè)施）變更。b)操作系統(tǒng)變更。c)應(yīng)用系統(tǒng)變更。d）操作流程變更。e）數(shù)據(jù)庫變更。f）配置信息變更。6.2變更控制要求6.2.1變更計(jì)劃制訂當(dāng)信息系統(tǒng)需要發(fā)生變更時(shí)，應(yīng)先分析其變更原因，變更主要有以下幾個(gè)方面：a)IT設(shè)備的維修、升級或更換，按《信息處理設(shè)施控制程序》進(jìn)行控制。b)操作系統(tǒng)的補(bǔ)丁升級或更換。c)應(yīng)用系統(tǒng)的升級或更換。d)各類操作流程的變更。e）數(shù)據(jù)庫變更。f）配置信息變更。在明確變更原因后，人力資源部負(fù)責(zé)對變更進(jìn)行策劃，提出變更意見，以及變更的具體實(shí)施方案計(jì)劃，交由領(lǐng)導(dǎo)審核。6.2.2變更的批準(zhǔn)領(lǐng)導(dǎo)對提交的變更計(jì)劃進(jìn)行審核，如涉及到其他部門，則轉(zhuǎn)發(fā)相關(guān)部門共同審議，達(dá)成共同意見后，批準(zhǔn)變更計(jì)劃。人力資源部在經(jīng)領(lǐng)導(dǎo)及相關(guān)部門審批通過后實(shí)施變更具體操作。6.3變更的實(shí)施6.3.1變更實(shí)施前，人力資源部負(fù)責(zé)將變更的信息傳達(dá)到所有相關(guān)用戶。變更應(yīng)按批準(zhǔn)的計(jì)劃和程序進(jìn)行。6.3.2軟件的版本控制按《軟件控制程序》進(jìn)行。6.3.3應(yīng)當(dāng)由經(jīng)過培訓(xùn)或熟悉相關(guān)操作的系統(tǒng)管理員，根據(jù)授權(quán)來執(zhí)行操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級、補(bǔ)丁或更新。6.3.4操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級、補(bǔ)丁或更新前，應(yīng)進(jìn)行數(shù)據(jù)備份，包括數(shù)據(jù)、程序和具體配置。6.3.5變更如果影響業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)對業(yè)務(wù)連續(xù)性計(jì)劃做適當(dāng)調(diào)整或改變。6.3.6在變更過程中，應(yīng)采取措施防止信息泄漏（防止隱蔽通道或特洛伊木馬等）。6.3.7應(yīng)保存操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級、補(bǔ)丁或更新記錄。6.4變更不成功的恢復(fù)措施6.4.1所有的變更，包括IT系統(tǒng)的變更、操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫的升級、補(bǔ)丁或更新等，在制訂變更計(jì)劃時(shí)，就需要將失敗恢復(fù)措施作為必要措施寫入計(jì)劃，適當(dāng)時(shí)應(yīng)經(jīng)領(lǐng)導(dǎo)與相關(guān)部門論證通過。6.4.2在變更實(shí)施時(shí)，需要注意對應(yīng)用系統(tǒng)造成的影響，如影響超出可控范圍，需停止變更，并將系統(tǒng)恢復(fù)到變更前的狀態(tài)。6.4.3在變更實(shí)施后，由人力資源部和相關(guān)部門及用戶對變更的影響作出測試或評估，確保對業(yè)務(wù)連續(xù)性和安全沒有不利影響。如評估結(jié)果為變更不成功，則應(yīng)啟動變更恢復(fù)措施，將變更還原。6.5軟件包的變更6.5.1本公司一般不隨便更改軟件包。如果確有必要進(jìn)行更改，應(yīng)取得供應(yīng)商的許可和支持，提出更改的部門應(yīng)在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評估，確定必須的控制措施，經(jīng)人力資源部及領(lǐng)導(dǎo)批準(zhǔn)。6.5.2軟件包更改時(shí)，應(yīng)保留原始軟件，更改實(shí)施前應(yīng)得到人力資源部和應(yīng)用系統(tǒng)主管部門的授權(quán)。7附件、記錄7.1《信息系統(tǒng)變更記錄表》7.2《系統(tǒng)容量檢查記錄表》技術(shù)薄弱點(diǎn)控制程序文件編號：ISMS-B-12版本：A/0頁碼：第2頁共3頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司信息系統(tǒng)技術(shù)薄弱點(diǎn)的管理，包括信息管理的各個(gè)方面，如基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、桌面工作、電源、機(jī)房環(huán)境等，特制定本程序。2.范圍本程序適用于公司的管理體系覆蓋的所有要素和部門。3.職責(zé)與權(quán)限3.1信息管理部公司信息系統(tǒng)相關(guān)技術(shù)薄弱點(diǎn)的歸口管理部門，負(fù)責(zé)信息系統(tǒng)方面技術(shù)薄弱點(diǎn)的管理及協(xié)調(diào)處理。3.2其它部門信息系統(tǒng)的技術(shù)薄弱點(diǎn)的上報(bào)及協(xié)助處理。4.相關(guān)文件《ISO27001風(fēng)險(xiǎn)評估控制程序》5.術(shù)語定義無6.控制程序6.1技術(shù)薄弱點(diǎn)的識別6.1.1網(wǎng)絡(luò)部對公司信息系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行識別，包括資產(chǎn)的軟件供應(yīng)商、版本號、應(yīng)用情況、資產(chǎn)管理人員。6.1.2其它部門應(yīng)定期對本部門管理和使用的資產(chǎn)進(jìn)行識別，包括資產(chǎn)的軟件供應(yīng)商、版本號、應(yīng)用情況、資產(chǎn)管理人員。6.2技術(shù)薄弱點(diǎn)管理6.2.1歸口管理部門對技術(shù)薄弱點(diǎn)應(yīng)進(jìn)行風(fēng)險(xiǎn)評估，進(jìn)行專項(xiàng)分析，制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對應(yīng)的技術(shù)和管理措施。風(fēng)險(xiǎn)評估方法參見《ISO27001風(fēng)險(xiǎn)評估控制程序》。6.2.2本公司與ISO27001管理有關(guān)的所有員工對發(fā)現(xiàn)的ISO27001薄弱點(diǎn)或潛在威脅均應(yīng)履行報(bào)告義務(wù)。6.2.3技術(shù)薄弱點(diǎn)的發(fā)現(xiàn)部門/發(fā)現(xiàn)者應(yīng)填寫《ISO27001薄弱點(diǎn)報(bào)告》，網(wǎng)絡(luò)部及相關(guān)部門制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行整改處理。6.2.4網(wǎng)絡(luò)部負(fù)責(zé)人對風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行審核，對需要執(zhí)行的計(jì)劃組織相應(yīng)資源進(jìn)行整改。7附件、記錄7.1《ISO27001薄弱點(diǎn)報(bào)告》介質(zhì)管理程序文件編號：ISMS-B-13版本：A/0頁碼：第3頁共4頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司信息介質(zhì)的管理，包括對介質(zhì)進(jìn)行控制和物理上的保護(hù)，以防止信息遭受未授權(quán)泄露、修改、移動或銷毀以及業(yè)務(wù)活動遭受干擾等，特制定本程序。2.范圍本程序適用于公司各部門的介質(zhì)管理。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)公司相關(guān)信息介質(zhì)的統(tǒng)一采購、報(bào)廢跟進(jìn)及記錄歸檔管理。3.2信息管理部負(fù)責(zé)公司相關(guān)信息介質(zhì)的使用指導(dǎo)、維護(hù)和管理。3.2介質(zhì)使用部門和使用者應(yīng)遵守本程序的各項(xiàng)管理規(guī)定。部門使用及管理的介質(zhì)，由該部門領(lǐng)導(dǎo)負(fù)責(zé)保管或指定專人負(fù)責(zé)保管；個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4.相關(guān)文件《信息分類與處理指南》5.術(shù)語定義介質(zhì)包括：磁帶、磁盤、U盤、移動硬盤、光盤、存貯卡等。6.控制程序6.1總則6.1.1任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、chuanzhen機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲，當(dāng)存儲設(shè)備或介質(zhì)需要轉(zhuǎn)移或銷毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。6.1.2介質(zhì)處置原則：當(dāng)不再需要時(shí)，介質(zhì)應(yīng)該按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權(quán)人員的風(fēng)險(xiǎn)最小化。6.2介質(zhì)處置6.2.1敏感信息介質(zhì)的處置應(yīng)該與信息的敏感程度相一致，介質(zhì)的敏感程度應(yīng)考慮風(fēng)險(xiǎn)評估的結(jié)果。6.2.2介質(zhì)處置應(yīng)考慮下列原則：a)將所有的存儲介質(zhì)都應(yīng)安全的收集和處置；b)信息介質(zhì)的處置前應(yīng)該識別需要安全處置的項(xiàng)目；c)銷毀方式一般分為一般格式化、低級格式化、專業(yè)軟件重寫、粉碎。d)對無敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。e)保存有敏感信息的存儲介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹?。對于含有敏感信息的介質(zhì)應(yīng)采用低級格式化或?qū)I(yè)軟件重寫，反復(fù)次數(shù)為三次，再進(jìn)行粉碎。f)應(yīng)對含有敏感信息的存儲介質(zhì)的處置做出記錄，以備審查。g)銷毀的介質(zhì)在處理后宜保存三個(gè)月后再作處理。6.2.3介質(zhì)的處置措施可以是：a)軟盤：文件刪除后，高級格式化后粉碎。或利用專用磁盤維護(hù)工具，處理后粉碎。b)硬盤：文件先做刪除，高級格式化后，低級格式化。報(bào)廢的硬盤，需要粉碎報(bào)廢。循環(huán)使用的硬盤，低級格式化后，拷入大量數(shù)據(jù)，覆蓋無用信息后，高級格式化，再使用。c)光盤：一次性光盤，粉碎。可擦寫光盤，格式化后再使用。d)Cmos芯片：粉碎。e)Flash卡：報(bào)廢后粉碎。f)可擦寫芯片：刪除文件，粉碎。6.3介質(zhì)的使用及管理6.3.1介質(zhì)使用可移動介質(zhì)領(lǐng)用須經(jīng)本部門領(lǐng)導(dǎo)批準(zhǔn)，人力資源部應(yīng)保留相應(yīng)的領(lǐng)用申請記錄。不準(zhǔn)隨意將移動介質(zhì)借給他人及非相關(guān)人員使用，損壞的移動介質(zhì)不得隨意丟棄，應(yīng)按照規(guī)定方式銷毀處理。6.3.2復(fù)制和移出向可移動介質(zhì)拷貝敏感信息，或?qū)⒖梢苿咏橘|(zhì)帶離公司需要獲得本部門領(lǐng)導(dǎo)的批準(zhǔn)，并在“可移動介質(zhì)敏感使用記錄”上記錄存儲的信息、用途、批準(zhǔn)人、操作人等相關(guān)信息。存有涉密數(shù)據(jù)的移動硬盤由專人負(fù)責(zé)，外出攜帶時(shí)要嚴(yán)格控制在安全使用范圍內(nèi)，存儲的涉密數(shù)據(jù)使用完后要及時(shí)刪除。6.3.3重復(fù)使用對能夠重復(fù)使用的可移動介質(zhì)需要重復(fù)使用，被授權(quán)操作者首先必須確認(rèn)可移動介質(zhì)中的敏感信息或重要信息已經(jīng)安全清除，其次要嚴(yán)格控制在可移動介質(zhì)的廠家指出的可重復(fù)使用的次數(shù)之內(nèi)，確保其存貯信息的安全、可靠性。6.3.4保存可移動介質(zhì)的的保管部門應(yīng)按介質(zhì)要求的保存環(huán)境來保存含有敏感信息或重要信息的可移動介質(zhì)，各部門應(yīng)對含有敏感信息或重要信息的可移動介質(zhì)妥善保管，防止丟失，有任何異常必須向部門領(lǐng)導(dǎo)匯報(bào)，并根據(jù)部門領(lǐng)導(dǎo)的指示對異常情況作相應(yīng)的處理。6.3.5廢棄可移動介質(zhì)應(yīng)經(jīng)過部門領(lǐng)導(dǎo)認(rèn)可，需確保信息的保密性，能進(jìn)行刪除操作的，將保密信息或重要信息進(jìn)行刪除。需要廢棄的介質(zhì)統(tǒng)一送到網(wǎng)絡(luò)部統(tǒng)一進(jìn)行安全銷毀處理，并做好“可移動介質(zhì)處置記錄”，由人力資源部歸檔保管。6.4文檔信息資料對重要文件資料的打印、復(fù)制及分發(fā)應(yīng)加以控制，防止重要數(shù)據(jù)、敏感信息被泄露，應(yīng)按《信息分類與處理指南》執(zhí)行。7附件、記錄7.1《可移動介質(zhì)處置記錄》軟件控制程序文件編號：ISMS-B-14版本：A/0頁碼：第3頁共3頁版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場中心⑵項(xiàng)目中心⑶模具中心⑷采購部⑸品質(zhì)中心⑹貨倉課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司計(jì)算機(jī)軟件的收集、發(fā)放、管理、使用、更改、修訂、備份等過程的安全管理，特制定本程序。2.范圍本程序適用于公司計(jì)算機(jī)軟件的安全管理。3.職責(zé)與權(quán)限3.1人力資源部計(jì)算機(jī)軟件的歸口管理部門，包括軟件的購置、使用、歸檔、存放和作廢等工作。3.2其他各部門負(fù)責(zé)各部門的軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。4.相關(guān)文件《變更控制程序》5.術(shù)語定義無6.控制程序6.1軟件分類信息系統(tǒng)涉及的軟件分為以下3類：a)操作系統(tǒng)軟件；b)數(shù)據(jù)庫軟件；c)各類專業(yè)應(yīng)用軟件。6.2軟件的收集對軟件的管理首先要對公司使用的軟件進(jìn)行收集整理，軟件來源主要有以下幾個(gè)方面：a)已有商業(yè)軟件購買。b)與廠家以合同形式進(jìn)行新軟件的共同開發(fā)。c)免費(fèi)軟件的下載。d)已有軟件的技術(shù)轉(zhuǎn)讓。6.3軟件的審核、批準(zhǔn)、發(fā)布6.3.1新的軟件由人力資源部組織測試或使用檢驗(yàn)，測試應(yīng)當(dāng)包括可用性、安全性，對其它系統(tǒng)影響和用戶友好性，測試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。6.3.2新的軟件在測試或使用檢驗(yàn)合格后，經(jīng)人力資源部及公司領(lǐng)導(dǎo)審核并批準(zhǔn)后發(fā)布。6.4軟件歸檔和存放6.4.1人力資源部應(yīng)對公司使用的軟