ISO27001管理體系整套程序文件 OK

文件控制程序文件編號(hào)：ISMS-B-01版本：A/0頁(yè)碼：第2頁(yè)共9頁(yè)ISO27001信息安全程序文件清單版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心作者筆名：何姍1.0目的：為了使公司系統(tǒng)文件得到有效的控制，以確保公司文件的系統(tǒng)有效運(yùn)作（包括信息的安全保密、貯存管理），特制訂本程序。2.0適用范圍：適用于本公司所有運(yùn)作的管理文件，包括外來(lái)文件(如：國(guó)家、國(guó)際、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)、客戶(hù)和供應(yīng)商提供的文件、化學(xué)物質(zhì)管理資料)。3.0術(shù)語(yǔ)與定義：3.1文件：以文字或圖示描述管理內(nèi)容或業(yè)務(wù)內(nèi)容、通過(guò)規(guī)定程序由有權(quán)人員簽署發(fā)布、要求接收者據(jù)此作出規(guī)范反應(yīng)的電子文檔或紙質(zhì)文檔。3.2正本文件：由文件制作人制作的原稿文件。3.3受控文件：所有涉及到有版本控制要求的體系文件。3.4失效/作廢文件：經(jīng)改新版本后，其原來(lái)的文件/副本，以及自動(dòng)過(guò)期的文件稱(chēng)為失效/作廢文件。3.5外來(lái)文件：獲取外部單位文件，包括客戶(hù)提供的圖紙/規(guī)格，國(guó)際、國(guó)家、行業(yè)標(biāo)準(zhǔn)文件，法律法規(guī)；供應(yīng)商提供的化學(xué)物質(zhì)管理資料（MSDS），社會(huì)責(zé)任相關(guān)文件、職業(yè)健康與安全相關(guān)的文件等等。3.6參考文件：所有受控文件需外傳或不做文件回收控制之僅供參考的文件3.7修訂：指文件的修改和制定。3.8管理手冊(cè)：即一階文件，（質(zhì)量/環(huán)境管理統(tǒng)稱(chēng)管理手冊(cè)），是本公司的方針、目標(biāo)和管理方向性，是公司綱領(lǐng)性文件的描述。3.9程序文件：即二階文件，手冊(cè)中管理重點(diǎn)所延伸引用的下一階文件，是管理體系各重要作業(yè)程序的運(yùn)作文件，這一類(lèi)的作業(yè)通常都為跨部門(mén)性質(zhì)的作業(yè)。3.10三階管理類(lèi)文件：工作管理規(guī)定文件；規(guī)定某項(xiàng)活動(dòng)的具體方法的文件；3.11三階技術(shù)類(lèi)文件：說(shuō)明產(chǎn)品及方案指導(dǎo)產(chǎn)品生產(chǎn)、檢驗(yàn)等活動(dòng)的文件；目前本公司定義的三階技術(shù)文件為：產(chǎn)品檢驗(yàn)規(guī)范、作業(yè)指導(dǎo)書(shū)、BOM、工藝流程圖、承認(rèn)書(shū)、圖紙、工藝參數(shù)、FMEA等文件.3.12表格：即四階文件，管理體系中運(yùn)行過(guò)程中運(yùn)用的表單記錄格式。3.13記錄：運(yùn)作表格表達(dá)體系運(yùn)作的證明，可參考《記錄控制程序》。3.14網(wǎng)絡(luò)發(fā)布：通過(guò)系統(tǒng)將受控體系文件發(fā)布給相關(guān)人員的途徑。4.0職責(zé)和權(quán)限：4.1總經(jīng)理：負(fù)責(zé)批準(zhǔn)管理手冊(cè)。4.3管理者代表4.3.1負(fù)責(zé)批準(zhǔn)程序文件。4.3.2負(fù)責(zé)公司程序文件格式和內(nèi)容文審.4.3.3負(fù)責(zé)對(duì)管理方案、作業(yè)文件的批準(zhǔn)。4.4文控中心4.4.1負(fù)責(zé)公司文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收及報(bào)廢處理.4.4.2負(fù)責(zé)外來(lái)文件之接收、歸檔、登錄電腦、標(biāo)識(shí)、分發(fā)和回收、保存。4.4.3負(fù)責(zé)不定期對(duì)生產(chǎn)現(xiàn)場(chǎng)文件進(jìn)行審核和確認(rèn)其有效性。4.4.4保存更新《受控文件一覽表》。4.4.5負(fù)責(zé)文件編號(hào)及格式審定。4.5部門(mén)負(fù)責(zé)人4.5.1負(fù)責(zé)編制本部門(mén)程序文件4.5.2會(huì)審相關(guān)部門(mén)的程序文件4.5.3審核本部門(mén)三階管理類(lèi)文件與資料及批準(zhǔn)本部門(mén)三階技術(shù)類(lèi)文件與資料.4.6部門(mén)文員（文件管理員） 4.6.1負(fù)責(zé)對(duì)受控文件簽收、登記、發(fā)放、將舊版及時(shí)退回體系辦并定期檢查。4.7品質(zhì)中心4.7.1工程師（含）以上人員負(fù)責(zé)審核外來(lái)產(chǎn)品檢查標(biāo)準(zhǔn)方面文件的有效性和實(shí)用性。4.7.2負(fù)責(zé)本部門(mén)制作的三階技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收處理.4.8項(xiàng)目中心4.8.1工程師（含）以上人員負(fù)責(zé)審核外來(lái)產(chǎn)品方面技術(shù)文件的有效性和實(shí)用性。4.8.2負(fù)責(zé)本部門(mén)制作的三階技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收處理.4.9市場(chǎng)部/采購(gòu)課客戶(hù)相關(guān)紙質(zhì)檔文件及相關(guān)標(biāo)準(zhǔn)資料的接收并傳遞到文控中心。4.10模具中心負(fù)責(zé)本部門(mén)制作的三階技術(shù)文件之編號(hào)、歸檔、登錄電腦、標(biāo)識(shí)、保存、分發(fā)、回收及報(bào)廢處理.5.0運(yùn)作流程：6.0運(yùn)作程序：6.1文件格式6.1.1首頁(yè)：程序的首頁(yè)為《修改履歷表》，其內(nèi)容包括：版本、更新履歷、制訂/修訂、審批、批準(zhǔn)人和生效日期及文件分發(fā)欄。6.1.2文頭：程序的文頭由以下部分組成：公司Logo、程序名稱(chēng)、文件編號(hào)、版本（含版號(hào)及修改狀態(tài)）、及頁(yè)碼。6.1.3所有系統(tǒng)程序和工作指引文件都要使用規(guī)定的格式，且文件的編制需遵守以下規(guī)定：文件名稱(chēng)一階主題文字用宋體、小二號(hào)字、加粗；文件編號(hào)、版本及頁(yè)碼用宋體、四號(hào)字、加粗；文件中的內(nèi)容之文字用宋體、五號(hào)字、1.5倍行距：文件中涉及的所有文件及表單要加書(shū)名號(hào)“《》”；修訂后的內(nèi)容用藍(lán)色字體，加粗，加雙下劃線標(biāo)識(shí)。涉及到新的術(shù)語(yǔ)需在3.0術(shù)語(yǔ)與定義中定義清楚；文件中大的章節(jié)字體需加粗（如1.0.目的、2.0.適用范圍等）；文件編制序號(hào)超過(guò)三位數(shù)，必須用1.2.3.………表示，此序號(hào)還有分述的，用a.b.c.……表示。6.1.4所有系統(tǒng)程序文件的正文應(yīng)包括以下章節(jié)： 1.0目的： 2.0適用范圍： 3.0術(shù)語(yǔ)與定義： 4.0職責(zé)與權(quán)限：5.0運(yùn)作流程：6.0運(yùn)作程序： 7.0相關(guān)文件及附件： 8.0相關(guān)記錄：（當(dāng)某一章節(jié)不適用時(shí)，請(qǐng)?jiān)诒菊鹿?jié)標(biāo)題下注明“不適用”或“無(wú)”。工作指引文件視其具體內(nèi)容和范圍，可包括以上適用章節(jié)。）6.2文件的制訂、審核與批準(zhǔn)6.2.1各部門(mén)文件編好后發(fā)E-mail到文控中心，文控中心對(duì)文件格式，文件名稱(chēng)，內(nèi)容適宜性進(jìn)行確認(rèn)，如無(wú)問(wèn)題則給文件編好號(hào)再回傳給文件制作部門(mén)，反之如存在問(wèn)題則直接回傳給文件制作部門(mén)要求整改，待整改合格后再確認(rèn)。6.2.2各部門(mén)根據(jù)自身的工作職責(zé)/內(nèi)容、手冊(cè)和相關(guān)程序文件的規(guī)定要求，編制相應(yīng)的工作指引文件。6.2.3各部門(mén)負(fù)責(zé)人在編寫(xiě)文件時(shí)，要按照6.1和6.2章節(jié)的有關(guān)規(guī)定進(jìn)行，要確保文件的完整性、有效性、清晰、可操作性和易讀性。6.2.4系統(tǒng)程序文件（二階文件）應(yīng)由該文件涉及到所有部門(mén)主管討論，部門(mén)負(fù)責(zé)人審核，呈交管理代表或總經(jīng)理批準(zhǔn)。詳細(xì)審核權(quán)限說(shuō)明見(jiàn)下表：文件職位管理手冊(cè)（一階文件）程序文件（二階文件）工作指引類(lèi)（三階管理類(lèi)文件）工作指引類(lèi)（三階技術(shù)類(lèi)文件）表單（四階文件）管理代表制定/修改批準(zhǔn)批準(zhǔn)//總經(jīng)理批準(zhǔn)批準(zhǔn)///部門(mén)負(fù)責(zé)人評(píng)審會(huì)簽審核///部門(mén)負(fù)責(zé)人/制定/修改審核批準(zhǔn)批準(zhǔn)工程師以上人員或指定人員//制定/修改制定/修改制定/修改6.3文件的培訓(xùn)與檢討文件編制部門(mén)在文件獲得批準(zhǔn)后，制訂本部門(mén)文件培訓(xùn)計(jì)劃，對(duì)所有執(zhí)行該文件的人員進(jìn)行培訓(xùn)，以確保每個(gè)執(zhí)行人員理解文件的規(guī)定和要求，確保正確實(shí)施和有效執(zhí)行。6.4外來(lái)文件的控制6.4.1.業(yè)務(wù)部負(fù)責(zé)提供有關(guān)客戶(hù)的圖紙/規(guī)格/作業(yè)標(biāo)準(zhǔn)，項(xiàng)目工程人員應(yīng)在3個(gè)工作日之內(nèi)識(shí)別與確認(rèn)文件有效性及實(shí)用性，并注明需分發(fā)的部門(mén)，然后交到文控中心受控分發(fā)。6.4.2.項(xiàng)目工程人員負(fù)責(zé)識(shí)別與確認(rèn)產(chǎn)品有關(guān)國(guó)家/國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，并注明需分發(fā)的部門(mén)，然后交到文控中心受控分發(fā)。6.4.3.所有外來(lái)圖紙及工程有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過(guò)項(xiàng)目工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門(mén)；所有外來(lái)跟產(chǎn)品質(zhì)量有關(guān)的標(biāo)準(zhǔn)文件均需經(jīng)過(guò)品質(zhì)中心工程師（含工程師）以上人員確認(rèn)并注明分發(fā)部門(mén)，然后交到體系辦受控分發(fā)。6.4.4針對(duì)體系國(guó)家標(biāo)準(zhǔn)及質(zhì)量/環(huán)境/職業(yè)安全與健康的法律法規(guī)等均需經(jīng)過(guò)體系辦專(zhuān)員以上確認(rèn)。然后編號(hào)并加蓋“外來(lái)受控”印章發(fā)行以便識(shí)別。6.4.5所有文件受控章都蓋在文件的右上角，以清晰不影響使用效果為準(zhǔn)。6.5文件的分發(fā)與回收6.5.1文件審批前，應(yīng)呈交文控中心（三階技術(shù)文件除外），文控中心負(fù)責(zé)人應(yīng)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定，文件是否清晰、易讀：1.針對(duì)三階技術(shù)類(lèi)文件，在文件審批完畢后，由制作部門(mén)的文件管理員負(fù)責(zé)檢查核實(shí)：文件格式、文件內(nèi)容是否符合本文件的規(guī)定；文件是否通過(guò)規(guī)定審批者審批，文件是否清晰、易讀。6.5.2系統(tǒng)程序文件分發(fā)到所用審批部門(mén)各一份，工作指引及其他類(lèi)型文件的分發(fā)地點(diǎn)及份數(shù)由文件的制訂部門(mén)或和體系辦共同確定：1.文本發(fā)放a.文件制訂部門(mén)按規(guī)定的要求復(fù)印相應(yīng)的份數(shù)后連同正本文件一起交到體系辦，體系辦在發(fā)行受控文件時(shí)在文件上加蓋紅色“受控文件”章，然后將受控文件登記在《文件發(fā)行和回收記錄表》內(nèi)并通知相關(guān)單位到文控中心領(lǐng)取受控文件，正本文件保留于文控中心。2.網(wǎng)絡(luò)發(fā)布a.針對(duì)分發(fā)的文件（三階技術(shù)文件除外）由體系辦制作成PDF檔并通過(guò)網(wǎng)絡(luò)發(fā)布在公共盤(pán)內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤(pán)內(nèi)容；b.針對(duì)三階技術(shù)文件由制作部門(mén)設(shè)置權(quán)限通過(guò)網(wǎng)絡(luò)發(fā)布在公共盤(pán)內(nèi)，以供相關(guān)人員參考，如文件有更新則及時(shí)更新公共盤(pán)內(nèi)容。6.5.3文件回收1.當(dāng)文件有變更新版本，各部門(mén)應(yīng)將舊版本文件及時(shí)回收文控中心換取新版本文件，文控人員發(fā)現(xiàn)文件發(fā)行3天內(nèi)還未回收舊版的，將清單列出通報(bào)，各相關(guān)部門(mén)主管回復(fù)原因。6.5.4文件補(bǔ)發(fā)申請(qǐng)與審批1.因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫(xiě)《文件申請(qǐng)表》經(jīng)本部門(mén)主管審批，交文控人員處理，文控人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收；2.針對(duì)三階技術(shù)文件，因公司實(shí)際運(yùn)作或生產(chǎn)的需要時(shí)，可填寫(xiě)《文件申請(qǐng)表》經(jīng)本部門(mén)主管審批，交文件制作部門(mén)的文件管理人員（品質(zhì)/工程/模具）處理。文件管理人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收。6.5.5.文件的遺失/損壞處理1.因管理不善將文件遺失/損壞時(shí)，由遺失/損壞部門(mén)填寫(xiě)《文件申請(qǐng)表》經(jīng)本部門(mén)主管審批，交文控人員處理，文控人員將其登記到《文件補(bǔ)發(fā)一覽表》中，備注補(bǔ)發(fā)原因，并予以補(bǔ)發(fā)及簽收，并通報(bào)處理，遺失文件以后若找到需立即退回；2.針對(duì)無(wú)故或人為損壞/遺失受控文件，按《員工獎(jiǎng)懲管理制度》處理。6.6文件評(píng)審與更改6.6.1當(dāng)公司組織架構(gòu)和管理人員發(fā)生重大變更時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)。文件修訂人必須在“更改履歷”登錄,更改履歷最少需在文件中保留近三次。體系辦將根據(jù)《內(nèi)部審核控制程序》，在每次內(nèi)部審核過(guò)程中對(duì)文件進(jìn)行評(píng)審。所有文件初次版本均為A/0，依次修改后為A/1、A/2、至A/4，然后按B/0至B/4進(jìn)行換版。如果修訂篇幅比較多的，可以直接升版本和版次，A/1直接調(diào)到B/0；當(dāng)方針和目標(biāo)不適用時(shí)按客戶(hù)需求和結(jié)合公司實(shí)際進(jìn)行修改。6.6.2修訂后的文件必須按照本文件規(guī)定再次進(jìn)行審批，分發(fā)、同時(shí)回收原舊版本。6.6.3外來(lái)文件的變更時(shí)，相關(guān)外來(lái)文件接收部門(mén)應(yīng)積極向客戶(hù)或外部索取。并確認(rèn)后交品質(zhì)/工程/模具/文控中心受控分發(fā)“外來(lái)受控文件”。另：外來(lái)環(huán)境方面法律法規(guī)可直接向體系辦確認(rèn)，確認(rèn)后受控分發(fā)。并將相關(guān)文件進(jìn)行修訂。6.7作廢文件的處理6.7.1失效版本或作廢文件需登記到《作廢文件一覽表》中，副本需立即銷(xiāo)毀（同時(shí)視作廢文件，非公司jimi可以?xún)?nèi)部作為再生紙使用）。6.7.2受控原件（即正本文件）在文件正面加蓋“作廢文件”印章分類(lèi)歸檔，客戶(hù)產(chǎn)品圖紙?jiān)诒趁婕由w“作廢”印章做永久性保存，其他文件作廢原版保存三年。6.8文件保管6.8.1公司所有的文件都應(yīng)保存在適宜的環(huán)境中，以免文件及其內(nèi)容受到損壞、遺失或作其它不適宜用途。6.8.2文控中心應(yīng)編制《受控文件一覽表》，各部門(mén)應(yīng)編制本部門(mén)所保管的《受控文件一覽表》便于相關(guān)人員的使用和查詢(xún)。6.8.3電子文檔保管：1外來(lái)文件、程序文件、三級(jí)文件(技術(shù)類(lèi)文件除外)等全部在各部門(mén)受控的同時(shí)將電子文檔電郵到體系辦，文控人員放到“*”中。體系管理及其他部門(mén)查閱全部依權(quán)限進(jìn)入。文控中心有放入和修訂權(quán)限，其他部門(mén)查閱權(quán)限。受控文件的修訂后的電子文檔需要電郵到體系辦存檔；2IT對(duì)存放網(wǎng)絡(luò)上的程序文件需要作異地備份管理，以避免電腦崩潰而造成損失。6.8.4外發(fā)文件申請(qǐng)與控制：1凡需發(fā)放到公司以外單位，有關(guān)人員填寫(xiě)《文件申請(qǐng)表》，經(jīng)本部門(mén)主管審批后交到文控中心；2文件受控部門(mén)將所需文件復(fù)印件蓋紅色“參考文件”印章分發(fā)到申請(qǐng)人，由申請(qǐng)人轉(zhuǎn)交到接收單位。7.0相關(guān)文件及附件：7.1附件一文件名稱(chēng)、編號(hào)規(guī)則如下表所示，未有標(biāo)注或后新增的文件，以名稱(chēng)的英文縮寫(xiě)為準(zhǔn)：NO.文件名稱(chēng)（中文）文件編號(hào)1管理手冊(cè)ISMS-A-XX（流水號(hào)）2程序文件ISMS-B-XX（流水號(hào)）3工作指引ISMS-C-XX（流水號(hào)）4表單ISMS-D-XXX（流水號(hào)）7.3附件二文件控制印章的樣式:7.3相關(guān)文件8.0相關(guān)記錄：NO記錄名稱(chēng)表單編號(hào)保存期記錄保存部門(mén)1《文件申請(qǐng)表》ISMS-C-0013年體系辦2《受控文件一覽表》ISMS-C-0023年體系辦3《文件補(bǔ)發(fā)一覽表》ISMS-C-0033年體系辦4《文件發(fā)行和回收記錄表》ISMS-C-0043年體系辦5《作廢文件一覽表》ISMS-C-0053年體系辦9《聯(lián)絡(luò)單》ISMS-C-0063年體系辦記錄控制程序文件編號(hào)：ISMS-B-02版本：A/0頁(yè)碼：第2頁(yè)共3頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為管制ISO27001管理體系記錄，以展示ISO27001管理體系符合規(guī)定并有效運(yùn)作,需保存所有證明符合要ISO27001要求之相關(guān)記錄文件。2.范圍適用于本公司ISO27001管理體系內(nèi)所產(chǎn)生記錄之鑒別、儲(chǔ)存、查閱、防護(hù)保存期限及處置。3.職責(zé)與權(quán)限3.1記錄之收集、索引、查閱、建文件保存、維護(hù)與處理：相關(guān)單位。3.2記錄一覽表之建立：體系中心。3.3記錄一覽表之核準(zhǔn)：管理代表。相關(guān)文件文件控制程序術(shù)語(yǔ)定義無(wú)控制程序6.1記錄之鑒別：6.1.1新設(shè)計(jì)表單經(jīng)申請(qǐng)核可后，需由文件管制單位歸類(lèi)確認(rèn)是否為記錄。6.1.2人事行政部依據(jù)各項(xiàng)程序文件規(guī)定之記錄并編表單號(hào)，將之匯總于記錄一覽表。6.1.3記錄一覽表轉(zhuǎn)管理代表核準(zhǔn)后，原稿存人事行政部，副本發(fā)行至各部門(mén)。6.2記錄之填寫(xiě)：6.2.1所有記錄必須有充分的信息，足以追查所欲達(dá)成的品質(zhì)目標(biāo)，并判定品質(zhì)管理系統(tǒng)之有效性，而且記錄之內(nèi)容必須清楚干凈，必要時(shí)應(yīng)標(biāo)示清楚日期以利識(shí)別存取。6.2.2記錄填寫(xiě)之注意事項(xiàng)：記錄不得以鉛筆填寫(xiě)，且字跡必須工整、清晰可辨。重要記錄修改時(shí)其空白字段需以“/”或“x”等符號(hào)劃銷(xiāo)以避免規(guī)定需填列之字段漏記。記錄需經(jīng)授權(quán)人核準(zhǔn)后方為有效，凡記錄修改后，需再經(jīng)授權(quán)人確認(rèn)和認(rèn)可。6.3收集/歸檔：6.3.1記錄之匯整，需依不同表單別，分別設(shè)立檔案，并依序妥善放存，且應(yīng)避免有缺頁(yè)、破損之情形。6.3.2若記錄為連續(xù)周期性之表單，則盡可能依日期先后順序歸檔。6.3.3若記錄為非連續(xù)性表單，則依月日先后秩序整理歸檔。6.4查閱：6.4.1內(nèi)部查閱：凡屬本公司內(nèi)部部門(mén)與部門(mén)之間借調(diào)，由需求單位和表格制作單位/部門(mén)主管協(xié)商同意后，借調(diào)使用。屬jimi性記錄，如合同、客戶(hù)檔案，銷(xiāo)售信息記錄等，需經(jīng)總經(jīng)理批準(zhǔn)。6.5.1外部查閱：凡屬公司外部借調(diào)者，由外部機(jī)構(gòu)或企業(yè)之接洽單位開(kāi)出書(shū)面申請(qǐng)，經(jīng)本公司總經(jīng)理核準(zhǔn)后，方可借出。6.5保存/銷(xiāo)毀：6.5.1各項(xiàng)記錄應(yīng)規(guī)定保存部門(mén)及保存年限在記錄一覽表中，經(jīng)管理代表核準(zhǔn)后執(zhí)行。6.5.1記錄必須存于良好環(huán)境下防潮濕，以避免資料之毀壞。重要的記錄應(yīng)由電子版COPY一份，存入軟硬盤(pán)中保存。6.5.2各項(xiàng)記錄之文件格式修改與變更，參照《文件控制程序》之規(guī)定辦理。6.5.3逾期保存之記錄，由文管中心統(tǒng)一銷(xiāo)毀并作記錄。7.附件、記錄記錄一覽表內(nèi)部審核控制程序文件編號(hào)：ISMS-B-03版本：A/0頁(yè)碼：第1頁(yè)共4頁(yè)更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的驗(yàn)證公司的ISO27001管理體系是否符合標(biāo)準(zhǔn)及本公司ISO27001管理體系的要求，是否符合策劃的安排，是否得到有效實(shí)施與保持。2.范圍凡本公司ISO27001管理相關(guān)活動(dòng)及實(shí)施單位之內(nèi)審作業(yè)均屬之。3.職責(zé)與權(quán)限3.1內(nèi)審計(jì)劃之?dāng)M定與內(nèi)審小組之籌措：管理代表。3.2內(nèi)審計(jì)劃之核準(zhǔn)：總經(jīng)理。3.3內(nèi)審計(jì)劃之實(shí)施：內(nèi)審小組。3.4內(nèi)審缺失報(bào)告之開(kāi)立：內(nèi)審員。3.5內(nèi)審缺失之改善：被審部門(mén)、相關(guān)部門(mén)。3.6缺失改善之追蹤確認(rèn)：內(nèi)審員。4.相關(guān)文件糾正與預(yù)防控制程序5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1內(nèi)審計(jì)劃之?dāng)M定：6.1.1管理代表依受審狀況于每年度十二月訂定次年度的內(nèi)審計(jì)劃且每十二個(gè)月的審核次數(shù)不少于一次，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.1.2當(dāng)發(fā)生重大ISO27001事件或有實(shí)際需要時(shí)，應(yīng)由管理代表提出不定期之內(nèi)審，呈總經(jīng)理核準(zhǔn)后實(shí)施。6.1.3每次內(nèi)審前一周由管理代表挑選合格之內(nèi)審人員組成內(nèi)審小組，以便執(zhí)行內(nèi)審。6.2內(nèi)審?fù)ㄖ?.2.1定期內(nèi)審時(shí)管理代表應(yīng)依內(nèi)審單位之狀況及重要性及前次內(nèi)審結(jié)果于內(nèi)審前與受審單位協(xié)調(diào)后，擬定內(nèi)審?fù)ㄖ獑纬士偨?jīng)理核準(zhǔn)后，提前一周由管理代表發(fā)出，不定期內(nèi)審則不提前通知。6.2.2內(nèi)審?fù)ㄖ獞?yīng)說(shuō)明內(nèi)審時(shí)間、受審單位、內(nèi)審內(nèi)容及內(nèi)審員。6.3內(nèi)審準(zhǔn)備：6.3.1管理代表應(yīng)告知內(nèi)審小組人員，其內(nèi)審之區(qū)域或內(nèi)審之范圍。6.3.2內(nèi)審人員不得參與自己所屬部門(mén)之內(nèi)審工作，且應(yīng)對(duì)受審區(qū)域有基本的認(rèn)知與了解。6.3.3內(nèi)審人員應(yīng)在內(nèi)審前取得該內(nèi)審區(qū)域前一次內(nèi)審之結(jié)果及有關(guān)資料，擬定此次的審查項(xiàng)目于內(nèi)審查檢表。6.4內(nèi)審前會(huì)議：管理代表于正式內(nèi)審前舉行內(nèi)審前會(huì)議，說(shuō)明此次內(nèi)審內(nèi)容與方向，并安排內(nèi)審后會(huì)議之舉行時(shí)間及地點(diǎn)。6.5內(nèi)審執(zhí)行：6.6.1內(nèi)審人員依據(jù)內(nèi)審檢查表進(jìn)行內(nèi)審，并記下內(nèi)審所發(fā)現(xiàn)之事實(shí)。6.6.2內(nèi)審人員可擴(kuò)大內(nèi)審項(xiàng)目，以便增大內(nèi)審之有效性6.6.3內(nèi)審時(shí)，應(yīng)如實(shí)記錄于內(nèi)審檢查表上。6.6.4內(nèi)審中所發(fā)現(xiàn)的每一項(xiàng)不符合事項(xiàng)應(yīng)記錄于內(nèi)部審核記錄中。6.6內(nèi)審后會(huì)議及糾正措施：6.6.1內(nèi)審人員應(yīng)于內(nèi)審后會(huì)議向受審單位之主管或其代表報(bào)告受審單位整體內(nèi)審結(jié)果。6.6.2若對(duì)內(nèi)審結(jié)果無(wú)異議時(shí)，受審單位于內(nèi)審缺失報(bào)告上對(duì)不符合事項(xiàng)逐一簽字，并提出改善原因分析及糾正預(yù)防措施與改善期限。管理代表將全部之內(nèi)審缺失報(bào)告，交內(nèi)審單位進(jìn)行糾正。6.6.3受審單位主管對(duì)內(nèi)審之缺失在規(guī)定期限內(nèi)予以改善。6.7追蹤確認(rèn)：6.7.1內(nèi)審人員應(yīng)在內(nèi)審缺失報(bào)告上之改善期限內(nèi)與受審部門(mén)確認(rèn)以完成之糾正預(yù)防及其成效。6.7.2內(nèi)審人員對(duì)于已完成之確認(rèn)動(dòng)作之內(nèi)審缺失報(bào)告應(yīng)予以簽認(rèn)結(jié)案，對(duì)于未改善的單位，應(yīng)規(guī)定再次改善措施之預(yù)定完成日期，并請(qǐng)受內(nèi)審部門(mén)主管于內(nèi)審缺失報(bào)告上簽認(rèn)，對(duì)于連續(xù)兩次確認(rèn)未改善者，由管理代表向總經(jīng)理匯報(bào)裁示。6.8提報(bào)管理審查：6.8.1內(nèi)審人員確認(rèn)已結(jié)案后，應(yīng)將所有資料送交管理代表審核存檔。6.8.2管理代表于每次內(nèi)審后一周，應(yīng)做成《內(nèi)審總結(jié)報(bào)告》呈總經(jīng)理核準(zhǔn)。6.8.3管理代表于內(nèi)審計(jì)劃注明計(jì)劃完成情況，并將公司之內(nèi)外部審核狀況納入下次管理審查會(huì)議中報(bào)告。6.9所有內(nèi)部?jī)?nèi)審所產(chǎn)生之記錄，由管理代表保存，保存期限二年。管理評(píng)審控制程序文件編號(hào)：ISMS-B-04版本：A/0頁(yè)碼：第4頁(yè)共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心目的為規(guī)定ISO27001管理體系管理評(píng)審之權(quán)責(zé)方式，確保組織效能與ISO27001管理體系之適切性、有效性，且持續(xù)改善。范圍公司ISO27001管理體系所涵蓋的所有活動(dòng)。職責(zé)與權(quán)限3.1管理審查會(huì)議之召集及追蹤確認(rèn)：管理代表。3.2管理審查會(huì)議之主持：總經(jīng)理。3.3管理審查會(huì)議參加人員：管理代表、審核員、主管。相關(guān)文件糾正與預(yù)防控制程序術(shù)語(yǔ)定義無(wú)控制程序6.1管理審查時(shí)機(jī)：6.1.1定期審查：每十二個(gè)月實(shí)施1次，在ISO27001管理體系審查后15天內(nèi)擇期召開(kāi)。6.1.2不定期審查：當(dāng)遇到下列情形時(shí)，由總經(jīng)理決定召開(kāi)管理審查會(huì)議，并由管理代表以會(huì)議/培訓(xùn)通知單的方式通知相關(guān)人員。組織改革：當(dāng)公司組織變革，明顯對(duì)ISO27001管理體系產(chǎn)生不適合、沖突或造成ISO27001政策、目標(biāo)妨礙時(shí)。產(chǎn)品變化：新產(chǎn)品發(fā)展，顯示ISO27001管理體系不能有效管制與運(yùn)作時(shí)。重大系統(tǒng)事項(xiàng)或客訴，顯示ISO27001管理體系不當(dāng)導(dǎo)致者?？蛻?hù)、認(rèn)證機(jī)構(gòu)評(píng)鑒有重大缺失時(shí)。6.2管理審查會(huì)議輸入ISO27001管理評(píng)審的輸入包括但不限于以下內(nèi)容：ISO27001管理體系內(nèi)外部審核結(jié)果。相關(guān)方的反饋。用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程。預(yù)防和糾正措施的狀況。以往風(fēng)險(xiǎn)評(píng)估沒(méi)有強(qiáng)調(diào)的脆弱點(diǎn)或威脅。有效性測(cè)量的結(jié)果。以往管理評(píng)審的跟蹤措施。可能影響ISMS的任何變更。改進(jìn)建議。6.3會(huì)議進(jìn)行6.3.1管理代表負(fù)責(zé)于管理審查會(huì)議召開(kāi)一周前以會(huì)議/培訓(xùn)通知單通知參加人員，會(huì)議由總經(jīng)理主持，具體進(jìn)行如下：6.3.2上次會(huì)議決議事項(xiàng)執(zhí)行情形追蹤。a.管理代表對(duì)上次會(huì)議決議事項(xiàng)執(zhí)行成效(包括對(duì)管理體系的影響)提出報(bào)告與檢討。b.各部門(mén)主管對(duì)執(zhí)行成效不彰事項(xiàng)提出說(shuō)明及解決方案列入下次會(huì)議追蹤檢討。6.3.3由各部門(mén)報(bào)告ISO27001管理體系體系在部門(mén)之執(zhí)行情形。6.3.4會(huì)議主持人應(yīng)就上述報(bào)告事項(xiàng)，審查其現(xiàn)行績(jī)效及改善機(jī)會(huì)并評(píng)估本公司之管理體系，包括政策及目標(biāo)高更的需求。6.4管理審查會(huì)議輸出：6.4.1管理評(píng)審會(huì)議記錄：會(huì)議進(jìn)行之內(nèi)容及決議之事項(xiàng)，由管理代表指派適當(dāng)人員記錄于會(huì)議記錄中。會(huì)議后由管理者代表形成管理評(píng)審報(bào)告，報(bào)總經(jīng)理和相關(guān)部門(mén)。6.5.1決議管理會(huì)議之決議事項(xiàng)應(yīng)制定糾正預(yù)防措施包括如下項(xiàng)目，并指定負(fù)責(zé)單位及完成期限并影印分發(fā)相關(guān)人員。a.管理體系的改善，例如管理目標(biāo)的展開(kāi)。b.流程、產(chǎn)品及服務(wù)的稽核，例如更新稽核計(jì)劃。c.資源需求，例如增新的測(cè)試儀器。d.追蹤確認(rèn)/記錄與保存。管理代表應(yīng)負(fù)責(zé)決議工作之督導(dǎo)跟催與成效評(píng)議，并登錄于會(huì)議記錄之追蹤確認(rèn)檔。執(zhí)行事項(xiàng)如需疑難調(diào)解，由管理代表向總經(jīng)理提報(bào)裁示。管理審查之會(huì)議記錄由體系中心保存，保存期限三年。7.附件、記錄7.1管理評(píng)審計(jì)劃7.2管理評(píng)審會(huì)議記錄7.3管理評(píng)審報(bào)告7.4會(huì)議簽到表糾正與預(yù)防控制程序文件編號(hào)：ISMS-B-05版本：A/0頁(yè)碼：第5頁(yè)共6頁(yè)更改履歷制訂/修訂審批生效日期A/0 編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的針對(duì)不符合公司要求或客戶(hù)要求之產(chǎn)品,及時(shí)采取有效的糾正和預(yù)防措施，清除實(shí)際或潛在的不合格因素，并確保此類(lèi)問(wèn)題不再發(fā)生。2.范圍適用于對(duì)各部門(mén)制訂、實(shí)施和驗(yàn)證糾正及預(yù)防措施的控制。3.職責(zé)與權(quán)限3.1糾正與預(yù)防措施之提出：相關(guān)單位。3.2原因分析：相關(guān)部門(mén)。3.3改善對(duì)策之?dāng)M定：文控中心、相關(guān)部門(mén)。3.4改善對(duì)策之執(zhí)行：相關(guān)部門(mén)。3.5改善對(duì)策之追蹤確認(rèn)：相關(guān)單位、內(nèi)審小組。4.相關(guān)文件a)文件控制程序b)內(nèi)部審核控制程序c)管理評(píng)審控制程序5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1糾正過(guò)程的管理6.1.1評(píng)審已存在不合格已存在的不合格包括：安全管理不安全因素及發(fā)生的不安全事件；ISO27001管理體系運(yùn)行的不合格項(xiàng)；顧客對(duì)服務(wù)的投訴；來(lái)自相關(guān)方的投訴。不合格可分為輕微不合格、一般不合格和嚴(yán)重不合格。已存在不合格信息的收集當(dāng)存在下列情況時(shí)，均屬于己發(fā)生的不合格項(xiàng)，必須采取糾正措施：a)內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的一般不合格、嚴(yán)重不合格項(xiàng)或需重大改進(jìn)問(wèn)題；b)ISO27001管理體系運(yùn)行中出現(xiàn)的不合格項(xiàng)；c)發(fā)現(xiàn)某一過(guò)程失控。文控中心收集內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問(wèn)題，按需要填寫(xiě)“糾正預(yù)防措施單”，提出糾正措施要求。文控中心收集和評(píng)審來(lái)自企業(yè)內(nèi)部員工、各業(yè)務(wù)系統(tǒng)用戶(hù)等提出的ISO27001相關(guān)的不合格信息，按需要填寫(xiě)“糾正預(yù)防措施單”，提出糾正和預(yù)防措施要求。收集的不合格信息形式可以是：內(nèi)部工作聯(lián)系單，合理化建議和技術(shù)改進(jìn)意見(jiàn)表格，相關(guān)會(huì)議意見(jiàn)，來(lái)自顧客的普通的chuanzhen、dianhua和口頭建議，相關(guān)的社會(huì)媒體報(bào)道等。對(duì)于已經(jīng)收集到的不合格信息，按照“糾正預(yù)防措施單”進(jìn)行填寫(xiě)。6.1.2確定不合格的原因責(zé)任部門(mén)在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召開(kāi)分析會(huì)，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的原因：a)規(guī)程、標(biāo)準(zhǔn)及其他程序或規(guī)定不適當(dāng)；b)人員缺乏培訓(xùn)，安全意識(shí)不強(qiáng)或業(yè)務(wù)水平不夠；c)工作計(jì)劃控制不良，工時(shí)安排過(guò)緊，過(guò)程控制不當(dāng)；d)檢驗(yàn)控制不良；e)人力資源和物質(zhì)資源不足；f)ISO27001方面缺乏相關(guān)設(shè)備配置、技術(shù)手段等；g)管理不嚴(yán)，缺乏有關(guān)程序規(guī)定等；h)其他原因。對(duì)重大問(wèn)題產(chǎn)生的不合格，必要時(shí)由文控中心報(bào)管理者代表召開(kāi)專(zhuān)門(mén)分析會(huì)議，進(jìn)行原因分析，并提出糾正措施方案。6.1.3確認(rèn)糾正措施計(jì)劃責(zé)任部門(mén)對(duì)己發(fā)生的不合格或潛在的不合格因素，在充分分析原因的基礎(chǔ)上，應(yīng)制定具體的糾正和預(yù)防措施計(jì)劃，并填寫(xiě)在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。制定糾正措施的計(jì)劃應(yīng)根據(jù)輕微不合格、一般不合格和嚴(yán)重不合格確定計(jì)劃的優(yōu)先順序，對(duì)于嚴(yán)重不合格項(xiàng)，應(yīng)在3個(gè)工作日內(nèi)完成相應(yīng)措施計(jì)劃的制定和落實(shí)；對(duì)于輕微和一般不合格，責(zé)任部門(mén)可以結(jié)合日常工作計(jì)劃予以安排、實(shí)施。糾正和預(yù)防措施應(yīng)與問(wèn)題的嚴(yán)重性和面臨的安全風(fēng)險(xiǎn)相適應(yīng)。對(duì)嚴(yán)重不合格所確定的糾正措施，由文控中心報(bào)請(qǐng)管理者代表召開(kāi)有關(guān)部門(mén)參加的專(zhuān)門(mén)會(huì)議進(jìn)行評(píng)審，必要時(shí)需進(jìn)行試驗(yàn)驗(yàn)證，糾正措施計(jì)劃必須經(jīng)管理者代表審批，重大項(xiàng)目報(bào)告要報(bào)最高管理者審批。6.1.4實(shí)施糾正措施對(duì)于所有擬訂的糾正措施，在實(shí)施前先通過(guò)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程進(jìn)行評(píng)審。責(zé)任部門(mén)應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按糾正措施要求對(duì)管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效，以防止不合格再發(fā)生。在實(shí)施糾正措施時(shí)，如出現(xiàn)問(wèn)題要及時(shí)向文控中心反映情況，當(dāng)糾正措施完成后，責(zé)任部門(mén)應(yīng)將完成情況填寫(xiě)在“糾正預(yù)防措施單”上。6.1.5驗(yàn)證所采取的糾正措施對(duì)已完成的糾正和預(yù)防措施，文控中心應(yīng)派人進(jìn)行評(píng)審驗(yàn)證，凡經(jīng)證實(shí)改進(jìn)措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正預(yù)防措施單”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門(mén)進(jìn)行實(shí)施評(píng)審驗(yàn)證。凡發(fā)現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或糾正措施本身存在一定問(wèn)題，則應(yīng)要求部門(mén)重新分析原因制定糾正和預(yù)防措施計(jì)劃，按上述過(guò)程再次進(jìn)行，直到糾正措施有效為止。凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要更新的規(guī)定，則應(yīng)按《文件控制程序》規(guī)定進(jìn)行修改或補(bǔ)充。文控中心匯集整理各部門(mén)的“糾正和預(yù)防措施跟蹤記錄”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，在公司相關(guān)會(huì)議上進(jìn)行公布說(shuō)明。6.1.6記錄所采取措施的結(jié)果糾正措施在實(shí)施過(guò)程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)糾正措施的實(shí)施。對(duì)糾正措施的實(shí)施，責(zé)任部門(mén)要做好各種記錄，記錄按《記錄控制程序》規(guī)定執(zhí)行。責(zé)任部門(mén)應(yīng)提供完成糾正措施及其效果的證實(shí)材料，并在“糾正預(yù)防措施單”上填寫(xiě)完成情況，并一起報(bào)給文控中心。6.2預(yù)防措施的管理6.2.1收集潛在的不合格因素可能引起潛在的不合格信息的收集當(dāng)存在下列情況時(shí)，應(yīng)考慮是否存在潛在的不合格項(xiàng)發(fā)生的可能性，并采取預(yù)防措施：a)ISO27001例行檢查中發(fā)現(xiàn)的可能引起ISO27001類(lèi)事件發(fā)生的不安全因素；b)內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的輕微不合格；c)發(fā)現(xiàn)ISO27001管理體系運(yùn)行中有出現(xiàn)不合格項(xiàng)的傾向；d)發(fā)現(xiàn)某一過(guò)程可能失控。各責(zé)任部門(mén)收集和評(píng)審本部門(mén)的可能發(fā)生不合格的信息，對(duì)未采取預(yù)防措施又確實(shí)需要的按職責(zé)上報(bào)文控中心。文控中心收集內(nèi)外審核和管理評(píng)審中發(fā)現(xiàn)的不合格項(xiàng)，以及需改進(jìn)的問(wèn)題，按需要填寫(xiě)“糾正預(yù)防措施單”，提出預(yù)防措施要求。收集潛在不合格信息的形式可以是來(lái)自公司內(nèi)部工作聯(lián)系單，公司合理化建議和技術(shù)改進(jìn)意見(jiàn)表格，相關(guān)會(huì)議意見(jiàn)，來(lái)自顧客的普通的chuanzhen、dianhua和口頭建議，相關(guān)的社會(huì)媒體報(bào)道等。6.2.2分析和確定潛在不合格的嚴(yán)重程度和原因相關(guān)責(zé)任部門(mén)在收到“糾正預(yù)防措施單”后，應(yīng)進(jìn)行調(diào)查研究分析，可召開(kāi)分析會(huì)，原因分析應(yīng)積極采用統(tǒng)計(jì)技術(shù)，查找可能產(chǎn)生不合格的因素。對(duì)于可能引起嚴(yán)重不合格產(chǎn)生的因素，必要時(shí)由文控中心報(bào)管理者代表召開(kāi)專(zhuān)門(mén)分析會(huì)議，進(jìn)行原因分析，并提出預(yù)防措施和實(shí)施方案。對(duì)于可能引起輕微或者一般性不合格的因素，由負(fù)責(zé)部門(mén)匯合文控中心進(jìn)行原因分析。對(duì)于已經(jīng)確認(rèn)的潛在的不合格因素，應(yīng)確定預(yù)防措施的具體實(shí)施部門(mén)，制定具體的預(yù)防措施計(jì)劃，并填寫(xiě)在“糾正預(yù)防措施單”上，報(bào)管理者代表批準(zhǔn)后執(zhí)行。預(yù)防措施應(yīng)與問(wèn)題的嚴(yán)重性和面臨的風(fēng)險(xiǎn)相適應(yīng)，實(shí)施的預(yù)防措施應(yīng)不會(huì)引起新的潛在不合格因素的產(chǎn)生。6.2.3實(shí)施預(yù)防措施對(duì)于所有擬訂的糾正措施計(jì)劃，在實(shí)施前先通過(guò)風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程進(jìn)行評(píng)審。責(zé)任部門(mén)應(yīng)嚴(yán)格按審核批準(zhǔn)的糾正措施要求組織實(shí)施，并按預(yù)防措施要求對(duì)管理和工作程序進(jìn)行改進(jìn)，實(shí)施中要力求實(shí)效，以防止不合格再發(fā)生。在實(shí)施預(yù)防措施時(shí)，如出現(xiàn)問(wèn)題要及時(shí)向文控中心反映情況，當(dāng)預(yù)防措施完成后，責(zé)任部門(mén)應(yīng)將完成情況填寫(xiě)在“糾正預(yù)防措施單”上。6.2.4驗(yàn)證所采取的預(yù)防措施對(duì)已完成的預(yù)防措施，文控中心應(yīng)派人進(jìn)行評(píng)審驗(yàn)證，凡經(jīng)證實(shí)預(yù)防措施已完成，則驗(yàn)證人員和文控中心負(fù)責(zé)人應(yīng)在“糾正措施計(jì)劃表”上做好驗(yàn)證記錄。必要時(shí)文控中心也可組織有關(guān)部門(mén)進(jìn)行實(shí)施評(píng)審驗(yàn)證。凡發(fā)現(xiàn)糾正措施未達(dá)到預(yù)期目標(biāo)，或預(yù)防措施本身存在一定問(wèn)題，則應(yīng)要求部門(mén)重新分析原因制定預(yù)防措施計(jì)劃，按上述過(guò)程再次進(jìn)行，直到預(yù)防措施有效為止。凡涉及有關(guān)文件要進(jìn)一步充實(shí)完善或需要更新的規(guī)定，則應(yīng)按《文件控制程序》規(guī)定進(jìn)行修改或補(bǔ)充。預(yù)防措施實(shí)施完成并效果滿(mǎn)意后，文控中心和責(zé)任部門(mén)對(duì)所采取的預(yù)防措施、記錄整理存檔，文控中心填寫(xiě)“糾正和預(yù)防措施跟蹤記錄表”。文控中心匯集整理各部門(mén)的“糾正和預(yù)防措施跟蹤記錄表”并統(tǒng)一管理，并做好糾正和預(yù)防措施的匯總分析，并在公司相關(guān)會(huì)議上進(jìn)行公布說(shuō)明。6.2.5記錄所采取預(yù)防措施的結(jié)果預(yù)防措施在實(shí)施過(guò)程中，文控中心應(yīng)進(jìn)行跟蹤監(jiān)督和檢查，以促進(jìn)預(yù)防措施的實(shí)施。對(duì)預(yù)防措施的實(shí)施，責(zé)任部門(mén)要做好各種記錄，記錄按《記錄控制程序》規(guī)定執(zhí)行。7.附件、記錄7.1糾正預(yù)防措施單ISO27001目標(biāo)管理程序文件編號(hào)：ISMS-B-06版本：A/0頁(yè)碼：第1頁(yè)共3頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為確保ISO27001管理體系(ISMS)的有效實(shí)施，根據(jù)公司ISO27001方針制定ISO27001目標(biāo)，并規(guī)定ISO27001目標(biāo)的計(jì)算方法，以便于目標(biāo)達(dá)成情況的考核，特制定本程序。2.范圍本程序適用于本公司的管理體系覆蓋的所有部門(mén)。3.職責(zé)與權(quán)限3.1 最高管理者：組織制訂并批準(zhǔn)企業(yè)的ISO27001目標(biāo)。3.2 管理者代表：每年組織相關(guān)部門(mén)對(duì)ISO27001目標(biāo)進(jìn)行統(tǒng)計(jì)、分析。3.3 各部門(mén)：負(fù)責(zé)與本部門(mén)相關(guān)的ISO27001目標(biāo)的統(tǒng)計(jì)、分析，當(dāng)目標(biāo)不能達(dá)標(biāo)時(shí)，進(jìn)行原因分析并進(jìn)行改進(jìn)。4.相關(guān)文件《ISO27001管理手冊(cè)》《ISO27001事件管理程序》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1本公司ISO27001目標(biāo)1) 安全事件發(fā)生次數(shù)：重大安全事件目標(biāo)值：0次/年，較大安全事件目標(biāo)值：不大于4次/年，一般安全事件目標(biāo)值：不大于8次/年。2) 信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、磁帶等）不被泄密，確保秘密、jimi信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年6.2各部門(mén)ISO27001目標(biāo)部門(mén)部門(mén)ISO27001目標(biāo)完成目標(biāo)的措施監(jiān)測(cè)頻率人力資源部1、培訓(xùn)實(shí)施率100%2、培訓(xùn)合格率90%3、重要設(shè)備盤(pán)點(diǎn)范圍達(dá)到100%。4、重要崗位人員保密協(xié)議簽訂率100%5、人員離崗交接核實(shí)率100%1、制訂培訓(xùn)計(jì)劃并實(shí)施；2、培訓(xùn)完畢即進(jìn)行相應(yīng)的評(píng)審或考核；3、以實(shí)際盤(pán)點(diǎn)表中的數(shù)據(jù)為準(zhǔn)。4、與重要崗位人員簽訂保密協(xié)議5、對(duì)于離崗人員要及時(shí)進(jìn)行交接確認(rèn)1年體系中心部門(mén)數(shù)據(jù)泄露次數(shù)為0非授權(quán)人員禁止訪問(wèn)部門(mén)敏感數(shù)據(jù)4、ISO27001內(nèi)審如期完成5、ISO27001內(nèi)審及管理評(píng)審資料齊全6、文件100%經(jīng)批準(zhǔn)才發(fā)布；由部門(mén)管理人員檢測(cè)文件數(shù)據(jù)的安全性由部門(mén)經(jīng)理核準(zhǔn)訪問(wèn)數(shù)據(jù)人員的身份信息3、按照ISO27001年度內(nèi)審計(jì)劃執(zhí)行；4、及時(shí)整理ISO27001內(nèi)審及管理評(píng)審資料；5、及時(shí)發(fā)布在用文件清單。1年信息管理部1、網(wǎng)絡(luò)非正常中斷每月≤1次。2、主機(jī)系統(tǒng)非正常中斷每月≤1次。3、IT設(shè)備大面積病毒爆發(fā)不超過(guò)2起。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)3、以每月的網(wǎng)絡(luò)病毒安全事件為依據(jù)1年生產(chǎn)部1、部門(mén)數(shù)據(jù)泄露次數(shù)為02、非授權(quán)人員禁止訪問(wèn)部門(mén)敏感數(shù)據(jù)1、由部門(mén)經(jīng)理監(jiān)督銷(xiāo)售人員其履行職責(zé)情況；2、每月對(duì)客戶(hù)資料進(jìn)行核查，發(fā)現(xiàn)問(wèn)題及時(shí)改正。1年6.3數(shù)據(jù)收集、提供、統(tǒng)計(jì)和分析6.3.1在每年年底前，以上部門(mén)將本部門(mén)統(tǒng)計(jì)好的數(shù)據(jù)提交給ISO27001委員會(huì)，由ISO27001委員會(huì)進(jìn)行匯總。6.3.2對(duì)于未達(dá)成ISO27001目標(biāo)的，相關(guān)部門(mén)要進(jìn)行原因分析，并提解決辦法；對(duì)于連續(xù)未達(dá)成目標(biāo)的，要按照《糾正預(yù)防措施程序》進(jìn)行糾正和預(yù)防處理。7附件、記錄7.1《ISO27001目標(biāo)統(tǒng)計(jì)表》ISO27001風(fēng)險(xiǎn)評(píng)估控制程序文件編號(hào)：ISMS-B-07版本：A/0頁(yè)碼：第4頁(yè)共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司的信息資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估的方法，以便在考慮控制成本與風(fēng)險(xiǎn)平衡的前提下選擇合適的控制目標(biāo)和控制方式，將ISO27001風(fēng)險(xiǎn)控制在可接受的水平，特制定本程序。2.范圍本程序適用于本公司ISO27001管理體系范圍內(nèi)ISO27001風(fēng)險(xiǎn)評(píng)估活動(dòng)。3.職責(zé)與權(quán)限3.1ISO27001委員會(huì)提供ISO27001風(fēng)險(xiǎn)管理工作相關(guān)的資源支持及工作指導(dǎo)；對(duì)ISO27001風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行確認(rèn)，確定可接受風(fēng)險(xiǎn)級(jí)別。3.2體系中心負(fù)責(zé)組織及協(xié)調(diào)公司各部門(mén)實(shí)施ISO27001風(fēng)險(xiǎn)評(píng)估及ISO27001風(fēng)險(xiǎn)處置，確保風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)處置工作按計(jì)劃執(zhí)行。3.3各部門(mén)負(fù)責(zé)本部門(mén)使用或管理的資產(chǎn)的識(shí)別和風(fēng)險(xiǎn)評(píng)估，并負(fù)責(zé)本部門(mén)所涉及的資產(chǎn)的風(fēng)險(xiǎn)處置。4.相關(guān)文件《風(fēng)險(xiǎn)評(píng)估方法與準(zhǔn)則》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1風(fēng)險(xiǎn)評(píng)估前準(zhǔn)備6.1.1成立風(fēng)險(xiǎn)評(píng)估小組由體系中心牽頭成立風(fēng)險(xiǎn)評(píng)估小組，小組成員應(yīng)包含ISO27001重要責(zé)任部門(mén)的成員，如體系中心、技術(shù)部等。6.1.2制定計(jì)劃風(fēng)險(xiǎn)評(píng)估小組確定ISO27001風(fēng)險(xiǎn)評(píng)估計(jì)劃，并通知各部門(mén)。6.2資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估6.2.1資產(chǎn)識(shí)別由風(fēng)險(xiǎn)評(píng)估小組成員識(shí)別各部門(mén)資產(chǎn)，并進(jìn)行資產(chǎn)賦值，編制信息資產(chǎn)清單。6.2.2風(fēng)險(xiǎn)評(píng)估針對(duì)重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，保留風(fēng)險(xiǎn)評(píng)估記錄，詳細(xì)風(fēng)險(xiǎn)評(píng)估方法參考《風(fēng)險(xiǎn)評(píng)估方法與準(zhǔn)則》。6.3風(fēng)險(xiǎn)處理對(duì)可接受風(fēng)險(xiǎn)，可保持已有的安全措施；如果是不可接受風(fēng)險(xiǎn)（中、高風(fēng)險(xiǎn)），則需要采取安全措施以降低、控制風(fēng)險(xiǎn)。對(duì)不可接受風(fēng)險(xiǎn)，應(yīng)采取新的風(fēng)險(xiǎn)處理的措施，規(guī)定風(fēng)險(xiǎn)處理方式、責(zé)任部門(mén)和時(shí)間進(jìn)度，高風(fēng)險(xiǎn)應(yīng)得到優(yōu)先的考慮。6.3.1計(jì)劃風(fēng)險(xiǎn)評(píng)估小組應(yīng)編制《風(fēng)險(xiǎn)處理計(jì)劃》。6.3.2報(bào)告風(fēng)險(xiǎn)評(píng)估小組編制《ISO27001風(fēng)險(xiǎn)評(píng)估報(bào)告》（格式不限），提交公司領(lǐng)導(dǎo)審核。6.3.3審核ISO27001風(fēng)險(xiǎn)評(píng)估小組應(yīng)考慮成本與風(fēng)險(xiǎn)的關(guān)系，對(duì)《風(fēng)險(xiǎn)處理計(jì)劃》的相關(guān)內(nèi)容審核，對(duì)認(rèn)為不合適的控制或風(fēng)險(xiǎn)處理方式等提出說(shuō)明，由風(fēng)險(xiǎn)評(píng)估小組協(xié)同相關(guān)部門(mén)重新考慮或選擇其他的控制或風(fēng)險(xiǎn)處理方式，并重新提交公司領(lǐng)導(dǎo)審核。6.3.4實(shí)施各責(zé)任部門(mén)按照批準(zhǔn)后的《風(fēng)險(xiǎn)處理計(jì)劃》的要求采取有效安全控制措施，確保所采取的控制措施是有效的。6.4剩余風(fēng)險(xiǎn)評(píng)估6.4.1再評(píng)估對(duì)采取安全措施處理后的風(fēng)險(xiǎn)，ISO27001風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行再評(píng)估，以判斷實(shí)施安全措施后的殘余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。6.4.2再處理某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)陌踩胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的安全措施。6.4.3審核批準(zhǔn)剩余風(fēng)險(xiǎn)評(píng)估完成后，應(yīng)編制《剩余風(fēng)險(xiǎn)評(píng)估報(bào)告》（格式不限），報(bào)公司領(lǐng)導(dǎo)審批。6.5ISO27001風(fēng)險(xiǎn)的連續(xù)評(píng)估6.5.1定期評(píng)估ISO27001風(fēng)險(xiǎn)評(píng)估小組每年應(yīng)組織對(duì)ISO27001風(fēng)險(xiǎn)重新評(píng)估一次，以適應(yīng)信息資產(chǎn)的變化，確定是否存在新的威脅或脆弱性及是否需要增加新的控制措施。6.5.2非定期評(píng)估當(dāng)企業(yè)發(fā)生以下情況時(shí)需及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估：1）當(dāng)發(fā)生重大ISO27001事故時(shí)；2）當(dāng)信息網(wǎng)絡(luò)系統(tǒng)發(fā)生重大更改時(shí)；3）公司領(lǐng)導(dǎo)及ISO27001風(fēng)險(xiǎn)評(píng)估小組確定有必要時(shí)。6.5.3更新資產(chǎn)各部門(mén)對(duì)新增加、轉(zhuǎn)移的或授權(quán)銷(xiāo)毀的資產(chǎn)應(yīng)及時(shí)更新資產(chǎn)清單。6.5.4調(diào)整控制措施ISO27001風(fēng)險(xiǎn)評(píng)估小組應(yīng)分析信息資產(chǎn)的風(fēng)險(xiǎn)變化情況，以便根據(jù)企業(yè)的資金和技術(shù)，確定、增加或調(diào)整適當(dāng)?shù)腎SO27001控制措施。7附件、記錄7.1《資產(chǎn)清單》7.2《重要資產(chǎn)清單》7.3《風(fēng)險(xiǎn)評(píng)估表》7.4《風(fēng)險(xiǎn)處理計(jì)劃》7.5《風(fēng)險(xiǎn)評(píng)估報(bào)告》7.6《剩余風(fēng)險(xiǎn)評(píng)估報(bào)告》信息處理設(shè)施控制程序文件編號(hào)：ISMS-B-08版本：A/0頁(yè)碼：第3頁(yè)共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范信息處理設(shè)施的安全管理，包括信息處理設(shè)施的采購(gòu)、安裝、驗(yàn)收、授權(quán)使用、更新、停用、報(bào)廢等，特制定本程序。2.范圍本程序適用于公司信息處理設(shè)施的管理控制。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)全公司信息處理相關(guān)設(shè)備的統(tǒng)一采購(gòu)及協(xié)調(diào)處理。3.2信息管理部是全公司計(jì)算機(jī)信息系統(tǒng)和信息資源的統(tǒng)一歸口管理部門(mén)，包括信息處理設(shè)備的購(gòu)置、安裝、維修、調(diào)配、停用、報(bào)廢等。3.3其他部門(mén)遵守本程序的各項(xiàng)要求正確、安全的使用信息處理設(shè)施。4.相關(guān)文件《ISO27001獎(jiǎng)懲管理規(guī)定》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1信息處理設(shè)備的分類(lèi)服務(wù)器：包括小型機(jī)、PC服務(wù)器、帶庫(kù)等。網(wǎng)絡(luò)及安全設(shè)備：包括交換機(jī)、路由器、防火墻等。辦公設(shè)備：PC電腦及其打印機(jī)、輔助設(shè)備。輔助設(shè)備：電源、UPS、電纜、光纜等傳輸線路及設(shè)備。6.2信息處理設(shè)備管理6.2.1各部門(mén)的信息處理設(shè)施，包括計(jì)算機(jī)及其相關(guān)和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))、軟件、資料（以下統(tǒng)稱(chēng)為計(jì)算機(jī)設(shè)備）的購(gòu)置，無(wú)論資金來(lái)源，均應(yīng)由使用部門(mén)提出申請(qǐng)，人力資源部負(fù)責(zé)組織審查設(shè)計(jì)方案、選型配置和必要的論證后提出配置和購(gòu)置意見(jiàn)和計(jì)劃，報(bào)請(qǐng)領(lǐng)導(dǎo)批準(zhǔn)后，由人力資源部統(tǒng)一采購(gòu)。6.2.2需要安裝的計(jì)算機(jī)設(shè)備，使用部門(mén)應(yīng)確定安裝地點(diǎn)，對(duì)計(jì)算機(jī)設(shè)備進(jìn)行定置管理和妥善保護(hù)，以降低來(lái)自環(huán)境威脅和危害的風(fēng)險(xiǎn)，以及非授權(quán)訪問(wèn)的機(jī)會(huì)。6.2.3凡未經(jīng)申請(qǐng)、審核、批準(zhǔn)，任何部門(mén)和個(gè)人不得擅自購(gòu)置計(jì)算機(jī)設(shè)備。對(duì)其它來(lái)源的計(jì)算機(jī)，需移交經(jīng)營(yíng)管理使用時(shí)，應(yīng)由信息管理部統(tǒng)一調(diào)配。6.2.4計(jì)算機(jī)設(shè)備用低值易耗品和零配件由人力資源部制訂計(jì)劃、選材、選型并負(fù)責(zé)購(gòu)置、發(fā)放并做好領(lǐng)用登記。6.3信息處理設(shè)備使用6.3.1計(jì)算機(jī)設(shè)備使用部門(mén)應(yīng)確定設(shè)備的使用負(fù)責(zé)人，確保按批準(zhǔn)的使用目的和使用范圍使用。如果將這些設(shè)備用于未經(jīng)批準(zhǔn)的非業(yè)務(wù)目的，或用于未經(jīng)授權(quán)的目的，為設(shè)備使用不當(dāng)。一經(jīng)發(fā)現(xiàn)，將按《ISO27001獎(jiǎng)懲管理規(guī)定》采取懲戒措施。6.3.2嚴(yán)禁無(wú)關(guān)人員操作計(jì)算機(jī)設(shè)備，不得隨意拆裝計(jì)算機(jī)設(shè)備。6.3.3計(jì)算機(jī)設(shè)備管理部門(mén)應(yīng)識(shí)別計(jì)算機(jī)設(shè)備的使用要求和限制，必要時(shí)應(yīng)制定文件化的使用規(guī)則或指南（操作手冊(cè)或說(shuō)明書(shū)），并保證包括本本公司員工、合作方及第三方用戶(hù)在內(nèi)的所有使用者了解和遵守設(shè)備的使用要求和限制。6.3.4進(jìn)入各部門(mén)的計(jì)算機(jī)設(shè)備以及電纜、接駁器等應(yīng)嚴(yán)格保管，不準(zhǔn)隨意搬遷、拆拉或損壞，如發(fā)現(xiàn)設(shè)備異常及時(shí)通知?dú)w口管理部門(mén)。6.3.5不得擅自將設(shè)備、信息或軟件帶出工作場(chǎng)所。因工作需要的，應(yīng)經(jīng)使用部門(mén)領(lǐng)導(dǎo)批準(zhǔn)，并清楚說(shuō)明將設(shè)備帶到場(chǎng)所外的責(zé)任人及時(shí)間限制。6.3.6嚴(yán)禁在計(jì)算機(jī)旁使用強(qiáng)電磁場(chǎng)設(shè)備和進(jìn)行有腐蝕氣體和塵埃產(chǎn)生的一切作業(yè)活動(dòng)。6.3.7嚴(yán)禁在專(zhuān)用UPS電源上使用與計(jì)算機(jī)工作無(wú)關(guān)的用電設(shè)備。6.3.8人力資源部應(yīng)與大樓物業(yè)保持及時(shí)聯(lián)系，確保公司業(yè)務(wù)不受電力故障以及由其他支持設(shè)施故障的影響。6.4信息處理設(shè)備維護(hù)6.4.1計(jì)算機(jī)設(shè)備的維護(hù)部門(mén)應(yīng)定期進(jìn)行設(shè)備的檢查、維護(hù)、清潔并作好必要的運(yùn)行和保養(yǎng)記錄。6.4.2非計(jì)算機(jī)專(zhuān)業(yè)維護(hù)人員、管理人員不得隨意打開(kāi)計(jì)算機(jī)設(shè)備的機(jī)箱，任意插拔各種接駁口及更換零部件。6.4.3計(jì)算機(jī)設(shè)備維修或升級(jí)，應(yīng)及時(shí)報(bào)送歸口管理部門(mén)，經(jīng)審核及領(lǐng)導(dǎo)批準(zhǔn)后由歸口管理部門(mén)統(tǒng)一安排和實(shí)施維修或升級(jí)。6.4.4計(jì)算機(jī)設(shè)備的停用或報(bào)廢應(yīng)由使用部門(mén)提出申請(qǐng)，報(bào)人力資源部審核，經(jīng)領(lǐng)導(dǎo)批準(zhǔn)后，將停用或報(bào)廢設(shè)備移交信息管理部統(tǒng)一處理。用戶(hù)訪問(wèn)控制程序文件編號(hào)：ISMS-B-09版本：A/0頁(yè)碼：第5頁(yè)共6頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為明確公司信息系統(tǒng)的訪問(wèn)控制準(zhǔn)則，確保訪問(wèn)控制措施有效，特制定本程序。2.范圍本程序適用操作系統(tǒng)、數(shù)據(jù)庫(kù)、各應(yīng)用系統(tǒng)的邏輯訪問(wèn)控制，物理訪問(wèn)按《安全區(qū)域控制程序》進(jìn)行控制。3.職責(zé)與權(quán)限3.1信息管理部負(fù)責(zé)公司信息系統(tǒng)相關(guān)訪問(wèn)權(quán)限的分配、審批，以及帳號(hào)口令管理。3.2其他部門(mén)各部門(mén)根據(jù)實(shí)際需要向信息管理部部提交賬號(hào)及訪問(wèn)權(quán)限的申請(qǐng)，協(xié)助信息管理部人員對(duì)用戶(hù)賬號(hào)及權(quán)限進(jìn)行定期復(fù)查。4.相關(guān)文件《計(jì)算機(jī)管理程序》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1訪問(wèn)控制策略6.1.1本公司目前的網(wǎng)絡(luò)服務(wù)主要有互聯(lián)網(wǎng)上網(wǎng)服務(wù)，供內(nèi)部員工進(jìn)行日常辦公。6.1.2公司辦公電腦均應(yīng)通過(guò)網(wǎng)絡(luò)線纜接入公司網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)僅供經(jīng)過(guò)公司授權(quán)的人員使用。6.1.3用戶(hù)不得訪問(wèn)或嘗試訪問(wèn)未經(jīng)授權(quán)的網(wǎng)絡(luò)、系統(tǒng)、文件和服務(wù)。6.1.4外部來(lái)訪人員需要使用公司網(wǎng)絡(luò)服務(wù)必須經(jīng)過(guò)相關(guān)負(fù)責(zé)人同意，才能授權(quán)其使用。不得將訪問(wèn)密碼隨意告知不必要的人員，6.1.5外部來(lái)訪人員需要使用公司無(wú)線網(wǎng)絡(luò)時(shí)應(yīng)經(jīng)過(guò)公司授權(quán)并登記后，無(wú)線網(wǎng)絡(luò)管理人員應(yīng)代為輸入訪問(wèn)密碼，不得直接告知密碼，確保無(wú)線訪問(wèn)密碼的安全。6.1.6外部人員離開(kāi)時(shí)應(yīng)及時(shí)收回其訪問(wèn)權(quán)限，并根據(jù)情況及時(shí)修改原來(lái)的訪問(wèn)密碼。6.1.7用戶(hù)不得以任何方式私自安裝路由器、交換機(jī)、代理服務(wù)器、無(wú)線網(wǎng)絡(luò)訪問(wèn)點(diǎn)(包括軟件和硬件)等。6.1.8用戶(hù)不得私自撤除或更換網(wǎng)絡(luò)設(shè)備。6.1.9公司內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的維護(hù)一般采用現(xiàn)場(chǎng)維護(hù)，如確有需要使用遠(yuǎn)程方式維護(hù)，應(yīng)確保有相應(yīng)的身份驗(yàn)證（如登錄密碼）等安全保護(hù)措施，遠(yuǎn)程維護(hù)完畢應(yīng)及時(shí)關(guān)閉遠(yuǎn)程維護(hù)端口。6.1.10公司員工在不必要的情況下盡量不要使用文件共享，一定要使用共享文件時(shí)，應(yīng)對(duì)共享文件進(jìn)行加密保護(hù)，并及時(shí)通知需要獲取共享信息的人員，還應(yīng)及時(shí)撤消文件共享。6.1.11根據(jù)公司實(shí)際情況及安全需要，可考慮將自動(dòng)設(shè)備鑒別作為一種證明從特定位置和設(shè)備進(jìn)行連接的手段，如IP地址對(duì)應(yīng)計(jì)算機(jī)名。6.1.12非網(wǎng)絡(luò)系統(tǒng)管理人員不得使用系統(tǒng)實(shí)用程序（系統(tǒng)工具），防止對(duì)系統(tǒng)造成破壞。6.1.13對(duì)于重要的應(yīng)用（如財(cái)務(wù)系統(tǒng)）可考慮采取適當(dāng)?shù)倪B接時(shí)間限制和訪問(wèn)控制，在不經(jīng)常使用時(shí)停止應(yīng)用系統(tǒng)或關(guān)閉設(shè)備。6.1.14對(duì)于信息系統(tǒng)審計(jì)工具（如漏洞掃描工具等）的訪問(wèn)及使用應(yīng)加以限制及保護(hù)，禁止任何可能的濫用或誤用，防止對(duì)公司信息系統(tǒng)帶來(lái)?yè)p害。6.2用戶(hù)訪問(wèn)管理6.2.1權(quán)限申請(qǐng)所有用戶(hù)，包括第三方人員均需要履行訪問(wèn)授權(quán)手續(xù)。授權(quán)流程如下：a)申請(qǐng)部門(mén)申請(qǐng)：申請(qǐng)部門(mén)根據(jù)業(yè)務(wù)及管理工作的需要，確定需要訪問(wèn)的系統(tǒng)和訪問(wèn)權(quán)限，經(jīng)過(guò)本部門(mén)領(lǐng)導(dǎo)同意后，向信息管理部提交“用戶(hù)授權(quán)申請(qǐng)表”。b)經(jīng)信息管理部領(lǐng)導(dǎo)審核后，將“用戶(hù)授權(quán)申請(qǐng)表”交訪問(wèn)授權(quán)實(shí)施人員（如信息管理部網(wǎng)管人員）實(shí)施。c)訪問(wèn)授權(quán)實(shí)施人員實(shí)施授權(quán)?！坝脩?hù)授權(quán)申請(qǐng)表”應(yīng)對(duì)以下內(nèi)容予以明確：a)權(quán)限申請(qǐng)人員；b)訪問(wèn)權(quán)限的級(jí)別和范圍；c)申請(qǐng)理由；d)有效期。6.2.2權(quán)限變更對(duì)發(fā)生以下情況對(duì)其訪問(wèn)權(quán)應(yīng)從系統(tǒng)中予以注銷(xiāo)：a)內(nèi)部用戶(hù)雇傭合同終止時(shí)；b)內(nèi)部用戶(hù)因崗位調(diào)整不再需要此項(xiàng)訪問(wèn)服務(wù)時(shí)；c)第三方訪問(wèn)合同終止時(shí)；d)其它情況必須注銷(xiāo)時(shí)。由于用戶(hù)變換崗位等原因造成訪問(wèn)權(quán)限變更時(shí)，用戶(hù)應(yīng)重新填寫(xiě)“用戶(hù)授權(quán)申請(qǐng)表”，按照本標(biāo)準(zhǔn)6.2.1的要求履行授權(quán)手續(xù)。信息管理部應(yīng)將人事變動(dòng)情況及時(shí)通知各部門(mén)，訪問(wèn)授權(quán)實(shí)施人員（如網(wǎng)管人員）應(yīng)及時(shí)收回其帳號(hào)和權(quán)限。特權(quán)用戶(hù)因故暫時(shí)不能履行特權(quán)職責(zé)時(shí)，根據(jù)需要可以經(jīng)授權(quán)部門(mén)領(lǐng)導(dǎo)批準(zhǔn)后，將特權(quán)臨時(shí)轉(zhuǎn)交可靠人員；特權(quán)用戶(hù)返回工作崗位時(shí)，收回臨時(shí)特權(quán)人員的特權(quán)。6.2.3用戶(hù)訪問(wèn)權(quán)的維護(hù)和評(píng)審對(duì)于任何權(quán)限的改變(包括權(quán)限的創(chuàng)建、變更以及注銷(xiāo))，訪問(wèn)授權(quán)實(shí)施人員應(yīng)進(jìn)行記錄，填寫(xiě)“用戶(hù)授權(quán)申請(qǐng)表”包括：a)權(quán)限開(kāi)放/變更/注銷(xiāo)時(shí)間；b)變化后權(quán)限內(nèi)容；c)開(kāi)放權(quán)限的管理員。授權(quán)管理部門(mén)每半年應(yīng)對(duì)訪問(wèn)權(quán)限進(jìn)行檢查，發(fā)現(xiàn)不恰當(dāng)?shù)臋?quán)限設(shè)置，應(yīng)通知訪問(wèn)授權(quán)實(shí)施人員予以調(diào)整或注銷(xiāo)。授權(quán)管理部門(mén)應(yīng)對(duì)訪問(wèn)權(quán)限的檢查結(jié)果予以記錄。6.3用戶(hù)口令管理6.3.1各系統(tǒng)訪問(wèn)授權(quán)實(shí)施人員應(yīng)按以下過(guò)程對(duì)被授權(quán)訪問(wèn)該系統(tǒng)的用戶(hù)口令予以分配：a)在生成帳號(hào)時(shí)，系統(tǒng)管理員應(yīng)該分配給合法用戶(hù)一個(gè)唯一的安全臨時(shí)口令，并通過(guò)安全渠道傳遞給用戶(hù)，并要求用戶(hù)在第一次登錄時(shí)更改臨時(shí)口令；b)當(dāng)用戶(hù)忘記口令時(shí)，系統(tǒng)管理員在獲得用戶(hù)的確認(rèn)后可以為其重新分配口令。6.3.2口令策略所有計(jì)算機(jī)用戶(hù)在使用口令時(shí)應(yīng)遵循以下原則：a)所有活動(dòng)帳號(hào)都必須有口令保護(hù)。b)所有系統(tǒng)初始默認(rèn)口令必須更改。c)口令輸入時(shí)不應(yīng)將口令的明文顯示出來(lái)，應(yīng)該采取掩蓋措施。d)口令必須至少要含有6個(gè)字符。e)口令不能和用戶(hù)名或登錄名相同。f)口令不能是字典中能夠找到的詞。g)口令不能采用姓名、dianhua號(hào)碼、生日等容易猜測(cè)的口令，不得用連續(xù)的數(shù)字或字母群。h)口令必須是保密的，不能共享、含在程序中或?qū)懺诩埳?。i)口令不能通過(guò)明文電子郵件傳輸。j)口令不能通過(guò)語(yǔ)音或移動(dòng)dianhua告知。k)口令不能以明文形式保存在任何電子介質(zhì)中。l)口令不能在工作組中共享以保證可以通過(guò)用戶(hù)名追查到具體責(zé)任人。m)用戶(hù)應(yīng)該在不同的系統(tǒng)中使用不同的口令。n)可以在PGP或強(qiáng)度相當(dāng)?shù)募用艽胧┑谋Ｗo(hù)下將口令存放在電子文件中。o)任何時(shí)候有跡象表明系統(tǒng)或口令可能受到損害，就要更換口令。p)一般用戶(hù)口令至少一年變更一次，特權(quán)用戶(hù)口令至少每半年變更一次；對(duì)于用戶(hù)口令的變更會(huì)影響應(yīng)用程序運(yùn)行的情況，該用戶(hù)的口令可以在適當(dāng)?shù)臅r(shí)機(jī)予以變更。6.4第三方訪問(wèn)6.4.1第三方訪問(wèn)是指本公司以外其他組織/人員對(duì)本公司的信息系統(tǒng)的邏輯訪問(wèn)。6.4.2第三方訪問(wèn)包括網(wǎng)絡(luò)訪問(wèn)、操作系統(tǒng)訪問(wèn)、數(shù)據(jù)庫(kù)訪問(wèn)、信息系統(tǒng)訪問(wèn)。6.4.3第三方訪問(wèn)前各責(zé)任部門(mén)要對(duì)第三方訪問(wèn)可能導(dǎo)致的風(fēng)險(xiǎn)進(jìn)行評(píng)估，采取適當(dāng)?shù)目刂拼胧ㄈ纾菏跈?quán)、簽署保密協(xié)議等），維護(hù)被第三方訪問(wèn)的本公司信息處理設(shè)施和信息資產(chǎn)的安全。6.4.4第三方授權(quán)的方式包括簽訂協(xié)議和臨時(shí)訪問(wèn)授權(quán)兩種方式。與本公司建立長(zhǎng)期業(yè)務(wù)合作關(guān)系，需要經(jīng)常在公司內(nèi)工作的第三方及長(zhǎng)期邏輯訪問(wèn)本公司信息系統(tǒng)的第三方，應(yīng)與其簽訂安全條款或保密協(xié)議；規(guī)定其在公司內(nèi)活動(dòng)的場(chǎng)所范圍，時(shí)間和人員資格的要求，以及違反安全規(guī)定協(xié)議須承擔(dān)的法律賠償責(zé)任等，必要時(shí)對(duì)其工作人員進(jìn)行資格審查。如果屬于臨時(shí)參觀學(xué)習(xí)或業(yè)務(wù)工作需要的第三方訪問(wèn)采用臨時(shí)授權(quán)方式。6.4.5第三方訪問(wèn)的授權(quán)第三方在訪問(wèn)本公司網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、信息系統(tǒng)時(shí)需要書(shū)面授權(quán)。授權(quán)權(quán)限的規(guī)定：a)訪問(wèn)敏感信息須經(jīng)對(duì)應(yīng)部門(mén)負(fù)責(zé)人及公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)；b)所有的邏輯訪問(wèn)均需信息管理部部負(fù)責(zé)人審核，報(bào)公司領(lǐng)導(dǎo)批準(zhǔn)授權(quán)后方可進(jìn)行；c)第三方人員在工作完成后立即收回。授權(quán)程序a)第三方訪問(wèn)前，如第三方需要申請(qǐng)帳號(hào)，訪問(wèn)接待部門(mén)應(yīng)填寫(xiě)“第三方訪問(wèn)申請(qǐng)/授權(quán)表”，辦理相關(guān)授權(quán)批準(zhǔn)手續(xù)；b)“第三方訪問(wèn)申請(qǐng)/授權(quán)表”上應(yīng)明確規(guī)定訪問(wèn)的類(lèi)型、時(shí)間、權(quán)限。7附件、記錄7.1《用戶(hù)授權(quán)申請(qǐng)表》7.2《第三方訪問(wèn)申請(qǐng)/授權(quán)表》7.3《用戶(hù)賬號(hào)權(quán)限復(fù)查表》相關(guān)方服務(wù)管理程序文件編號(hào)：ISMS-B-10版本：A/0頁(yè)碼：第2頁(yè)共3頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為有效防范相關(guān)方帶來(lái)的安全風(fēng)險(xiǎn)，加強(qiáng)和規(guī)范相關(guān)方的安全管理，保障公司的ISO27001，特制定本程序。2.范圍本程序適用于本公司對(duì)相關(guān)方服務(wù)的管理。3.職責(zé)與權(quán)限3.1人力資源部是公司信息系統(tǒng)相關(guān)方服務(wù)的歸口管理部門(mén)，負(fù)責(zé)對(duì)公司所有與外部相關(guān)方的服務(wù)進(jìn)行協(xié)調(diào)及管理。3.2其他部門(mén)其他部門(mén)負(fù)責(zé)對(duì)本部門(mén)相關(guān)的服務(wù)進(jìn)行管理。4.相關(guān)文件《安全區(qū)域控制程序》《用戶(hù)訪問(wèn)控制程序》5.術(shù)語(yǔ)定義相關(guān)方：包括上級(jí)單位、認(rèn)證審核機(jī)構(gòu)、公司客戶(hù)及供應(yīng)商、為公司提供服務(wù)的第三方等。6.控制程序6.1總則6.1.1本公司需要將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和ISO27001等事項(xiàng)進(jìn)行外包時(shí)，應(yīng)與相關(guān)服務(wù)提供方簽署服務(wù)合同。6.1.2相關(guān)服務(wù)提供方需提供服務(wù)人員的姓名、技術(shù)能力評(píng)定、聯(lián)系方式等信息，服務(wù)人員需持有效身份證明進(jìn)入現(xiàn)場(chǎng)。臨時(shí)服務(wù)人員由專(zhuān)業(yè)人員全程陪同，長(zhǎng)時(shí)間服務(wù)人員需辦理外來(lái)人員臨時(shí)出入證。6.1.3相關(guān)服務(wù)人員在現(xiàn)場(chǎng)或遠(yuǎn)程服務(wù)時(shí)，必須明確相關(guān)內(nèi)容，包括時(shí)間、地點(diǎn)、聯(lián)系人、工作安排、預(yù)期結(jié)果、觀察期等。6.1.4外來(lái)人員的物理訪問(wèn)按《安全區(qū)域控制程序》進(jìn)行。6.1.5外來(lái)人員的邏輯訪問(wèn)按《用戶(hù)訪問(wèn)控制程序》進(jìn)行。6.1.6應(yīng)與當(dāng)?shù)卣块T(mén)（如執(zhí)法部門(mén)、消防部門(mén)、監(jiān)管部門(mén)等）保持聯(lián)系，確保公司在發(fā)生ISO27001事件時(shí)能及時(shí)有效處理，且符合相關(guān)法律法規(guī)要求。6.1.7應(yīng)與權(quán)威機(jī)構(gòu)、特殊專(zhuān)業(yè)團(tuán)體（如ISO27001協(xié)會(huì)、ISO27001專(zhuān)家等）保持聯(lián)系，以獲得ISO27001的最佳實(shí)踐和最新?tīng)顟B(tài)的知識(shí)。6.2相關(guān)方能力的評(píng)定6.2.1將設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件和ISO27001等事項(xiàng)外包時(shí)，應(yīng)明確外包服務(wù)的內(nèi)容和服務(wù)級(jí)別要求，對(duì)相關(guān)方提供服務(wù)的能力進(jìn)行評(píng)定，必要時(shí)通過(guò)招投標(biāo)，確定合格的服務(wù)方。6.2.2應(yīng)確保相關(guān)方保持充分的提供服務(wù)的能力，并且具備有效的工作計(jì)劃，即便發(fā)生重大的服務(wù)故障或?yàn)?zāi)難也能保持服務(wù)的連貫性。6.3協(xié)議履行6.3.1安全控制服務(wù)提供方必須明確安全責(zé)任，并在服務(wù)合同中體現(xiàn)ISO27001風(fēng)險(xiǎn)。對(duì)服務(wù)提供方技術(shù)人員在現(xiàn)場(chǎng)處理需要設(shè)備入網(wǎng)時(shí)，應(yīng)填寫(xiě)“第三方訪問(wèn)申請(qǐng)/授權(quán)表”（請(qǐng)見(jiàn)《用戶(hù)訪問(wèn)控制程序》），經(jīng)相關(guān)部門(mén)領(lǐng)導(dǎo)同意后方可入網(wǎng)，對(duì)系統(tǒng)的巡檢和維護(hù)需有相關(guān)人員陪同，按《安全區(qū)域控制程序》和《用戶(hù)訪問(wèn)控制程序》進(jìn)行，并填寫(xiě)“第三方工作記錄單”，或在運(yùn)維記錄、外來(lái)人員工作記錄中填寫(xiě)第三方服務(wù)情況。第三方用戶(hù)完成合同時(shí)，應(yīng)辦理完所負(fù)責(zé)的所有資產(chǎn)歸還手續(xù)。第三方用戶(hù)完成合同時(shí)，公司相關(guān)負(fù)責(zé)人應(yīng)及時(shí)解除其訪問(wèn)權(quán)限。6.3.2服務(wù)監(jiān)控和評(píng)審相關(guān)服務(wù)歸口管理部門(mén)應(yīng)保持對(duì)第三方訪問(wèn)、處理公司的敏感信息、關(guān)鍵信息、信息處理設(shè)施的監(jiān)控。相關(guān)服務(wù)歸口管理部門(mén)應(yīng)指定專(zhuān)人按照服務(wù)合同要求對(duì)服務(wù)情況進(jìn)行檢查，對(duì)服務(wù)內(nèi)容和質(zhì)量進(jìn)行評(píng)審或驗(yàn)收。6.4服務(wù)的變更管理6.4.1當(dāng)服務(wù)提供方發(fā)生變更時(shí)，進(jìn)行服務(wù)提供方變更登記，并進(jìn)行服務(wù)、現(xiàn)有狀態(tài)的評(píng)估。對(duì)變更后的服務(wù)提供方進(jìn)行服務(wù)評(píng)估或驗(yàn)收。6.4.2當(dāng)服務(wù)內(nèi)容發(fā)生變更時(shí)，進(jìn)行服務(wù)內(nèi)容變更登記，對(duì)服務(wù)變更后對(duì)現(xiàn)有系統(tǒng)進(jìn)行評(píng)估，確保系統(tǒng)的安全性。7附件、記錄7.1《第三方工作記錄單》7.2《相關(guān)方聯(lián)絡(luò)表》變更控制程序文件編號(hào)：ISMS-B-11版本：A/0頁(yè)碼：第4頁(yè)共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范及加強(qiáng)對(duì)公司信息系統(tǒng)變更的控制，降低由于變更管理不當(dāng)而導(dǎo)致的信息系統(tǒng)風(fēng)險(xiǎn)，特制定本程序。2.范圍本程序適用于公司信息系統(tǒng)的維護(hù)管理部門(mén)對(duì)信息系統(tǒng)變更的管理。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)本公司信息系統(tǒng)變更的管理和協(xié)調(diào)處理，包括總體評(píng)價(jià)變更影響，決策管理，變更的計(jì)劃、實(shí)施、恢復(fù)等。3.2相關(guān)部門(mén)需要時(shí)，相關(guān)部門(mén)應(yīng)配合人力資源部實(shí)施信息系統(tǒng)變更。4.相關(guān)文件《軟件控制程序》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1變更分類(lèi)6.1.1本公司涉及的變更分為以下6類(lèi)：a)IT設(shè)備（信息處理設(shè)施）變更。b)操作系統(tǒng)變更。c)應(yīng)用系統(tǒng)變更。d）操作流程變更。e）數(shù)據(jù)庫(kù)變更。f）配置信息變更。6.2變更控制要求6.2.1變更計(jì)劃制訂當(dāng)信息系統(tǒng)需要發(fā)生變更時(shí)，應(yīng)先分析其變更原因，變更主要有以下幾個(gè)方面：a)IT設(shè)備的維修、升級(jí)或更換，按《信息處理設(shè)施控制程序》進(jìn)行控制。b)操作系統(tǒng)的補(bǔ)丁升級(jí)或更換。c)應(yīng)用系統(tǒng)的升級(jí)或更換。d)各類(lèi)操作流程的變更。e）數(shù)據(jù)庫(kù)變更。f）配置信息變更。在明確變更原因后，人力資源部負(fù)責(zé)對(duì)變更進(jìn)行策劃，提出變更意見(jiàn)，以及變更的具體實(shí)施方案計(jì)劃，交由領(lǐng)導(dǎo)審核。6.2.2變更的批準(zhǔn)領(lǐng)導(dǎo)對(duì)提交的變更計(jì)劃進(jìn)行審核，如涉及到其他部門(mén)，則轉(zhuǎn)發(fā)相關(guān)部門(mén)共同審議，達(dá)成共同意見(jiàn)后，批準(zhǔn)變更計(jì)劃。人力資源部在經(jīng)領(lǐng)導(dǎo)及相關(guān)部門(mén)審批通過(guò)后實(shí)施變更具體操作。6.3變更的實(shí)施6.3.1變更實(shí)施前，人力資源部負(fù)責(zé)將變更的信息傳達(dá)到所有相關(guān)用戶(hù)。變更應(yīng)按批準(zhǔn)的計(jì)劃和程序進(jìn)行。6.3.2軟件的版本控制按《軟件控制程序》進(jìn)行。6.3.3應(yīng)當(dāng)由經(jīng)過(guò)培訓(xùn)或熟悉相關(guān)操作的系統(tǒng)管理員，根據(jù)授權(quán)來(lái)執(zhí)行操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫(kù)的升級(jí)、補(bǔ)丁或更新。6.3.4操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫(kù)的升級(jí)、補(bǔ)丁或更新前，應(yīng)進(jìn)行數(shù)據(jù)備份，包括數(shù)據(jù)、程序和具體配置。6.3.5變更如果影響業(yè)務(wù)連續(xù)性計(jì)劃，應(yīng)對(duì)業(yè)務(wù)連續(xù)性計(jì)劃做適當(dāng)調(diào)整或改變。6.3.6在變更過(guò)程中，應(yīng)采取措施防止信息泄漏（防止隱蔽通道或特洛伊木馬等）。6.3.7應(yīng)保存操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫(kù)的升級(jí)、補(bǔ)丁或更新記錄。6.4變更不成功的恢復(fù)措施6.4.1所有的變更，包括IT系統(tǒng)的變更、操作系統(tǒng)軟件、應(yīng)用程序軟件和程序庫(kù)的升級(jí)、補(bǔ)丁或更新等，在制訂變更計(jì)劃時(shí)，就需要將失敗恢復(fù)措施作為必要措施寫(xiě)入計(jì)劃，適當(dāng)時(shí)應(yīng)經(jīng)領(lǐng)導(dǎo)與相關(guān)部門(mén)論證通過(guò)。6.4.2在變更實(shí)施時(shí)，需要注意對(duì)應(yīng)用系統(tǒng)造成的影響，如影響超出可控范圍，需停止變更，并將系統(tǒng)恢復(fù)到變更前的狀態(tài)。6.4.3在變更實(shí)施后，由人力資源部和相關(guān)部門(mén)及用戶(hù)對(duì)變更的影響作出測(cè)試或評(píng)估，確保對(duì)業(yè)務(wù)連續(xù)性和安全沒(méi)有不利影響。如評(píng)估結(jié)果為變更不成功，則應(yīng)啟動(dòng)變更恢復(fù)措施，將變更還原。6.5軟件包的變更6.5.1本公司一般不隨便更改軟件包。如果確有必要進(jìn)行更改，應(yīng)取得供應(yīng)商的許可和支持，提出更改的部門(mén)應(yīng)在實(shí)施前進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定必須的控制措施，經(jīng)人力資源部及領(lǐng)導(dǎo)批準(zhǔn)。6.5.2軟件包更改時(shí)，應(yīng)保留原始軟件，更改實(shí)施前應(yīng)得到人力資源部和應(yīng)用系統(tǒng)主管部門(mén)的授權(quán)。7附件、記錄7.1《信息系統(tǒng)變更記錄表》7.2《系統(tǒng)容量檢查記錄表》技術(shù)薄弱點(diǎn)控制程序文件編號(hào)：ISMS-B-12版本：A/0頁(yè)碼：第2頁(yè)共3頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司信息系統(tǒng)技術(shù)薄弱點(diǎn)的管理，包括信息管理的各個(gè)方面，如基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、桌面工作、電源、機(jī)房環(huán)境等，特制定本程序。2.范圍本程序適用于公司的管理體系覆蓋的所有要素和部門(mén)。3.職責(zé)與權(quán)限3.1信息管理部公司信息系統(tǒng)相關(guān)技術(shù)薄弱點(diǎn)的歸口管理部門(mén)，負(fù)責(zé)信息系統(tǒng)方面技術(shù)薄弱點(diǎn)的管理及協(xié)調(diào)處理。3.2其它部門(mén)信息系統(tǒng)的技術(shù)薄弱點(diǎn)的上報(bào)及協(xié)助處理。4.相關(guān)文件《ISO27001風(fēng)險(xiǎn)評(píng)估控制程序》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1技術(shù)薄弱點(diǎn)的識(shí)別6.1.1網(wǎng)絡(luò)部對(duì)公司信息系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行識(shí)別，包括資產(chǎn)的軟件供應(yīng)商、版本號(hào)、應(yīng)用情況、資產(chǎn)管理人員。6.1.2其它部門(mén)應(yīng)定期對(duì)本部門(mén)管理和使用的資產(chǎn)進(jìn)行識(shí)別，包括資產(chǎn)的軟件供應(yīng)商、版本號(hào)、應(yīng)用情況、資產(chǎn)管理人員。6.2技術(shù)薄弱點(diǎn)管理6.2.1歸口管理部門(mén)對(duì)技術(shù)薄弱點(diǎn)應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，進(jìn)行專(zhuān)項(xiàng)分析，制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃采取對(duì)應(yīng)的技術(shù)和管理措施。風(fēng)險(xiǎn)評(píng)估方法參見(jiàn)《ISO27001風(fēng)險(xiǎn)評(píng)估控制程序》。6.2.2本公司與ISO27001管理有關(guān)的所有員工對(duì)發(fā)現(xiàn)的ISO27001薄弱點(diǎn)或潛在威脅均應(yīng)履行報(bào)告義務(wù)。6.2.3技術(shù)薄弱點(diǎn)的發(fā)現(xiàn)部門(mén)/發(fā)現(xiàn)者應(yīng)填寫(xiě)《ISO27001薄弱點(diǎn)報(bào)告》，網(wǎng)絡(luò)部及相關(guān)部門(mén)制訂風(fēng)險(xiǎn)處理計(jì)劃，根據(jù)風(fēng)險(xiǎn)處理計(jì)劃進(jìn)行整改處理。6.2.4網(wǎng)絡(luò)部負(fù)責(zé)人對(duì)風(fēng)險(xiǎn)處置計(jì)劃進(jìn)行審核，對(duì)需要執(zhí)行的計(jì)劃組織相應(yīng)資源進(jìn)行整改。7附件、記錄7.1《ISO27001薄弱點(diǎn)報(bào)告》介質(zhì)管理程序文件編號(hào)：ISMS-B-13版本：A/0頁(yè)碼：第3頁(yè)共4頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司信息介質(zhì)的管理，包括對(duì)介質(zhì)進(jìn)行控制和物理上的保護(hù)，以防止信息遭受未授權(quán)泄露、修改、移動(dòng)或銷(xiāo)毀以及業(yè)務(wù)活動(dòng)遭受干擾等，特制定本程序。2.范圍本程序適用于公司各部門(mén)的介質(zhì)管理。3.職責(zé)與權(quán)限3.1人力資源部負(fù)責(zé)公司相關(guān)信息介質(zhì)的統(tǒng)一采購(gòu)、報(bào)廢跟進(jìn)及記錄歸檔管理。3.2信息管理部負(fù)責(zé)公司相關(guān)信息介質(zhì)的使用指導(dǎo)、維護(hù)和管理。3.2介質(zhì)使用部門(mén)和使用者應(yīng)遵守本程序的各項(xiàng)管理規(guī)定。部門(mén)使用及管理的介質(zhì)，由該部門(mén)領(lǐng)導(dǎo)負(fù)責(zé)保管或指定專(zhuān)人負(fù)責(zé)保管；個(gè)人使用的介質(zhì)由本人負(fù)責(zé)保管。4.相關(guān)文件《信息分類(lèi)與處理指南》5.術(shù)語(yǔ)定義介質(zhì)包括：磁帶、磁盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)、存貯卡等。6.控制程序6.1總則6.1.1任何信息設(shè)備，如：計(jì)算機(jī)、交換機(jī)、打印機(jī)、chuanzhen機(jī)、復(fù)印機(jī)等，都需要介質(zhì)進(jìn)行存儲(chǔ)，當(dāng)存儲(chǔ)設(shè)備或介質(zhì)需要轉(zhuǎn)移或銷(xiāo)毀時(shí)，如果處理不當(dāng)，很容易造成信息泄漏。因此，必須按規(guī)定執(zhí)行處置。6.1.2介質(zhì)處置原則：當(dāng)不再需要時(shí)，介質(zhì)應(yīng)該按照正式的程序可靠、安全的處置，使敏感信息泄露給未經(jīng)授權(quán)人員的風(fēng)險(xiǎn)最小化。6.2介質(zhì)處置6.2.1敏感信息介質(zhì)的處置應(yīng)該與信息的敏感程度相一致，介質(zhì)的敏感程度應(yīng)考慮風(fēng)險(xiǎn)評(píng)估的結(jié)果。6.2.2介質(zhì)處置應(yīng)考慮下列原則：a)將所有的存儲(chǔ)介質(zhì)都應(yīng)安全的收集和處置；b)信息介質(zhì)的處置前應(yīng)該識(shí)別需要安全處置的項(xiàng)目；c)銷(xiāo)毀方式一般分為一般格式化、低級(jí)格式化、專(zhuān)業(yè)軟件重寫(xiě)、粉碎。d)對(duì)無(wú)敏感信息的介質(zhì)作一般格式化即可，在保證質(zhì)量的基礎(chǔ)上重新分配和使用。e)保存有敏感信息的存儲(chǔ)介質(zhì)應(yīng)當(dāng)?shù)玫桨踩拇娣藕吞幹谩?duì)于含有敏感信息的介質(zhì)應(yīng)采用低級(jí)格式化或?qū)I(yè)軟件重寫(xiě)，反復(fù)次數(shù)為三次，再進(jìn)行粉碎。f)應(yīng)對(duì)含有敏感信息的存儲(chǔ)介質(zhì)的處置做出記錄，以備審查。g)銷(xiāo)毀的介質(zhì)在處理后宜保存三個(gè)月后再作處理。6.2.3介質(zhì)的處置措施可以是：a)軟盤(pán)：文件刪除后，高級(jí)格式化后粉碎?；蚶脤?zhuān)用磁盤(pán)維護(hù)工具，處理后粉碎。b)硬盤(pán)：文件先做刪除，高級(jí)格式化后，低級(jí)格式化。報(bào)廢的硬盤(pán)，需要粉碎報(bào)廢。循環(huán)使用的硬盤(pán)，低級(jí)格式化后，拷入大量數(shù)據(jù)，覆蓋無(wú)用信息后，高級(jí)格式化，再使用。c)光盤(pán)：一次性光盤(pán)，粉碎?？刹翆?xiě)光盤(pán)，格式化后再使用。d)Cmos芯片：粉碎。e)Flash卡：報(bào)廢后粉碎。f)可擦寫(xiě)芯片：刪除文件，粉碎。6.3介質(zhì)的使用及管理6.3.1介質(zhì)使用可移動(dòng)介質(zhì)領(lǐng)用須經(jīng)本部門(mén)領(lǐng)導(dǎo)批準(zhǔn)，人力資源部應(yīng)保留相應(yīng)的領(lǐng)用申請(qǐng)記錄。不準(zhǔn)隨意將移動(dòng)介質(zhì)借給他人及非相關(guān)人員使用，損壞的移動(dòng)介質(zhì)不得隨意丟棄，應(yīng)按照規(guī)定方式銷(xiāo)毀處理。6.3.2復(fù)制和移出向可移動(dòng)介質(zhì)拷貝敏感信息，或?qū)⒖梢苿?dòng)介質(zhì)帶離公司需要獲得本部門(mén)領(lǐng)導(dǎo)的批準(zhǔn)，并在“可移動(dòng)介質(zhì)敏感使用記錄”上記錄存儲(chǔ)的信息、用途、批準(zhǔn)人、操作人等相關(guān)信息。存有涉密數(shù)據(jù)的移動(dòng)硬盤(pán)由專(zhuān)人負(fù)責(zé)，外出攜帶時(shí)要嚴(yán)格控制在安全使用范圍內(nèi)，存儲(chǔ)的涉密數(shù)據(jù)使用完后要及時(shí)刪除。6.3.3重復(fù)使用對(duì)能夠重復(fù)使用的可移動(dòng)介質(zhì)需要重復(fù)使用，被授權(quán)操作者首先必須確認(rèn)可移動(dòng)介質(zhì)中的敏感信息或重要信息已經(jīng)安全清除，其次要嚴(yán)格控制在可移動(dòng)介質(zhì)的廠家指出的可重復(fù)使用的次數(shù)之內(nèi)，確保其存貯信息的安全、可靠性。6.3.4保存可移動(dòng)介質(zhì)的的保管部門(mén)應(yīng)按介質(zhì)要求的保存環(huán)境來(lái)保存含有敏感信息或重要信息的可移動(dòng)介質(zhì)，各部門(mén)應(yīng)對(duì)含有敏感信息或重要信息的可移動(dòng)介質(zhì)妥善保管，防止丟失，有任何異常必須向部門(mén)領(lǐng)導(dǎo)匯報(bào)，并根據(jù)部門(mén)領(lǐng)導(dǎo)的指示對(duì)異常情況作相應(yīng)的處理。6.3.5廢棄可移動(dòng)介質(zhì)應(yīng)經(jīng)過(guò)部門(mén)領(lǐng)導(dǎo)認(rèn)可，需確保信息的保密性，能進(jìn)行刪除操作的，將保密信息或重要信息進(jìn)行刪除。需要廢棄的介質(zhì)統(tǒng)一送到網(wǎng)絡(luò)部統(tǒng)一進(jìn)行安全銷(xiāo)毀處理，并做好“可移動(dòng)介質(zhì)處置記錄”，由人力資源部歸檔保管。6.4文檔信息資料對(duì)重要文件資料的打印、復(fù)制及分發(fā)應(yīng)加以控制，防止重要數(shù)據(jù)、敏感信息被泄露，應(yīng)按《信息分類(lèi)與處理指南》執(zhí)行。7附件、記錄7.1《可移動(dòng)介質(zhì)處置記錄》軟件控制程序文件編號(hào)：ISMS-B-14版本：A/0頁(yè)碼：第3頁(yè)共3頁(yè)版本更改履歷制訂/修訂審批生效日期A/0編制審核批準(zhǔn)日期日期日期分發(fā)欄：⑴市場(chǎng)中心⑵項(xiàng)目中心⑶模具中心⑷采購(gòu)部⑸品質(zhì)中心⑹貨倉(cāng)課⑺財(cái)務(wù)部⑻總經(jīng)辦⑼人力資源中心⑽設(shè)備課⑾計(jì)劃部⑾生產(chǎn)中心1.目的為規(guī)范公司計(jì)算機(jī)軟件的收集、發(fā)放、管理、使用、更改、修訂、備份等過(guò)程的安全管理，特制定本程序。2.范圍本程序適用于公司計(jì)算機(jī)軟件的安全管理。3.職責(zé)與權(quán)限3.1人力資源部計(jì)算機(jī)軟件的歸口管理部門(mén)，包括軟件的購(gòu)置、使用、歸檔、存放和作廢等工作。3.2其他各部門(mén)負(fù)責(zé)各部門(mén)的軟件資料、介質(zhì)的收集、統(tǒng)計(jì)、歸檔、存放和發(fā)放使用。4.相關(guān)文件《變更控制程序》5.術(shù)語(yǔ)定義無(wú)6.控制程序6.1軟件分類(lèi)信息系統(tǒng)涉及的軟件分為以下3類(lèi)：a)操作系統(tǒng)軟件；b)數(shù)據(jù)庫(kù)軟件；c)各類(lèi)專(zhuān)業(yè)應(yīng)用軟件。6.2軟件的收集對(duì)軟件的管理首先要對(duì)公司使用的軟件進(jìn)行收集整理，軟件來(lái)源主要有以下幾個(gè)方面：a)已有商業(yè)軟件購(gòu)買(mǎi)。b)與廠家以合同形式進(jìn)行新軟件的共同開(kāi)發(fā)。c)免費(fèi)軟件的下載。d)已有軟件的技術(shù)轉(zhuǎn)讓。6.3軟件的審核、批準(zhǔn)、發(fā)布6.3.1新的軟件由人力資源部組織測(cè)試或使用檢驗(yàn)，測(cè)試應(yīng)當(dāng)包括可用性、安全性，對(duì)其它系統(tǒng)影響和用戶(hù)友好性，測(cè)試應(yīng)當(dāng)在與應(yīng)用系統(tǒng)隔離的系統(tǒng)中進(jìn)行。6.3.2新的軟件在測(cè)試或使用檢驗(yàn)合格后，經(jīng)人力資源部及公司領(lǐng)導(dǎo)審核并批準(zhǔn)后發(fā)布。6.4軟件歸檔和存放6.4.1人力資源部應(yīng)對(duì)公司使用的軟