ISMS-02-05-V1.0 记录控制管理规定
记录控制管理规定
第一章 总则
第一条 目的
为规范思度安全运营中心信息安全管理体系记录的填写、编号、收集、归档、借阅、保管、销毁等活动的管理和控制,特制定本规定。
第二条 适用范围
本规定适用于思度安全运营中心范围内的针对信息安全管理体系记录的控制和管理活动。
第二章 术语和定义
本规定采用GB/T22080-2016/ISO/IEC27001:2013、GB/T22081-2016/ISO/IEC27002:2013的定义和缩写,需补充的定义和缩写如下:
第三条 记录
记录是一种特殊类型的文件,可作为各项制度有效落实的证据。
第四条 记录控制
应建立并保持记录,以提供符合要求且表明信息安全管理体系有效运行的证据。
第三章 组织与职责
第五条 思度安全运营中心风险管理组
思度安全运营中心风险管理组负责提出体系运行记录相关要求和控制、对各部门填写、收集的记录进行必要检查或抽查。
第六条 各部门安全组
各部门安全组负责本部门体系运行记录的监督与检查;
第七条 各部门负责人
各部门负责在本部门落实本规定要求、对本部门记录的管控提出要求并酌情审核。
第八条 全体员工
全体员工应遵守相应的信息安全职责规定,并积极配合考核工作。
第四章 记录控制管理规定
第九条 记录的填写
纸质记录保证字迹清楚、内容真实,电子记录保证内容完整,均须注明填写人;纸质记录必须使用黑/蓝签字笔,不得使用其它类型笔填写。
第十条 记录的编号与标识
保证记录具有唯一的编号与标识; 《纠正预防措施计划表》(为《纠正预防控制管理规定》附件1)的记录标号规定如下:记录序号:三位序号,从001依次递增。年月编号:共六位,其中年为四位,月份为两位。例如201109。部门代码:指该表的使用部门,部门编号采用各部门英文缩写形式,详细编号方法见《文件编写规范》附件6。
ISMS-XXXXX-XXXXXXYYY 记录序号
年月编号 部门代码 默认标识(记录编号中不显示) 其余记录的编号与标识方式由各部门自行讨论决定; 记录应保持清晰、易于识别和检索。
第十一条 记录保管
各部门应妥善收集、保管并归档本部门信息安全管理体系运行记录。
第十二条 记录的借阅
查阅、复印归档的记录原件均应办理借阅手续;记录借阅申请需填写借阅申请表,参见附件2。
第十三条 记录销毁
对超过保存期的记录,销毁需由体系发布相关人员同意,经各部门相关责任人审批后统一销毁。
第十四条 记录存储
按照《信息资产安全管理规定》的要求对记录进行存储,并实施相应的安全保护手段。各记录以纸质或电子方式在相应部门归档。
第十五条 记录存档
体系运行记录保存三年,各部门负责在规定的期限内妥善保管与本部门相关的记录文件。
第五章 附则
本规定由思度安全运营中心负责制定、解释和修改。 本规定自印发之日起实行。
附件二:记录借阅申请表 表单编号:日期年月日 记录编号: 记录名称: 申请人: 申请人所在部门: 申请用途:
审核意见:
审核人: 审核日期: 批准意见:
批准人: 批准日期: