信息安全管理体系记录控制程序由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“信息安全控制程序”。
信息安全管理体系记录控制程序 1.适用
本程序适用于本公司产生的记录的管理。
2.目的为支持信息安全体系的运作而明确记录的管理。
3.管理方法
3-1保管方法
(1)记录由各保管部门在可快速检索的条件下,决定保管场所,放在箱子、柜子等适当 容器中保管。
(2)对保管场所的环境,本程序没有特别指定。由各保管部门考虑记录媒体的特性做适 当处理。
(3)以电子媒体保管的场合,为预防意外,需做适当的备份。备份的安全要求执行《信息备份管理程序》。
(4)记录保管部门应建立《记录清单》,明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求,保存期限参考本规格书第 4 条款。
(5)因工作需要,借阅其他部门的秘密记录,应获得记录保管部门负责人授权后方可借 阅,并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录,并按期归还;机 密记录只准在现场查阅。
(6)记录的字迹应清晰、真实、文字表达准确、简练,记录不得随意修改。确需修改时,必须在修改处作标识,并由修改人签名确认。
3-2废弃 超过保管期限的记录,由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置 方法(如书面记录采用粉碎方法、电子媒体采用格式化方法等),处置记录应予以保存。但若保管部门认为必要时,仍可继续保管超出保管期限的记录。
4.记录的分类和保存年限
记录类型 测试报告
关于合同内容确认的记录 购买管理
保管期限(年)3 年 合同
保管部门 技术部 行政部 集成部
行政部 集成部
质量保证书 定单
供应商变更申请书 供应商清单 购买需求单 购买合同
购买质量保证书 供应商评价表 供应商检查表 5 年
合同结束后 3 年
文件管理 内部审核 员工教育履历
信息安全管理评审会议记录以及纠正措施记录 信息安全目标以及分解 预防措施 影响分析报告业务持续性计划业务持续性计划测试报 业务持续管理 告
业务持续性计划评审报 告
信息资产识别表
重要信息资产清单重要信息资产评估表风险评估报告 资产识别和风险评估 风险处理计划
调查报告
信息事故、异常处理记纠正措施 录 信息设备更改申请书 变更管理 软件安装/升级申请书
采购记录
维护记录 授权记录 访问记录 访问保密协议 用户访问授权记录 用户访问权限评审记录
审核日志(电子媒体)参见档案 管理规程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部门 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年
设备使用期间保 管 2 年 2 年 3 年
保持至员工 离职 3 年 1 年 参见档案 管理规程 5 年
信息处理设备相关记录
集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部
集成部或技术部 集成部 集成部 集成部 技术部
系统开发相关记录
用户逻辑访问相关记录
技术部
技术部 集成部 集成部 行政部 行政部
人事相关记录 财务相关记录
