信息安全管理体系记录控制程序_信息安全控制程序

信息安全管理体系记录控制程序由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“信息安全控制程序”。

信息安全管理体系记录控制程序 1.适用

本程序适用于本公司产生的记录的管理。

2.目的为支持信息安全体系的运作而明确记录的管理。

3.管理方法

3-1保管方法

（1）记录由各保管部门在可快速检索的条件下，决定保管场所，放在箱子、柜子等适当 容器中保管。

（2）对保管场所的环境，本程序没有特别指定。由各保管部门考虑记录媒体的特性做适 当处理。

（3）以电子媒体保管的场合，为预防意外，需做适当的备份。备份的安全要求执行《信息备份管理程序》。

（4）记录保管部门应建立《记录清单》，明确规定保管记录类别、记录保存期限等。记录的保存应符合有关法律法规的要求，保存期限参考本规格书第 4 条款。

（5）因工作需要，借阅其他部门的秘密记录，应获得记录保管部门负责人授权后方可借 阅，并留下授权记录和借阅记录。借阅者在借阅期内应妥善保管记录，并按期归还；机 密记录只准在现场查阅。

（6）记录的字迹应清晰、真实、文字表达准确、简练，记录不得随意修改。确需修改时，必须在修改处作标识，并由修改人签名确认。

3-2废弃 超过保管期限的记录，由保管部门作为秘密文件处理废弃。废弃应采用安全可靠的处置 方法（如书面记录采用粉碎方法、电子媒体采用格式化方法等)，处置记录应予以保存。但若保管部门认为必要时，仍可继续保管超出保管期限的记录。

4.记录的分类和保存年限

记录类型 测试报告

关于合同内容确认的记录 购买管理

保管期限（年)3 年 合同

保管部门 技术部 行政部 集成部

行政部 集成部

质量保证书 定单

供应商变更申请书 供应商清单 购买需求单 购买合同

购买质量保证书 供应商评价表 供应商检查表 5 年

合同结束后 3 年

文件管理 内部审核 员工教育履历

信息安全管理评审会议记录以及纠正措施记录 信息安全目标以及分解 预防措施 影响分析报告业务持续性计划业务持续性计划测试报 业务持续管理 告

业务持续性计划评审报 告

信息资产识别表

重要信息资产清单重要信息资产评估表风险评估报告 资产识别和风险评估 风险处理计划

调查报告

信息事故、异常处理记纠正措施 录 信息设备更改申请书 变更管理 软件安装/升级申请书

采购记录

维护记录 授权记录 访问记录 访问保密协议 用户访问授权记录 用户访问权限评审记录

审核日志（电子媒体)参见档案 管理规程年 5 年 2 年 3 年 1 年 2 年 10 年 10 年 行政部 行政部 行政部 行政部 行政部 各部门 集成部 集成部年 集成部年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年年 3 年

设备使用期间保 管 2 年 2 年 3 年

保持至员工 离职 3 年 1 年 参见档案 管理规程 5 年

信息处理设备相关记录

集成部 行政部 集成部 集成部 集成部 集成部 行政部 集成部

集成部或技术部 集成部 集成部 集成部 技术部

系统开发相关记录

用户逻辑访问相关记录

技术部

技术部 集成部 集成部 行政部 行政部

人事相关记录 财务相关记录