为了对公司工作过程中产生的记录进行控制,保证体系的有效运行,为采取纠正、预防和改进措施提供依据,特制定本程序。
本程序适用于公司体系运行规定的所有记录,包括信息安全事件记录(ISMS运行产生的记录)、IT服务管理记录(IT服务管理体系运行情况证据)、技术记录(业务活动的证据)。
² 负责制定各类记录的编码规定;
² 负责搜集整理并及时更新各部门的记录样本;
² 负责保存各种记录样本;
² 负责监督检查各部门记录的规范操作情况。
² 负责本部门产生的记录的填写、收集、标识与保管;
² 及时更新记录的格式;
² 向体系建设和维护部门提供更新过的最新的记录样本;
² 负责保管各部门超过一年的记录。
记录:阐明所取得的结果或提供所完成活动的证据的文件。记录是一种特殊的文件,一般不允许更改,通常不需要采用控制版本的活动。当表格中填写了内容,表格即成了记录。
标识一般包含如下要素:编码、编号、记录名称、记录日期、分类代码、部门代码、页码编号(第几页、共几页)等。
各部门根据工作的需要设计各种记录的样式,根据《资产分类及编码说明》关于文件资产的规定对记录进行唯一性编码,对本部门的所有记录进行登记,注明记录名称、记录编码及编号、记录归档后的保存地点、记录保存期限等信息。将最新的索引信息提交一份电子版本给负责体系建设的部门备案。
记录的填写必须及时、真实、准确、清晰、完整,易于识别和检索。
对IT服务管理工作有重要影响的IT服务管理记录,或者对信息安全造成严重影响的安全记录,必须有责任人签名。记录的签名必须签全名,不可简化或者缩写。
纸版记录不允许用铅笔填写。
记录一旦形成,不能随意更改。若发现数据填写错误确需更改时,采用杠改法,即在更改处划一横线,并由更改人在更改处签全名和更改日期。
4.5记录的整理与归档
各部门按照本部门产生记录文档的数量,每半年或者每一年整理一次记录,编制目录索引,按照时间先后顺序排列,装订成册。
装订好的记录封皮应该标注记录名称、记录起止时间、记录保存期限、记录产生部门等便于检索的信息。做成《内部记录清单》进行管理。
各部门根据工作需要,可以将装订好的记录作为档案交给文件管理部门统一进行管理,也可以方便起见保存在本部门。
各部门的归档记录应由专人负责保管。
4.6.1 各部门应指定专人对本部门产生的各种记录进行保管。
4.6.2 记录的保管环境需符合文件管理的要求,应干燥通风,防止变质、损坏或丢失。贮存环境湿度太大,容易引起记录纸张的霉变;日照强烈,容易使纸张变脆;接近强电磁场,容易干扰电子媒体的信息;以光盘形式保存的记录应避免碰伤、划伤信息页面的塑料基体。
4.6.3 以电子媒体保管的重要记录应有备份。
4.6.4 记录的保管期限可根据其内容及重要程度而定。一般地,产品和服务的记录保管时间不少于两年,信息安全管理体系运行记录的保管时间不少于一年。
记录的销毁由记录的产生部门提出,部门负责人签字认可后,报管理者代表审核,公司领导批准后方可实施。记录的销毁由文件管理部门统一执行,方法参见文件销毁方法。
《文件控制程序》
《资产分类及编码说明》
《内部记录清单》