文件控制管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心信息安全管理体系文件的审批、发布、发放、分发、更改、保管和作废等活动的管理和控制，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心范围内的所有信息安全管理体系文件控制工作。

第二章 术语和定义

本文件采用GB/T22080-2016/ISO/IEC27001:2013、GB/T22081-2016/ISO/IEC27002:2013的定义和缩写，本文件中需补充说明的定义和缩写如下：

第三条 文件

为建立信息安全方针和信息安全管理体系相关要求而采取的一组相互关联和相互作用的要素的描述，包括电子和纸质的形式。

第四条 外来文件

有关的法律、法规，国家、行业或监管机构的标准要求。

第五条 文件控制

指信息安全管理体系所要求的文件得到控制。内容包括：

1. 文件发布前得到批准，以确保文件是充分与适宜的；
2. 必要时对文件进行评审与更新，并再次批准；
3. 确保文件的更改与现行修订状态得到识别；
4. 确保可获得适用文件的相应版本；
5. 确保文件保持清晰，易于识别；
6. 确保外来文件得到识别，并控制其分发；
7. 防止作废文件的非预期使用，若因任何原因需保留作废文件时，应对这些文件进行适当的标识。

第三章 组织与职责

第六条 信息安全工作指挥小组

思度安全运营中心信息安全工作指挥小组负责本规定的审批、体系一、二级文件及思度安全运营中心范围三级文件的审批。

第七条 风险管理组

思度安全运营中心风险管理组负责组织一、二级文件编写与更新，并提交审批、涉及思度安全运营中心范围的三级文件的编写与更新。

第八条 部门负责人

各部门负责人或信息安全保障领导小组负责对本部门三级文件的审批。

第九条 各部门信息安全管理组

各部门信息安全管理组负责根据思度安全运营中心发布的相关文件制定，组织本部门三级文件的编写与更新、推广落实发布的信息安全管理体系相关各级文件、本部门信息安全管理体系文件的集中管理。

第四章 文件控制管理规定

第十条 文件的分类及编号

信息安全管理体系文件可分为以下几类：

1. 一级文件：方针策略性文件；
2. 二级文件：信息安全管理规定类文件；
3. 三级文件：实施细则及操作指南；
4. 四级文件：体系运行记录。

第十一条 文件编写格式

文件的编写格式应遵从统一规范要求，详见《文件编写规范》。

第十二条 文件的审批和发布

（一） 一、二级文件的审批和发布
思度安全运营中心风险管理组完成文件制定或更新后，需提交思度安全运营中心信息安全工作指挥小组审批和发布。
（二） 三级文件的审批和发布
三级文件应在二级文件的指导下编写。审批发布流程如下：
适用于各部门的三级文件，其编写和更新后，需提交各部门相关责任人或信息安全保障领导小组审批和发布，并报备思度安全运营中心。

第十三条 文件的分发

（一） 一、二级文件的分发应经思度安全运营中心批准，三级文件的分发应经相关部门批准，分发范围根据文件密级情况确定，详细参考《信息资产安全管理规定》。
（二） 文件分发传递时要确保传输过程中的安全，确保信息不被泄漏或篡改。

第十四条 文件的评审与修订

（一） 文件负责部门应定期组织对文件的评审和修订，文件评审至少每年进行一次，文件的修订更新版本需要重新提交相关负责人或文件审批部门审批。
（二） 当思度安全运营中心业务发生重大变化、组织架构出现重大调整或法律法规发生变化时，也应酌情进行文件评审，并根据需要对文件进行必要的修订与更新。
（三） 文件的更新应该严格遵守版本控制规则。

第十五条 文件的保管

（一） 一、二级文件由思度安全运营中心风险管理组负责管理。
（二） 三级文件由各部门自行管理。
（三） 各部门应按照《信息资产安全管理规定》的要求对文件进行管理，并实施相应的安全保护手段，确保：

1. 文件的可用性：用户可以方便、及时获取正确版本的文件；
2. 文件的完整性：文件不会被非授权修改；
3. 文件的保密性：文件不会被非授权分发。

第十六条 文件的作废

（一） 文件不适用或其被其他文件取代时，该文件应被废除。
（二） 文件的作废需相应审批部门审批后方可执行。

第十七条 外来文件的管控

外来文件的管控由引入部门负责。

第五章 附则

本规定由思度安全运营中心制定、修订和解释。
本规定自发布之日起生效。

参考文档

思度安全
信息安全标准列表
数据安全报告