1、目的
為確保對(duì)信息安全記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置實(shí)施有效管理,特制定本程序。
2、范圍
本程序適用于本公司證實(shí)信息安全管理體系符合要求和有效運(yùn)行的記錄管理。
3、職責(zé)
財(cái)務(wù)部負(fù)責(zé)信息安全記錄的管理。
4、相關(guān)文件
4.1《信息安全管理手冊》
4.2《信息安全管理文件標(biāo)識(shí)規(guī)范》
4.3《商業(yè)秘密管理程序》
4.4《數(shù)據(jù)備份管理程序》
4.5《信息安全記錄的分類和保存期限》
5、程序
5.1 記錄的標(biāo)識(shí)
5.1.1 記錄表格的標(biāo)識(shí)按《信息安全管理文件標(biāo)識(shí)規(guī)范》進(jìn)行。
5.1.2 信息安全記錄應(yīng)有追溯標(biāo)識(shí)(如流水號(hào)),追溯標(biāo)識(shí)由各部門確定。
5.1.3 記錄的密級(jí)分類按《商業(yè)秘密控制程序》規(guī)定進(jìn)行,涉密信息應(yīng)將密級(jí)標(biāo)識(shí)在記錄上。
5.2 記錄的保管
5.2.1 記錄由各部門在可快速檢索的條件下,決定保管場所,放在箱子、柜子等適當(dāng)容器中保管。
5.2.2 對(duì)保管場所的環(huán)境,本程序沒有特別指定,由各部門考慮記錄媒體的特性做適當(dāng)處理。
5.2.3 以電子媒體保管的場合,為預(yù)防意外,需做適當(dāng)?shù)膫浞荨浞莸陌踩髨?zhí)行《重要信息備份控制程序》。
5.2.4 記錄保管部門應(yīng)建立《信息安全記錄一覽表》,明確規(guī)定保管記錄類別、記錄保存期限等。記錄的保存應(yīng)符合有關(guān)法律法規(guī)的要求,保存期限應(yīng)符合《信息安全記錄的分類和保存期限》的規(guī)定。
5.3 記錄的查閱
5.3.1 因工作需要,借閱其他部門的秘密記錄,應(yīng)獲得記錄保管部門負(fù)責(zé)人授權(quán)后方可借閱,并填寫《記錄借閱登記表》,留下授權(quán)記錄。
5.3.2 借閱者在借閱期內(nèi)應(yīng)妥善保管記錄,并按期歸還,機(jī)密記錄只準(zhǔn)在現(xiàn)場查閱。
5.4 記錄的銷毀
5.4.1 超過保管期限的記錄,應(yīng)填寫《記錄銷毀記錄表》,經(jīng)管理者代表批準(zhǔn)后,由保管部門作為秘密文件處理廢棄。
5.4.2 記錄的廢棄應(yīng)采用安全可靠的處置方法(如書面記錄采用粉碎方法、電子媒體采用格式化方法等),處置記錄應(yīng)予以保存。但若保管部門認(rèn)為必要時(shí),仍可繼續(xù)保管超出保管期限的記錄。
6、記錄
6.1《信息安全記錄一覽表》
6.2《記錄借閱登記表》
6.3《記錄銷毀記錄表》