ISO27001记录分类和保存年限一览表

ISO27001：2013信息资产识别表

编号
D1
N
none
数据资产
重要敏感数据：非敏感重要数据配置数据，防火墙数据公司内部非敏感数据及第三方非敏感数据普通数据
数据资产范围资产
据
F
file
据仅限业务人员访问，传加密保存在服务器上仅限业务相关业务人落地，仅可保存在服 T2 如果发生安全事故，会对公司运营活动造成较大影响，并对公司造成较大的经济损失仅限业务人访问，传播过程不落地，加密保存在服务器上 P2 采购人员：采购部信息监管者：运营部信息管理者：源代码管理人员、各信息系统管理人员开发人员：平台开发部，云计算与移动互联网开发部，应用创新部、大数据开发部、云呼叫业务开发部仅限人力资源管理人员访问和总监访问，其个人信息存放在保仅限业务相关业务人员访问，可通过移动介质传播，可保存在任何介质中 T3 因其他可能的原因，使服务中断，不会直接对公司运营和经济造成影响的第三方服务仅限业务人访问，可使用移动介质拷贝传播，使用完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播、访问、拷贝、保存在任何介质中
人力资源相关人员：人力资源部项目人员、金点部、战营办公固定资产管理人相关第三方：最终客户部、客增部、服务运营委员：行政部、来自外单位的专业服员会其他相关人员：业务务机构流程部、市场部、总裁办仅限人力资源管理人员和主管访问，其个人信息由人力资源部保管仅限人力资源管理人员和主管访问，其个人信息由人力资源部由相关主管人员访问，其个人信息由相关主管人员保存。
D T
-
data team person
资产范围软件资产
非脚本源代码

ISO27001记录清单汇编

三年
办公室
55
《业务持续性管理实施计划》
ST/ISMS-JL—055
三年
办公室
56
《业务持续性管理计划测试报告》
ST/ISMS-JL—056
三年
办公室
57
《业务持续性管理计划评审报告》
ST/ISMS-JL—057
三年
办公室
58
《信息资产调查表》
ST/ISMS-JL—058
长期
办公室
59
《重要信息资产清单》
26
《安装软件一览表》
ST/ISMS-JL—026
三年
办公室
27
《采购申请》
ST/ISMS-JL—027
三年
办公室
28
《验收记录》
ST/ISMS-JL—028
三年
办公室
29
《人工查杀病毒记录表》
ST/ISMS-JL—029
三年
软件开发部
30
《重要信息备份周期一览表》
ST/ISMS-JL—030
三年
软件开发部
ST/ISMS-JL—010
三年
办公室
11
《会议记录》
ST/ISMS-JL—011
三年
办公室
12
《不合格项分布表》
ST/ISMS-JL—012
三年
办公室
13
《信息安全风险评估报告》
ST/ISMS-JL—013
三年
办公室
14
《ISMS纠正/预防措施》
ST/ISMS-JL—014
三年
办公室
15
《ISMS管理评审计划》
办公室
75
76
77

信息安全记录表-ISO27001体系

HW-ISMS-IR-04-02
不符合项报告及纠正报告单分布表
HW-ISMS-IR-04-03
纠正预防措施报告
5
信息安全事件管理程序
HW-ISMS-IR-05-01
信息安全事件调查处理报告2017-02-15（行政人事部）
HW-ISMS-IR-05-02
信息安全事件调查处理报告2017-06-02 （营销中心）
HW-ISMS-IR-06-03
业务持续性管理计划测试报告-恶意攻击
HW-ISMS-IR-06-04
业务持续性管理计划评审报告
HW-ISMS-IR-06-05
业务持续性管理计划恶意攻击应急演练表
HW-ISMS-IR-06-06
业务持续性演练计划恶意攻击预案
HW-ISMS-IR-06-07
业务持续性演练计划
HW-ISMS-IR-11-02
内部审核计划
HW-ISMS-IR-11-03
内部审核计划
HW-ISMS-IR-11-04
审核组长（成员）任命书
HW-ISMS-IR-11-05
内部审核员评定表
HW-ISMS-IR-11-06
信息安全重要岗位评定表
HW-ISMS-IR-11-07
内部审核报告
HW-ISMS-IR-11-08
相关方保密协议
9
网络设备安全配置管理程序
HW-ISMS-IR-09-01
网络设备安全配置表
10
信息处理设施使用与维护管理程序
HW-ISMS-IR-10-01
信息处理设施移交记录
HW-ISMS-IR-10-02
第三方物理访问申请授权表
HW-ISMS-IR-10-03
采购申请单及验收报告

ISO27001：2013记录控制程序

XXX科技有限公司
记录控制程序
编号：ISMS-B-03
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保对信息安全记录的标识、贮存、保护、检索、保存期限和处置实施有效管理，特制定本程序。

2 范围
本程序适用于本组织证实信息安全管理体系符合要求和有效运行的记录管理。

3 职责
综合管理部负责信息安全记录的管理。

4 相关文件
《信息安全管理手册》
《商业秘密管理程序》
《重要信息备份管理程序》
《信息安全记录分类与保存期限清单》
5 程序
5.1 记录的标识
5.1.1 标识
信息安全记录应有追溯标识（如流水号），追溯标识由各职能部门确定。

文件编号按照《[SANDSTONE-ISMS-B-02]文件控制程序》“5.4 文件标识”中定义的规则进行。

5.1.2 密级
记录的密级分类按《商业秘密管理程序》规定进行，涉密信息应将密级标识。

各类归档文件及保管年限

资产评估材料30年关于公司减免税材料30年财务管理永久产品销售永久四生产技术管理类归档文件及保管期限序号目录归档文件保管期限质量管理永久永久永久环境保护五产品类归档文件与保管期限序号目录归档文件保管期限六设备仪器类归档文件序号目录归档文件保管期限七基本建设类归档文件序号目录归档文件保管期限按工程分类建设项目立项报告及批复永久选址意见书永久建设用地规划许可证及有关材料永久征地批准文件及拆迁有关资料永久招投标书及资料含标书标底中标通知书等永久环保消防等审批意见书永久建设工程规划许可证及有关材料永久经济合同协议10年原材料收拨存台账30年原材料清查盘点盈亏明细表10年供方评价计划供方质量审核计划10年销售计划总结
பைடு நூலகம்
六、设备仪器类归档文件序号 1 归档文件 1、设备仪器图册、说明书、合格证、装箱单、配件目录、设备安装规程等按仪器型号分类 2、设备试车验收记录和总结报告，设备运行记录，设备保养和大、中修记录、设备事故记录、设备使用分析表、设备检查记录、设备报废处理结果。目录保管期限 30年 30年
备注：公司各部门在OA系统中形成的电子文件由各部门指定人员进行归档。备注：公司各部门在OA系统中形成的电子文件由各部门指定人员进行归档。 OA系统中形成的电子文件由各部门指定人员进行归档
附件六：附件六：各类归档文件及保管年限
一、工会归档文件及保管期限序号目录 1、上级颁发的文件。 1 工会工作 2、公司关于工会工作的各项规定、条例。 3、工会干部任免决定，工作计划、总结、统计报表。 4、企业标兵和出席各级先代会的先进集体、个人的事迹、材料、登记表、名单、纪念册。二、行政管理类归档文件及保管期限序号目录 1、董事会会议记录。 2、例会会议记录。 3、企业厂史、经济史、大事记、经济年鉴、机构沿革以及编史修志形成的材料。 4、机构变更和启用公章。 5、公司颁发的文件 1 行政事务 6、工作计划、总结（公司）。 7、部门工作计划、总结 8、本公司纪念活动形成的材料。 9、有价值的报刊、杂志。 11、房地产契约、 1、重大事故中形成的材料。 2 3 4 公安保卫 2、消防、交通管理工作形成的材料。 3、经济合同纠纷、法律诉讼、刑事案件中形成的材料。培训工作 1、培训工作计划、培训记录（包括安全教育）。 1、员工社会保险手册。社会保险 2、增加与减少社会保险人员表。 3、关于医疗、工伤、失业保险的相关资料。 1、上级机关来文。 5 审计工作 2、公司关于审计事项的请示、报告、批复。 3、审计中有关材料、审计结论。 1、员工花名册 2、机构撤消、合并、更名的通知、决定。 3、干部任免、董事会机构设置。 4、本公司干部任免、聘用的通知、决定。 6 人事劳资 5、公司工资改革方案。 6、公司职工录用、退职退休、停薪留职、调动、死亡、抚恤、解雇的相关手续。 7、各种奖金、津贴发放规定。 8、职工职称评定、考核材料（外来和公司形成的材料）。 9、个人职称评定、考核材料归档文件保管期限永久永久永久永久 30年永久永久永久永久永久永久 30年永久 30年 30年 10年 10年 30年永久永久永久永久 30年永久永久 30年 30年 30年 30年归档文件保管期限 30年 30年永久永久

ISO27001年审记录清单

信息部
业务持续性计划测试报告
10年
信息部
业务持续性计划评审报告
3年
信息部
信息资产识别表
3年
信息部
资产识别和风险评估
重要信息资产清单
3年
信息部
信息资产风险评估表
3年
信息部
风险评估报告
3年
信息部
风险处理计划
3年
信息部
调查报告
3年
信息部ቤተ መጻሕፍቲ ባይዱ
信息事故、异常处理记录
纠正措施
3年
信息部
信息设备更改申请书
3年
信息部
变更管理
1年
信息部
人事相关记录
保持至员工
离职后三年
人事部
财务相关记录
参见财务相关制度
财务部
深圳市模型有限公司
信息安全记录清单
记录
保管期限（年）
保管部门
会议签到记录
公司领导层会议
3年
人事部
公司全员大会
3年
人事部
培训签到
3年
人事部
信息安全管理委员会会议
3年
人事部
内审会议
3年
人事部
管理评审会议
3年
人事部
其他管理会议
2年
人事部
关于合同内容确认的记录
质量保证书
合同结束后3年
采购部
顾客信息安全需求
订单
软件安装/升级申请书
3年
信息部
采购记录
3年
采购部
信息处理设备相关记录
维护记录
3年
信息部
授权记录
设备使用期间保管
信息部
系统开发相关记录
访问记录

ISO27001：2013个人电脑和存储设备分类分级管理规定

XXXXXX软件有限公司人性化科技提升业绩个人电脑和存储设备分类分级管理规定目录目标 (2)适用范围 (2)一、设备分类 (2)二、设备分级 (2)1、笔记本电脑分类 (3)2、设备分级 (3)3、人个电脑和存储设备管理规定 (4)4、个人电脑的运行配置的更新 (5)6、数据保密和安全管理 (6)7、日常管理 (6)8、领取流程 (7)9、维护、维修与赔偿 (7)10、归还 (8)11、注意事项 (9)目标个人电脑和存储设备目前已经成为员工办公的主要设备，需要对这些设备进行分级，根据不同权限，规范各类设备的使用，以提高公司对这些设备使用的信息安全管理水平。

适用范围本规定适用于所有员工。

一、设备分类个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备，标记为H3（见《硬件资产分级管理制度》），按照其上存储的或操作的信息重要性和安全级别的不同，可以划分了一至五级，标记为M1~M5（当设备没有存放或操作任何信息资产时，标记为M5)。

为了便于识别不同设备的风险，将上述设备分为以下细类并给予相应的标记。

1、台式机和固定存储：指不可移动的个人电脑和存储设备。

标记为FX（固定）。

2、移动机：指笔记本、手机移动设备。

标记为MP（移动个人）。

3、可读写的移动存储：指所有可读写的移动存储，包括优盘、移动硬盘、可读写的光盘等。

标记为MW（移动可写）4、只读移动存储：一旦写入即不可擦除的移动设备，如只读光盘等。

标记为MR（移动只读）。

5、其他硬件设备：除H3类硬件设备外，其他固定设备包括服务器、网络交换机(H1、H2、H4)等，标记缺省为FX(即可以不作标记)。

二、设备分级1、笔记本电脑分类1) 自备笔记本电脑为了方便员工高效工作，公司允许员工自备笔记本电脑办公。

2) 公司配备笔记本电脑对于符合以下条件的员工可以向公司提出申请配备笔记本电脑：●经理级别以上管理人员。

●经常需要在公司办公地点以外使用电脑的员工。

ISO27001标准详解

4.2.1 建立和管理 ISMS

确定ISMS范围（划分业务或重要资产均可）确定信息安全方针定义系统化的风险评估方法风险识别风险评估识别并评价风险处理，并对其处理进行选择选择风险处理的控制目标和控制方式编制适用性声明获得剩余风险的管理认可，并授权实施和运行ISMS
形成文件的ISMS的益处
对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力
ISMS的持续改进
PDCA方法
纠正和预防措施
内部审核 ISMS管理评审
PDCA模型
1 范围
1.1总则本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用适用于各种类型、不同规模和提供不同产品的组织可以考虑删减，但条款4、5、6、7和8是不能删减的
2 引用标准
ISO/IEC 17799：2005 信息技术－安全技术－信息安全管理实施指南
4.2.3 监控和评审 ISMS
执行监视和评审程序和其它控制措施对ISMS的有效性进行定期的评审测量控制措施的有效性，以证实安全要求已得到满足评审剩余风险水平和可接受风险按照计划的间隔实施内部ISMS的审核对ISMS实施规律性的管理评审更新安全计划，考虑监视和评审活动的发现记录对ISMS的有效性或绩效可能会产生影响的行为和事件
一.直接损失：丢失订单，减少直接收入，损失生产率；
二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。

iso27001记录分类和保存年限一览表

ISO27001
记录
保管期限（年）
保管部门
会议签到记录
公司领导层会议
3年
XX部
公司全员大会
3年
培训签到
3年
信息安全管理委员会会议
3年
内审会议
3年
管理评审会议
3年
其他管理会议
2年
关于合同内容确认的记录
质量保证书
合同
顾客信息安全需求
定单
供应商变更申请书
购买管理
供应商清单ห้องสมุดไป่ตู้
合同结束后3年
购买需求单
购买合同
购买质量保证书
3年
风险评估报告
3年
风险处理计划
3年
调查报告
3年
信息事故、异常处理记录
纠正措施
3年
信息设备更改申请书
3年
变更管理
软件安装/升级申请书
3年
采购记录
3年
信息处理设备相关记录
维护记录
3年
授权记录
设备使用期间保管
系统开发相关记录
访问记录
2年
访问保密协议
2年
用户访问授权记录
3年
用户访问权限评审记录
保持至员工
离职
用户逻辑访问相关记录
审核日志（电子媒体）
3年
参见档案
管理规程
1年
人事相关记录
参见档案
管理规程
财务相关记录
供应商评价表
供应商检查表
文件管理
5年
内部审核
5年
员工教育履历
2年
信息安全管理评审会议记录以及纠正措施记录
3年
信息安全目标以及分解
5年
预防措施

ISO27001信息安全体系记录清单

信息安全记录分类和保存期限
ISO27001信息安全记录的分类和保存期限如下表所示：
记录类别
保管期限
保管部门
合同内容确认的记录
合同
合同结束后3年
行政管理部
质量保证书
合同结束后3年
行政管理部
定单
合同结束后3年
行政管理部
文件管理的记录
信息安全管理文件审批表
5年
行政管理部
信息安全文件一览表
5年
行政管理部
文件发放一览表
第三方工作记录单
3年
行政管理部
第三方服务变更报告
3年
行政管理部
信息分类管理记录
信息资产识别表（文档）
3年
行政管理部
信息资产识别表（硬件）
3年
行政管理部
信息资产识别表（软件）
3年
行政管理部
信息安全重要岗位一览表
5年
行政管理部
信息安全重要岗位员工一览表源自5年行政管理部重要安全区域控制方案一览表
5年
行政管理部
专利及著作产权一览表
5年
行政管理部
商业秘密管理记录
涉密文件复印登记表
5年
行政管理部
涉密文件保管一览表
5年
行政管理部
员工聘用管理记录
招聘申请表
2年
行政管理部
面试记录表
2年
行政管理部
录用决定
2年
行政管理部
雇员保密协议
2年
行政管理部
信息安全奖惩管理记录
惩戒申报单
2年
行政管理部
奖励建议书
2年
行政管理部
员工离职、职务变动管理记录
3年
行政管理部

ISO9001记录保存年限一览表

产品搬运储存与包装管制程序
SMART-PPL002
来料不良异常处理单 IQC检验不良记录表
SMT首件检查记录表 SMT制程巡查记录表制程稽核现况表制程不良8D处理报告
FPC检验日报表 OQC检验记录表 4OQC退货记录表出货记录表
SMT来料送检单入库单物料收发卡仓库温湿度记录曲线图领料单 SMT产品入库单退料单
1
2
1
2 文员报表 3
6
7
1
环境
2
3
4
1
生产汇总 4 5
6
手摆 1
1
保养
2
3
4
目检不良分析表 SMT（）时段日报表测试不良记录表测试点检报表维修日报表烙铁温度&漏电点检表加班申请表月加班统计表请购单内部联络单流转单车间温度记录表超声波夹具清洗记录表静电皮点检记录表静电环测试记录表每日工作汇报记录生产效率达成日报表生产日报表 SMT生产时段日报表手摆机种追踪明细
品质异常处理单 8D改善报告特采申请单报废品申请单矫正及预防措施追踪管制表年度稽核计划表稽核计划行程表内部稽核通知单内部稽核查检表内部稽核总结报告稽核缺点记录表内部稽核不附合报告
来料检验记录表
保存年限
保存部门
文件废止后一年文控
停用后一年
及时更新，永久保存文控
三年
文控
一年三年
18 产品鉴别与追溯管制作业程序 SMART-PQA013
19 产品试做作业程序
SMART-PEN001
20 工程变更作业程序
SMART-PEN002
21 生产设备管制作业程序 SMART-PEN003

ISO27001：2013个人电脑和存储设备分类分级管理规定

XXXXXX软件有限公司人性化科技提升业绩个人电脑和存储设备分类分级管理规定目录目标 (2)适用范围 (2)一、设备分类 (2)二、设备分级 (2)1、笔记本电脑分类 (3)2、设备分级 (3)3、人个电脑和存储设备管理规定 (4)4、个人电脑的运行配置的更新 (5)6、数据保密和安全管理 (6)7、日常管理 (6)8、领取流程 (7)9、维护、维修与赔偿 (7)10、归还 (8)11、注意事项 (9)目标个人电脑和存储设备目前已经成为员工办公的主要设备，需要对这些设备进行分级，根据不同权限，规范各类设备的使用，以提高公司对这些设备使用的信息安全管理水平。

适用范围本规定适用于所有员工。

一、设备分类个人电脑和存储设备在硬件管理大类里同属于三级硬件包括台式机、笔记本、手机、移动存储等办公终端或存储设备，标记为H3（见《硬件资产分级管理制度》），按照其上存储的或操作的信息重要性和安全级别的不同，可以划分了一至五级，标记为M1~M5（当设备没有存放或操作任何信息资产时，标记为M5)。

为了便于识别不同设备的风险，将上述设备分为以下细类并给予相应的标记。

1、台式机和固定存储：指不可移动的个人电脑和存储设备。

标记为FX（固定）。

2、移动机：指笔记本、手机移动设备。

标记为MP（移动个人）。

3、可读写的移动存储：指所有可读写的移动存储，包括优盘、移动硬盘、可读写的光盘等。

标记为MW（移动可写）4、只读移动存储：一旦写入即不可擦除的移动设备，如只读光盘等。

标记为MR（移动只读）。

5、其他硬件设备：除H3类硬件设备外，其他固定设备包括服务器、网络交换机(H1、H2、H4)等，标记缺省为FX(即可以不作标记)。

二、设备分级1、笔记本电脑分类1) 自备笔记本电脑为了方便员工高效工作，公司允许员工自备笔记本电脑办公。

2) 公司配备笔记本电脑对于符合以下条件的员工可以向公司提出申请配备笔记本电脑：●经理级别以上管理人员。

●经常需要在公司办公地点以外使用电脑的员工。

ISO27001信息安全体系记录清单

信息安全记录分类和保存期限
ISO27001信息安全记录的分类和保存期限如下表所示：
记录类别
保管期限
保管部门
合同内容确认的记录
合同
合同结束后3年
行政管理部
质量保证书
合同结束后3年
行政管理部
定单
合同结束后3年
行政管理部
文件管理的记录
信息安全管理文件审批表
5年
行政管理部
信息安全文件一览表
5年
行政管理部
文件发放一览表
3年
行政管理部
风险处理计划
3年
行政管理部
风险评估报告
3年
行政管理部
信息安全测量管理记录
信息安全目标评审记录
3年
行政管理部
控制措施有效性测量记录
3年
行政管理部
电脑日常检查表
2年
系统集成部
机房环境及设备检查表
2年
系统集成部
个人电脑自检表
2年
系统集成部
管理评审记录
管理评审计划
2年
行政管理部
信息安全管理体系运行情况报告
10年
行政管理部
恶意软件管理记录
病毒感染报告
3年
系统集成部
信息系统变更管理记录
变更申请表
3年
行政管理部
信息系统接收管理记录
接收测试申请
3年
工程技术部
测试方案
10年
工程技术部
信息系统上线申请
3年
行政管理部
信息安全事件管理记录
信息安全事件调查处理报告
3年
行政管理部
业务持续性管理记录
业务持续性和影响分析报告
5年
行政管理部

ISO27001管理程序文件记录与部门关系表

管理程序名称涉及部门及角色相关文件[RC-IS-C-01]管理评审程序总经理、综合管理部《信息安全管理手册》《文件控制程序》《记录控制程序》[RC-IS-C-02]内部审核管理程序综合管理部、信息安全管理小组、其他各部门《信息安全管理手册》[RC-IS-C-03]纠正措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-04]预防措施控制程序综合管理部、信息安全管理小组《信息安全管理手册》《文件控制程序》[RC-IS-C-05]文件控制程序总经理、信息安全管理小组负责人、信息安全管理小组《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规管理程序》[RC-IS-C-06]记录控制程序安全管理小组《信息安全管理手册》《信息安全管理文件标识规范》《商业秘密管理程序》《重要信息备份管理程序》《信息安全记录分类与保存期限清单》[RC-IS-C-07]信息安全法律法规管理程序综合管理部、各部门《信息安全管理手册》《文件控制程序》[RC-IS-C-08]信息分类管理程序综合管理部《中华人民共和国保守国家秘密法》《信息安全管理手册》[RC-IS-C-09]信息安全风险管理程序信息安全管理小组、风险评估小组、各部门《信息安全管理手册》《商业秘密管理程序》[RC-IS-C-10]安全区域管理程序综合管理部、其他部门《信息安全管理手册》《安全区域管理程序》[RC-IS-C-11]信息安全事件管理程序技术服务部、各系统使用人员《信息安全管理手册》《信息安全奖惩管理程序》[RC-IS-C-12]信息安全沟通协调管理程序信息安全管理小组、其他部门《信息安全管理手册》《组织管理》《职责权限》《信息安全法律法规管理程序》[RC-IS-C-13]网络设备安全配置管理程序技术服务部《信息安全管理手册》《信息系统访问与使用监控管理程序》[RC-IS-C-14]信息处理设施安装使用管理程序综合管理部《信息安全管理手册》《产品开发管理规范》《项目开发管理规范》[RC-IS-C-15]信息处理设施维护管理程序综合管理部《信息安全管理手册》[RC-IS-C-16]用户访问管理程序综合管理部、技术服务部《信息安全管理手册》《口令策略》[RC-IS-C-17]第三方服务管理程序综合管理部、商务拓展部、其他相关部门《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使用监控管理程序》[RC-IS-C-18]相关方信息安全管理程序综合管理部、各相关部门《安全区域管理程序》《物理访问策略》《用户访问管理程序》[RC-IS-C-19]业务持续性管理程序综合管理部、各相关部门《信息安全事件管理程序》[RC-IS-C-20]可移动介质管理程序综合管理部、可移动介质使用部门《信息安全管理手册》[RC-IS-C-21]商业秘密管理程序母公司、全体员工《中华人民共和国保守国家秘密法》《信息安全管理手册》《保密协议》《安全区域管理程序》《物理访问策略》《信息安全事件管理程序》[RC-IS-C-22]知识产权管理程序商务拓展部、各部门《商业秘密管理程序》[RC-IS-C-23]变更管理程序IT技术服务部、其它部门《信息安全管理手册》《变更管理安全策略》[RC-IS-C-25]恶意软件管理程序 IT技术服务部、其他各部门《信息安全管理手册》《重要信息备份管理程序》《计算机管理程序》[RC-IS-C-26]电子邮件管理程序 IT技术服务部、综合管理部《信息安全管理手册》《信息系统访问与使用监控管理程序》《电子邮件使用准则》[RC-IS-C-28]计算机管理程序IT技术服务部无[RC-IS-C-32]人事管理流程综合管理部[RC-IS-C-33]信息系统开发管理程序产品研发部、技术服务部《信息安全管理手册》《软件变更管理程序》《第三方服务管理程序》《恶意软件管理程序》《项目开发管理规范》《产品开发管理规范》[RC-IS-C-39]信息安全奖惩管理程序各部门、综合管理部、总经理办《员工行为规范》《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-41]信息系统访问与使用监控管理程序IT技术服务部《信息安全管理手册》《信息安全事件管理程序》[RC-IS-C-42]信息系统验收管理程序信息安全管理小组《信息安全管理手册》《软件开发管理程序》《变更管理程序》[RC-IS-C-44]重要信息备份管理程序 IT部、各部门《信息安全管理手册》《可移动介质管理程序》《信息处理设施维护管理程序》《信息备份安全策略》[RC-IS-C-50]办公环境维护管理规[RC-IS-C-51]固定资产管理办法[RC-IS-C-53]测试管理工作规范[RC-IS-C-54]机房管理规范技术服务部《设备管理规定》记录文件《管理评审计划》《信息安全管理体系运行情况报告》《管理评审通知单》《管理评审会议签到表》《管理评审会议记录》《管理评审报告》《年度内审计划》《内部审核计划》《内部审核方案》《审核组长（成员）任命书》《内部审核员评定表》《信息安全重要岗位评定表》《不符合项报告及纠正报告单分布表》《不符合项报告及纠正报告单》《内部审核报告》《内部审核报告发放记录》《不符合项报告及纠正报告单》《不符合项报告及纠正报告单分布表》《纠正与预防措施报告》《信息安全文件一览表》《文件发放/回收一览表》《文件修改通知单》《外来文件清单》《信息安全记录一览表》《记录借阅登记表》《记录销毁记录表》《信息安全法律法规及要求清单》《资产清单》《信息安全风险评估计划》《资产清单》（含《重要资产清单》）《信息安全风险评估表》（含《风险处理计划》）《信息安全风险评估报告》《剩余风险评估报告》《机房进出登记表》《员工外出登记》《应聘登记表》《外来人员登记表》《信息安全事件调查处理报告》《信息安全专家名单》无《采购计划书》《采购合同》《验收报告》《重要资产清单》《设施报废记录》《访问权限复核记录》《进出登记表》《第三方服务合同》《第三方服务保密协议》《知识产权声明书》《第三方变更报告》《相关方保密协议》《相关方一览表》(主要是供方一览表)《业务风险分析报告》《业务持续性管理计划》《演练报告以及改进》《可移动介质使用登记表》《可移动介质使用清单》《项目资料复印登记表》《项目资料借阅登记表》《涉密文件借阅/复印登记表》《变更跟踪表》《设施报废记录》《个人计算机日常检查表》《电子邮箱一览表》无《系统访问权限说明书》《重要信息备份周期一览表》《软件使用手册》《惩戒申报单》《奖励建议书》《日志审核记录》《用户手册》《验收报告》《测试报告》《缺陷记录》《重要信息备份周期一览表》《重要信息备份记录》。

质量记录分类及保存期限规定

质量记录分类及保存期限规定
1 目的
加强质量记录的控制,保证记录的有效性。

2 适用范围
本标准适用于程序文件所涉及的各类质量记录。

3 管理职责
各有关部门按本规定对质量记录进行分类、装订、造册并保存。

4 工作程序
4.1 质量记录的分类
4.1.1 质量记录按性质分为证明质量体系有效运行和产品符合规定要求两大类质量记录。

4.1.2 按保存期限分为永久、十年、五年、三年四类。

4.2 质量记录的保存部门
4.2.1 附表中列出的保存部门是质量手册中规定的主要职责部门。

4.2.2 同一种质量记录除了主要职责部门外,相关的部门也应该加以保存。

4. 3 质量记录保存期限
4.3.1 附表中所列部门应按表中规定期限对质量记录进行保存。

4.3.2 同一种质量记录除了主要职责部门按规定保存外,相关部门也应按附表规定进行保存。

见附录A:《质量记录保存期限表》
5 检查与考核
由体系中心每年检查考核一次。

《质量记录分类及保存期限规定》。