ISO27001记录分类和保存年限一览表

编号
D1
N
none
数据 资产
重要敏感数据： 非敏感重要数据 配置数据，防火墙数据 公司内部非敏感数据及第 三方非敏感数据 普通数据
数据 资产范围 资产
据
F
file
据 仅限业务人员访问，传 加密保存在服务器上 仅限业务相关业务人 落地，仅可保存在服 T2 如果发生安全事故， 会对公司运营活动造 成较大影响，并对公 司造成较大的经济损 失 仅限业务人访问，传 播过程不落地，加密 保存在服务器上 P2 采购人员：采购部 信息监管者：运营部 信息管理者：源代码 管理人员、各信息系 统管理人员 开发人员：平台开发 部，云计算与移动互 联网开发部，应用创 新部、大数据开发部 、云呼叫业务开发部 仅限人力资源管理人 员访问和总监访问， 其个人信息存放在保 仅限业务相关业务人员访 问，可通过移动介质传 播，可保存在任何介质中 T3 因其他可能的原因，使服 务中断，不会直接对公司 运营和经济造成影响的第 三方服务 仅限业务人访问，可使用 移动介质拷贝传播，使用 完后立即删除移动介质上 P3 P4 P5 公司内部可自由传播 、访问、拷贝、保存 在任何介质中
人力资源相关人员： 人力资源部 项目人员、金点部、战营 办 公 固 定 资 产 管 理 人 相关第三方：最终客户 部、客增部、服务运营委 员：行政部 、来自外单位的专业服 员会 其他相关人员：业务 务机构 流程部、市场部、总 裁办 仅限人力资源管理人员和 主管访问，其个人信息由 人力资源部保管 仅限人力资源管理人 员和主管访问，其个 人信息由人力资源部 由相关主管人员访问， 其个人信息由相关主管 人员保存。
D T
-
data team person
资产范围 软件 资产
非脚本源代码

三年
办公室
55
《业务持续性管理实施计划》
ST/ISMS-JL—055
三年
办公室
56
《业务持续性管理计划测试报告》
ST/ISMS-JL—056
三年
办公室
57
《业务持续性管理计划评审报告》
ST/ISMS-JL—057
三年
办公室
58
《信息资产调查表》
ST/ISMS-JL—058
长期
办公室
59
《重要信息资产清单》
26
《安装软件一览表》
ST/ISMS-JL—026
三年
办公室
27
《采购申请》
ST/ISMS-JL—027
三年
办公室
28
《验收记录》
ST/ISMS-JL—028
三年
办公室
29
《人工查杀病毒记录表》
ST/ISMS-JL—029
三年
软件开发部
30
《重要信息备份周期一览表》
ST/ISMS-JL—030
三年
软件开发部
ST/ISMS-JL—010
三年
办公室
11
《会议记录》
ST/ISMS-JL—011
三年
办公室
12
《不合格项分布表》
ST/ISMS-JL—012
三年
办公室
13
《信息安全风险评估报告》
ST/ISMS-JL—013
三年
办公室
14
《ISMS纠正/预防措施》
ST/ISMS-JL—014
三年
办公室
15
《ISMS管理评审计划》
办公室
75
76
77

HW-ISMS-IR-04-02
不符合项报告及纠正报告单分布表
HW-ISMS-IR-04-03
纠正预防措施报告
5
信息安全事件管理程序
HW-ISMS-IR-05-01
信息安全事件调查处理报告2017-02-15（行政人事部）
HW-ISMS-IR-05-02
信息安全事件调查处理报告2017-06-02 （营销中心）
HW-ISMS-IR-06-03
业务持续性管理计划测试报告-恶意攻击
HW-ISMS-IR-06-04
业务持续性管理计划评审报告
HW-ISMS-IR-06-05
业务持续性管理计划恶意攻击应急演练表
HW-ISMS-IR-06-06
业务持续性演练计划恶意攻击预案
HW-ISMS-IR-06-07
业务持续性演练计划
HW-ISMS-IR-11-02
内部审核计划
HW-ISMS-IR-11-03
内部审核计划
HW-ISMS-IR-11-04
审核组长（成员）任命书
HW-ISMS-IR-11-05
内部审核员评定表
HW-ISMS-IR-11-06
信息安全重要岗位评定表
HW-ISMS-IR-11-07
内部审核报告
HW-ISMS-IR-11-08
相关方保密协议
9
网络设备安全配置管理程序
HW-ISMS-IR-09-01
网络设备安全配置表
10
信息处理设施使用与维护管理程序
HW-ISMS-IR-10-01
信息处理设施移交记录
HW-ISMS-IR-10-02
第三方物理访问申请授权表
HW-ISMS-IR-10-03
采购申请单及验收报告

资产评估材料30年关于公司减免税材料30年财务管理永久产品销售永久四生产技术管理类归档文件及保管期限序号目录归档文件保管期限质量管理永久永久永久环境保护五产品类归档文件与保管期限序号目录归档文件保管期限六设备仪器类归档文件序号目录归档文件保管期限七基本建设类归档文件序号目录归档文件保管期限按工程分类建设项目立项报告及批复永久选址意见书永久建设用地规划许可证及有关材料永久征地批准文件及拆迁有关资料永久招投标书及资料含标书标底中标通知书等永久环保消防等审批意见书永久建设工程规划许可证及有关材料永久经济合同协议10年原材料收拨存台账30年原材料清查盘点盈亏明细表10年供方评价计划供方质量审核计划10年销售计划总结
பைடு நூலகம்
六、设备仪器类归档文件 序号 1 归档文件 1、 设备仪器图册、说明书、合格证、装箱单、配件目录、设备安装规程等 按仪器型 号分类 2、 设备试车验收记录和总结报告，设备运行记录，设备保养和大、中修记 录、设备事故记录、设备使用分析表、设备检查记录、设备报废处理结果。 目录 保管期限 30年 30年
备注：公司各部门在OA系统中形成的电子文件由各部门指定人员进行归档。 备注：公司各部门在OA系统中形成的电子文件由各部门指定人员进行归档。 OA系统中形成的电子文件由各部门指定人员进行归档
附件六： 附件六：各类归档文件及保管年限
一、工会归档文件及保管期限 序号 目录 1、 上级颁发的文件。 1 工会工作 2、 公司关于工会工作的各项规定、条例。 3、 工会干部任免决定，工作计划、总结、统计报表。 4、 企业标兵和出席各级先代会的先进集体、个人的事迹、材料、登记表、 名单、纪念册。 二、行政管理类归档文件及保管期限 序号 目录 1、 董事会会议记录。 2、 例会会议记录。 3、 企业厂史、经济史、大事记、经济年鉴、机构沿革以及编史修志形成的 材料。 4、 机构变更和启用公章。 5、 公司颁发的文件 1 行政事务 6、 工作计划、总结（公司）。 7、 部门工作计划、总结 8、 本公司纪念活动形成的材料。 9、 有价值的报刊、杂志。 11、房地产契约、 1、 重大事故中形成的材料。 2 3 4 公安保卫 2、 消防、交通管理工作形成的材料。 3、 经济合同纠纷、法律诉讼、刑事案件中形成的材料。 培训工作 1、 培训工作计划、培训记录（包括安全教育）。 1、员工社会保险手册。 社会保险 2、增加与减少社会保险人员表。 3、关于医疗、工伤、失业保险的相关资料。 1、 上级机关来文。 5 审计工作 2、 公司关于审计事项的请示、报告、批复。 3、 审计中有关材料、审计结论。 1、 员工花名册 2、 机构撤消、合并、更名的通知、决定。 3、 干部任免、董事会机构设置。 4、 本公司干部任免、聘用的通知、决定。 6 人事劳资 5、 公司工资改革方案。 6、 公司职工录用、退职退休、停薪留职、调动、死亡、抚恤、解雇的相关 手续。 7、 各种奖金、津贴发放规定。 8、 职工职称评定、考核材料（外来和公司形成的材料）。 9、 个人职称评定、考核材料 归档文件 保管期限 永久 永久 永久 永久 30年 永久 永久 永久 永久 永久 永久 30年 永久 30年 30年 10年 10年 30年 永久 永久 永久 永久 30年 永久 永久 30年 30年 30年 30年 归档文件 保管期限 30年 30年 永久 永久

信息部
业务持续性计划测试报告
10年
信息部
业务持续性计划评审报告
3年
信息部
信息资产识别表
3年
信息部
资产识别和风险评估
重要信息资产清单
3年
信息部
信息资产风险评估表
3年
信息部
风险评估报告
3年
信息部
风险处理计划
3年
信息部
调查报告
3年
信息部ቤተ መጻሕፍቲ ባይዱ
信息事故、异常处理记录
纠正措施
3年
信息部
信息设备更改申请书
3年
信息部
变更管理
1年
信息部
人事相关记录
保持至员工
离职后三年
人事部
财务相关记录
参见财务相关制度
财务部
深圳市模型有限公司
信息安全记录清单
记录
保管期限（年）
保管部门
会议签到记录
公司领导层会议
3年
人事部
公司全员大会
3年
人事部
培训签到
3年
人事部
信息安全管理委员会会议
3年
人事部
内审会议
3年
人事部
管理评审会议
3年
人事部
其他管理会议
2年
人事部
关于合同内容确认的记录
质量保证书
合同结束后3年
采购部
顾客信息安全需求
订单
软件安装/升级申请书
3年
信息部
采购记录
3年
采购部
信息处理设备相关记录
维护记录
3年
信息部
授权记录
设备使用期间保管
信息部
系统开发相关记录
访问记录

4.2.1 建立和管理 ISMS

确定ISMS范围（划分业务或重要资产均可） 确定信息安全方针 定义系统化的风险评估方法 风险识别 风险评估 识别并评价风险处理，并对其处理进行选择 选择风险处理的控制目标和控制方式 编制适用性声明 获得剩余风险的管理认可，并授权实施和运行ISMS
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
ISMS的持续改进
PDCA方法
纠正和预防措施
内部审核 ISMS管理评审
PDCA模型
1 范围
1.1总则 本标准规定了在组织整体业务风险的范围内制定、实施、运 行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用 适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减，但条款4、5、6、7和8是不能删减的
2 引用标准
ISO/IEC 17799：2005 信息技术－安全技术－信息安全 管理实施指南
4.2.3 监控和评审 ISMS
执行监视和评审程序和其它控制措施 对ISMS的有效性进行定期的评审 测量控制措施的有效性，以证实安全要求已得到满 足 评审剩余风险水平和可接受风险 按照计划的间隔实施内部ISMS的审核 对ISMS实施规律性的管理评审 更新安全计划，考虑监视和评审活动的发现 记录对ISMS的有效性或绩效可能会产生影响的行为 和事件
一.直接损失：丢失订单，减少直接收入，损失生产率；
二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失 去未来的业务机会，影响股票市值或政治声誉； 三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。