信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
文件与记录管理程序 1、目的 通过对管理体系文件的严格控制管理,确保其文件使用的有效性、保管和更改的规定。并对质量记录其完整性、准确性、清晰、保管等予以控制。以证明产品质量满足规定要求、管理体系有效运行,并为实现可追溯性、证实作用以及采取纠正和预防措施提供依据。 2、适用范围 适用于本公司所有管理体系文件及相关资料记录的管理与控制。 3、职责与权限 3.1 ISO文控中心负责公司管理体系文件的收集、分类编号、整理、存档保管、发放及与管理和 控制有关的其他工作。 3.2 各部门负责本部门在用文件的管理和控制。 4、程序内容 4.1 管理体系文件的分类、编制、审核、审批按下列规定执行: 4.2 管理体系文件的编号、归口、分类、 4.2.1 公司编制的各级管理体系文件均由文控中心归口、分类并统一编号,其文件编号规定 4.2.2 文件受控分类 管理体系文件分为受控原版、受控副本、非受控副本: 1) 受控原版是不须加盖受控文件印章,由文控中心保存,仅作为复制用途。 2)受控副本为受控原版的复印件,其上加盖红色“受控本”印章发放,作为公司内使用的合法文件,公司内不允许使用“受控本”变黑的非法复印文件,以确保文件更 新时能够从发放或使用场所撤出失效或作废的文件。 3)非受控副本为受控原版的复印件,其上加盖红色本公司名印章作为提供给客户或公司以外的人员使用的合法文件。公司内部不允许使用加盖红色本公司印章名的体系 受控文件。 4.2.3 文件版次规定 为确保公司管理体系文件的有效性能够得到控制,对其采用版次来控制最新有效版次。版次采用“A”+第几次版本,文件经过一次修改后进行换版,版本号增高一位(如: A0首次发行版本、A1第一次修改、A...n第n次修改 4.3 文件的发放与记录 4.3.1 文控中心根据质量手册、程序文件、质量记录制定并及时登录《受控文件总表》;根 据质量记录表格制定并及时登录《质量记录总表》,确保各部门使用最新有效的文件。
QEHS综合管理体系记录控制程序(根据GB/T19001-2008 idt ISO9001-2008质量管理体系 GB/T24001-2004idtISO14001:2004环境管理体系及GB/T28001-2011职业健康安全管理体系标准) 1.目的 对质量、环境、职业健康安全管理体系运行所要求的记录予以控制,提供管理体系运行符合性、有效性及适宜性的证据,并为持续改进管理体系提供信息。 2.适用范围 适用于公司质量、环境、职业健康安全管理体系运行中所产生的所有记录的编制、收集、编目、归档、贮存、保管及处理。 3.职责 3.1企划部负责记录控制要求的编制、评审、更改及监督执行。 3.2公司各部门和项目经理部负责本单位记录的管理。 4.程序 4.1记录内容:包括公司质量、环境、职业健康安全管理运行所有记录。 4.2记录方式:可采用文字记录、磁带、磁盘、光盘、胶片和照片等方式记录。 4.3记录的要求: 4.3.1所有的记录应当清晰整洁、内容完整、及时准确; 4.3.2标识清楚、明确,便于查询;真实可靠、具有可追溯性;
4.3.3记录时应注明日期、记录人;需审批的,审批手续应齐全; 4.3.4记录应用黑色(蓝黑色)钢笔或签字笔填写,不得用铅笔书写,不得随意涂改; 4.3.5记录应妥善保管,注意环境适宜、安全,避免损坏、变质或遗失。 4.4记录的传递:管理记录需要传递时,发放部门应明确需发送的人员及单位,通过公司行政部按照文件发放程序,统一发放。 4.5记录更改:由于笔误记录需要更正时,应用标记划去原记录(如:ABC),并写上正确的记录,更正的记录通过签名得到认可。 4.6记录的收集 4.6.1公司企划部负责编制《质量、环境、职业健康安全管理记录控制清单》(BG —ZH—07),将公司所有与质量、环境、职业健康安全相关的记录汇总,包括名称、编号、保存期等,并汇集备案记录的原始样本。 4.6.2项目经理部指定相关人员负责及时收集和整理与项目质量、环境、职业健康安全相关的记录,保证记录与工程管理同步。 4.6.3记录的保存期限:公司体系管理运行记录通常保存期限为三年;项目经理部体系管理运行记录一般保存到项目竣工验收结束,且工程结算及索赔项目完成,竣工回访、保修记录保存到工程保修期结束;项目施工记录及工程档案按照国家档案馆的要求确定保存期限,档案馆没有规定保存期限的施工记录,保存至项目竣工验收结束,且工程结算及索赔项目完成,竣工回访、保修施工记录保存到工程保修期结束。 4.7记录的处置:记录保存到期后,由各单位列出记录清单,经公司企划部审核确认后作废销毁,有价值作为参考的记录及作为知识积累的记录可标识清楚,延长保存期。
程序文件昆山金亿机械电器有限公司 记录控制程序 1.目的: 建立和保持质量记录的完整以提供证实公司质量体系有效运行的证据,记录应清晰便于检索。2.范围: 本程序规定了对质量记录的收集、标识、编目、归档、储存、保管、借阅和处理办法。 适用于公司对质量记录的管理,包括供应商和客户的相关记录。 3.职责: 品管科负责制定质量记录的管理、保存期限等要求。 4.控制內容: 4.1记录类型 1.本公司的主要记录有:关键材料、元器件进货单,出入库单、台帐,认证产品的出入库单、台帐,关键原料、元器件检验/验证记录;例行检验记录;确认检验记录;检验和测试设备校准记录;检验测试设备功能检查记录;顾客投诉及纠正措施记录;对不合格品采取措施的记录;标志使用的记录等。 2.计算机及其它媒体中的记录。 4.2记录的编制、标识、编号等按《文件与资料控制程序》的规定执行。 4.3记录的管理 4.3.1填写要求 所有记录的字迹应清晰、真实,记录需更改时,应保持清晰,记录时禁止用铅笔填写。 4.3.2记录的收集 1.车间负责记录过程检验记录、设备验收及维修记录; 2 .品管科负责收集采购关键原料、元器件检验/验证记录;例行检验记录;确认检验记录;检验和测试设备校准记录;检验测试设备功能检查记录;顾客投诉及纠正措施记录;对不合格品采取措施的记录;标志使用的记录。 3.供销科负责产品合同、关键材料、元器件进货单,出入库单及台帐,售后服务记录及认证产品的出入库单、台帐。 4.4记录的归档、储存、保管 各部门保管本部门记录,负责将各种记录分类归档,并便于检索存取。做到防火、防潮、防蛀。全部质量记录保存期为三年。在保存期间不得丢失。 4.5记录的查阅、借阅、销毁 1.已归档的记录,需要查阅时,需征得部门主管的同意,查阅时,不得带走,查阅后立即归还。 2.并在规定期限内归还,且禁止复印。 3.已到期的记录,由管理员将处理清单报请本部门主管审批后销毁,保存销毁记录。
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
记录控制程序 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录 1 目的 (2) 2 范围 (2) 3 职责 (2) 4 控制程序 (2) 记录的范围、分类与形式 (2) 记录表格的编制和审批 (3) 记录表格的发放和更改 (3) 记录的使用和管理 (4) 记录的特殊控制 (5) 记录的保存期限 (6) 记录的处置 (8) 5 相关文件 (8) 6 记录 (8) 1 目的 为了确保公司质量、环境、职业健康安全管理体系运行中产生的记录得到有效的 控制,并为证实其过程的符合性和有效性提供客观的证据,特制定本程序。 2 范围 适用于公司质量、环境和职业健康安全管理体系运行过程形成的各项记录,包 括:文字、图表、声像及电子文件等。 3 职责 1)档案室负责所有归档记录的管理和控制; 2)各部、室负责本部门管理体系运行中产生的有关记录的管理和控制; 3)工程总承包各项目部对归档前各阶段产生的记录负责管理和控制,包括设 计、采购、施工、试运、开车阶段所涉及活动中产生的记录; 4) 记录的填写人员,对所记录数据的真实性和正确性负责,同时应满足各类记 录表格的审批职责和权限。 5)质量安全标准部对本程序实施控制管理。 4 控制程序 记录的范围、分类与形式 4.1.1 记录的控制范围 1)凡与管理体系有关的记录、报告、检验和验证数据等,均属记录的控制范围, 记录表格是一种文件,按文件进行控制,对于记录的特殊性则应按本程序规定的要求 进行控制。 2)记录控制是一个过程,其输入是通过策划制定所需要的记录内容和表格,其输 出是具有客观证据的报告或填写后的表格,其过程内容包括策划、编制、标识、贮 存、保护、检索、借阅、保存、归档、处置和改进等。 4.1.2 记录的分类
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
对公司质量管理体系的所有相关文件和质量记录进行有效控制,确保文件和记录的充分性、有效性和完整性,并提供对产品、过程和体系符合要求及体系有效运行的证据。 2.0适用范围: 适用于所有与公司质量管理体系有关文件的控制和为证明产品、过程和体系符合要求和质量体系有效运行的记录。 3.0职责: 3.1. 总经理 3.1.1.负责公司质量手册的批准 3.2. 管理者代表 3.2.1.负责组织质量手册的编制和审核; 3.2.2.负责程序文件的批准。 3.2.3.负责三级文件的批准 3.2.技术部经理 3.2.1.负责技术文件的批准。 3.3. 各职能部门 3.3.1.负责相关程序文件和三级文件(包括各种表单)的起草、制定、修订、更改。 3.3.2.负责本部门三级文件的审批、发放范围的确定。 3.3.3.负责确定本部门编制的记录表单的格式以及记录的填写、收集、整理归档工作。 3.3. 4.负责保持本部门的文件及记录符合《文件和记录控制程序》的要求。 3.4. 品质管理部文控中心 3.4.1.负责ISO质量管理体系文件的格式统一、文件登录、编号及发放。 3.4.2.负责文件的回收、修改、废止、保存和销毁。 3.4.3.负责监督、各部门的记录填写控制情况。 3.4.4.负责与本公司ISO质量管理体系相关的外部信息和资料的收集,并加以识别控制。 4.0定义: 4.1.受控文件:被使用为作业依据的书面文件,须随时保持最新版次,具有分发控制、修订版本时须重新 分发以确保文件正确与适用性。 4.2.外来文件:指取自外部的法规、规范、标准、或客户提供的图面、规定等,被本公司用来作为质量管 理体系流程中引用的标准。 4.3.质量手册(一级文件):对公司体系的方针、目标、管理职责和权限等进行整体描述的文件,包括ISO 质量手册等。 4.4.程序文件(二级文件):根据体系要求所编制的纲领性的通用程序,是各部门的合作基础。 4.5.作业指导书(三级文件):包括与产品、设备、技术和操作方法有关的详细作业指导书,还包括相关法 规要求、标准规范等。 4.6.表单记录(四级文件):包括书面记录和电子文档。
1.目的 确保质量记录的有效性、完整性,为质量体系有效运行和产品质量是否符合要求提供客观证据,并为有追溯要求的场合提供证实. 2.适用范围 本程序适用于本公司所有与质量有关的质量记录以及来自分承包方和顾客质量记录的控制. 3.定义 3.1 记录――为已完成的活动或达到的结果提供客观证据的文件. 4.职责 4.1质保部QA负责重要质量记录的归档. 4.2各职能部门负责本职能范围内的专业性质量记录的收集、整理、编目、归档、分发、贮存、 保管、处理. 4.3质保部QA负责对质量记录标识,样式适用性的审核和确认,并负责对重要质量记录的归 档. 5.工作程序 5.1凡是用于证明产品是否符合规定的要求和质量体系是否有效运行的质量记录,都属于需控制的范围,包括但不限于: a.合同评审记录; b.检验/试验记录(包括检验记录、试验报告等); c.产品认可/过程认可记录(包括样品认可报告、生产部批准/批量认可报告、Cmk/Cpk能力测定报告、人员培训/鉴定记录等); d.质量审核(体系/过程/产品/供应商评审报告); e.材料检验/试验报告;
f.质量控制图; g.顾客索赔记录; h.与纠正预防措施有关记录; i.质量成本报告和记录; j.设备/模具/工夹具保养、维修记录; k.测量设备校准记录. 5.2质量记录形式的设计和审定 5.2.1各部门根据工作需要,可自行设计质量记录,其格式应简明、清晰完整,内容应满足所记 录的质量活动的要求. 5.2.2质量记录经本部门负责人审核后,需报管理者代表批准,由质保部QA处登记,编号后 归档启用. 5.2.3产品/过程的质量记录须按产品生产过程为顺序以批号归档,如停产的产品记录对新产 品认可有必要时,由技术课负责将停产产品记录的复印件与新产品资料一同归档保存. 5.3质量记录的标识 5.3.1为保证质量记录具有唯一性的标识,由QA负责编制《质量记录清单》明确每一种质量 记录的名称、编号、保存期、保存部门.控制清单应分发各部门,作为控制的依据,并且QA每年对各部门使用表格的适用性进行一次核查,作适当增删. 5.4质量记录的管理 5.4.1质量记录应按要求正确填写,字迹应清晰,不得任意涂改,内容完整,并应有记录者的签名. 更改时,要在更改处划横线,并及时盖章或签字. 5.4.2质量记录由职能部门(包括车间)每月收集一次,审查记录的完整性和准确性.并进行分类 整理、登记立卡,按先后顺序装订成册由资料室归档保管.对需要集中归档的质量记录,各职能部门在每年的一月份将上年度的质量记录交质保部立卷归档.包括: a.合同评审的证明; b.检验和试验的记录; c.不合格的处理记录; d.能力证明(人/设备/过程);
版本号 A 记录控制程序 实施日期:2017年10月01日第 1 页共 8 页 目录 1 目的 (2) 2 范围 (2) 3 职责 (2) 4 控制程序 (2) 4.1 记录的范围、分类与形式 (2) 4.2 记录表格的编制和审批 (3) 4.3 记录表格的发放和更改 (3) 4.4 记录的使用和管理 (4) 4.5 记录的特殊控制 (5) 4.6 记录的保存期限 (6) 4.7 记录的处置 (8) 5 相关文件 (8) 6 记录 (8)
1 目的 为了确保公司质量、环境、职业健康安全管理体系运行中产生的记录得到有效的控制,并为证实其过程的符合性和有效性提供客观的证据,特制定本程序。 2 范围 适用于公司质量、环境和职业健康安全管理体系运行过程形成的各项记录,包括:文字、图表、声像及电子文件等。 3 职责 1)档案室负责所有归档记录的管理和控制; 2)各部、室负责本部门管理体系运行中产生的有关记录的管理和控制; 3)工程总承包各项目部对归档前各阶段产生的记录负责管理和控制,包括设计、采购、施工、试运、开车阶段所涉及活动中产生的记录; 4) 记录的填写人员,对所记录数据的真实性和正确性负责,同时应满足各类记录表 格的审批职责和权限。 5)质量安全标准部对本程序实施控制管理。 4 控制程序 4.1 记录的范围、分类与形式 4.1.1 记录的控制范围 1)凡与管理体系有关的记录、报告、检验和验证数据等,均属记录的控制范围,记录 表格是一种文件,按文件进行控制,对于记录的特殊性则应按本程序规定的要求进行控制。 2)记录控制是一个过程,其输入是通过策划制定所需要的记录内容和表格,其输出是 具有客观证据的报告或填写后的表格,其过程内容包括策划、编制、标识、贮存、保护、 检索、借阅、保存、归档、处置和改进等。 4.1.2 记录的分类 记录按其性质和使用范围可分为以下四类: 1)管理职责方面的记录(包括文件控制的记录),如管理评审记录,目标实施记录, 文件受控清单等。 2)资源管理方面的记录,如人员教育培训、经历、资格、考核记录,设备管理、设备 维修记录,安全管理、环境管理记录等。 3)产品实现方面的记录,如产品要求评审记录,供方评价记录,特殊过程确认记录, 不合格品处置记录和产品让步放行记录等。
文件和资料控制程序(总11 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
1.目的 为了对公司各类文件和资料进行有效管制,统一文件格式,规范文件的制定、修改、发放、废止等管理,确保文件正确、完整、有效,特制定本程序。 2.适用范围 适用于公司行政发文、程序文件、作业指导书,各类规章制度、各类检验标准、工作指引、记录表单及外来文件的管理等。 3.定义 3.1文件分类: 3.1.1红头文件:包括公司组织机构、人事任免、重大决策及重要管理事项等。3.1.2一级文件(A):公司章程、体系手册等公司纲领性文件。 3.1.3二级文件(B):管理控制程序、业务流程性文件。 3.1.3三级文件(C):管理规章制度、操作规程、作业指导书。 (D):检验标准、产品规范。 3.1.4四级文件(管理表单):用来记录管理过程的表单,作为QEO管理的追踪和检索的工具。 3.1.5临时性文件(E):包括通知、通告、暂行办法、暂行规定、部门沟通联络文件等。 3.1.6外来文件(F):包括地方政府、主管部门、行业管理相关文件,顾客或供应商提供的资料、图纸及有关的行业标准等。 3.2 文件分为受控文件及非受控文件: 3.2.1 受控文件:即要求文件的分发、修订或更改均须按书面规定程序进行控制,保证文件始终反映现行要求,受控文件须加盖“受控文件”印章,且经相关人员会签。包括:管理手册、程序文件、作业指导书、MSDS文件、职务说明书、经识别的外来文件、记录表单类文件等。 3.2.2 非受控文件:若有新的版本发出,旧的版本文件无需更新,被列为非受控文件,且禁止作为产品生产、开发及经营之用。 4.工作职责
质量体系记录控制工作程序-制度大全 质量体系记录控制工作程序之相关制度和职责,质量体系记录控制程序1目的对质量管理体系所要求的记录予以控制。2适用范围适用于证明服务符合要求和质量管理体系有效运行的记录。3职责3.1管理者代表负责外来人员查阅质量... 质量体系记录控制程序 1 目的 对质量管理体系所要求的记录予以控制。 2 适用范围 适用于证明服务符合要求和质量管理体系有效运行的记录。 3 职责 3.1管理者代表负责外来人员查阅质量记录的审批,批准保存期满的记录的销毁。 3.2各部门负责编制、填写、收集、整理、保管本部门的质量记录。 3.3质量管理部负责保管超过一年的质量记录。 4 工作程序 4.1 质量记录表式的标识编号 质量记录表式的标识编写按《文件控制程序》执行。 4.2 质量记录填写 4.2.1质量记录填写要及时、真实、内容完整、字迹清晰,不得随意涂改;如因某种原因不能填写的项目,应能说明理由,并将该项用单杠划去;各相关栏目应当有负责人签名。 4.2.2如因笔误或计算错误要修改原数据,应采用单杠划去原数据,在其上方写上更改后的数据,加盖或签上更改人的印章或姓名及日期。 4.3质量记录的保存、保护 4.3.1各部门必须把所有质量记录分类,依日期顺序整理好,存放于通风、干燥的地方,所有的质量记录保持清洁,字迹清晰。质量记录一年以内由各部门保管,超过一年后,各部门应将质量记录交质量管理部保存。 4.3.2 质量管理部编制《质量记录清单》,将公司所有与质量管理体系运行有关的记录表式汇总,包括名称、编号,保存期、使用部门等内容,交管理者代表审批,并汇集备案记录的原始样本。 4.4质量记录借阅和复制 各部门保管的质量记录应便于检索,需借阅要经相应部门负责人批准并填写《文件借阅、复制记录》,由记录管理人登记备案。 4.5 质量记录的销毁处理 质量记录如超过保存期或其他特殊情况需要销毁时,由质量管理部填写《文件销毁申请》,报管理者代表批准,由授权人执行销毁。 5 相关文件 5.1《文件控制程序》 6 相关记录 QR-002-01
1、目的 对质量管理体系的所有文件进行有效控制,确保质量管理体系运行的各个场所使用有效文件,并处于受控状态,以及质量管理体系的持续有效进行,保证记录完整,实现质量追溯性。 2、范围 适用于本集团公司及所属子公司质量管理体系所有文件和记录。 3、定义 3.1受控文件:指最新有效文件,加盖“受控”印章的文件。 3.2非受控文件:未加盖“受控”或加盖“作废”的文件。 3.3质量体系文件:质量手册、程序文件、作业文件、质量记录、表格等。 3.4 记录:为完成的活动或达到的结果提供客观证据的文件。 3.5 外来文件:非本公司发布的,与质量体系有关的标准、规范、手册,与产品有关的法律法规,顾客提供的标准等文件。 3.6技术性文件:设计图样、工艺文件、作业指导书、检验规程等;“技术通知” 3.7行政文件:除公司技术性文件、质量体系文件以外的行政管理性文件; 4、职责 4.1集团总经理:负责质量手册的批准。 4.2集团管理者代表:负责集团公司质量手册审核、程序文件的批准。 4.3集团质量管理部门:负责质量手册的编制、组织程序文件的编写、修改、校对与报批。 4.4各部门主任、子公司分管领导:负责本部门所需的三、四层次文件的批准。 4.5各部门、子公司各职能部门:负责本部门第三、四层次文件文件的编制、报批。 4.6集团质量部门:负责组织和主持质量管理体系文件编制、修改、评审、发布、更新、作废、处置的监督管理。 4.7集团技术部门:识别和编制所需的技术、工艺等文件,并负责该文件的归档管理,(含顾客图纸、样件等)。 4.8人力行政部门:编制公司行政管理文件并负责公司行政文件归档管理,(含人事任命、培训、基础建设等)。 4.9各部门:负责识别所需的各种内部管理性文件。 5、文件控制流程图
记录控制程序 1、目的 提供本厂符合要求和质量管理体系有效运行的证据。 2、范围 本厂在质量管理体系运行和日常各产品生产中形成的记录。 3、职责 3.1生产技术部负责本程序的日常运行管理以及记录的总量控制。 3.2办公室负责记录的最终存档、销毁。 3.3生产技术部负责各产品生产中记录的监管和质量管理体系中记录的监管。 3.4其他各部门按本程序要求使各种记录正常运行。 4、程序说明 4.1记录控制流程图(见下页) 5、工作程序 5.1记录的编制 由生产技术部根据需要进行编制,经技术主管审定后统一印制。 5.1.3记录的标记和编号 执行《文件控制程序》4.3规则。 5.1.4生产技术部编制《记录目录》,内容应包括序号、分类编号、名称、适用范围、保存年限。
记录控制流程图: 5.2记录表领用 5.2.1生产技术部根据需要通知相关部门或个人领用。 5.3管理记录的使用和流转。 5.3.1严格按照相关程序文件或作业文件要求填写记录中相关项,在填报人、审定人栏中按要求签署作业人姓名或加盖专用章,并署明填写日期,如有详细时间要求还应填写时与分。 5.3.2流转中的记录在交换时均得进行自检或互检,以防漏填,承接者有权拒收不完善的记录。
5.3.3流转中的记录不得污损、失落,若发现失落污损应尽快报生产技术部,及时补救或修复。 5.4记录的贮存和保护。 5.4.1流转中的记录见5.3。 5.4.2按本程序要求,记录最终保存者收到记录后,按记录分类保存,倘有特殊要求的与相关卷宗一起装订保存,并在《记录存档登记表》上登录收到日期、记录编号与序号、名称、交来人姓名。 5.4.3所有记录均需存放在专用文件夹里,不得散落。 5.4.4完成记录使用要求后,每年内经管理人员整理后,生产记录自己保存存档。 5.4.5需查阅有关记录经厂长同意后查阅,查阅完毕后需返还调出处。 5.5记录销毁 5.5.1根据记录总目录上注明的记录保存年限,整理出超过年限的记录,填写《拟销毁记录审批单》组长复核。 5.5.2凡属拟销毁的生产记录交生产技术部复审,报厂长批准后销毁。 5.5.3在《销毁文件记录》上填写《拟销毁记录审批单》编号和批准日期、批准人,着手销毁,《审批单》作为长期保存文件存档。 5.6记录格式的修订。 5.6.1 厂部重要决策要求修订记录,须坚持以下原则。 a、保证信息、数据的连续性 b、便于统计和使用 c、力求简单有效 5.6.2各相关部门提出修订的方案与样张,经部门负责人审核后报厂长审批,确保5.6.1的实现,有必要时,应召集相关部门征求意见。 5.6.3修订记录应同时在记录总目录中注明失效日期与生效日期。
1目得 规范公司记录得管理,为追溯、改进与提高产品质量提供依据,证实质量管理体系运行得持续性、适宜性与有效性,确保其符合标准要求。 2范围 适用于本公司质量管理体系所要求得所有记录得管理与控制。 3职责 3、1 行政部负责记录得统一编号、发放与管理,建立《记录管理一览表》。 3、2 品质部负责产品检验记录得管理。 3、3 各部门负责各自相关联记录得管理. 4流程图 见附件 5内容 5、1 记录得分类 凡就是质量管理体系运行中得记录、报告及与产品相关得质量数据均属于记录范围。 5。1。1 与质量管理体系管理有关得记录主要有: 管理评审记录、内部审核记录、文件控制记录、纠正与预防措施记录、人力资源管理与培训记录、设施管理记录、产品与过程监视与测量记录等等。 5。1。2与采购、销售、生产、检验与交付有关得记录主要有: 产品要求得评审记录、供方评价记录、产品检验记录、监视与测量装置得校准记录、统计技术得应用记录、顾客投诉及服务记录等等。 5.1.3记录得形式为书面形式(如:书面得表格形式、报告文件形式等)、硬拷贝、磁盘等电子媒体等形式。 5、2 文件记录表格得设计、审批、印制与领用。 5。2。1 各部门设计自己所需得记录表格,并将空白表格交行政部审核后报管理者代表或其授权人审批后交行政部印制. 5.2.2 印制好得记录表格由仓库负责保管,各部门根据需要从仓库领用. 5、3 文件记录得填写 文件记录由开展该项活动得直接责任人按要求及时填写,填写要求如下: 5。3.1 正确:质量记录所记内容必须真实准确,填写方法必须符合规定要求,字迹清晰,不随意涂改。需更改得部分采取划改,但需更改人签字并注明更改时间。 5。3.2及时:按规定时间填写、传递,发现问题应立即纠正。
XXXXXXXXX有限责任公司 信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0
变更履历
1 目的 为了加强信息系统的监控,对组织内信息系统安全监控和日志审核工作进行管理,特制定本程序。 2 范围 本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部 为网络安全的归口管理部门。 3.2 网络安全管理员 负责对信息系统安全监控和日志的审核管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 程序 5.1 日志 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 系统管理员不允许删除或关闭其自身活动的日志。 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a)对记录的信息类型的更改; b)日志文件被编辑或删除; c)超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核
技术部IT专职人员每周审核一次系统日志,并做好《日志审核记录》。 对审核中发现的问题,应及时报告行政部进行处理。 对审核发现的事件,按《信息安全事件管理程序》进行。 5.3 巡视巡检 巡视人员负责每天监控巡视,技术部安全管理员每周进行一次监控巡视。 新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。 监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。 监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。 监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。 巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离 为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录(日志)及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志,系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a) 对记录的信息类型的更改; b) 日志文件被编辑或删除; c) 超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录 《日志审核记录》 《网络与信息安全检查表》
第二章记录控制程序 1 目的 通过建立和保持记录,为产品质量符合要求和质量管理体系有效运行提供客观证据。 2 范围 适用于质量管理体系全过程要求的记录。 3 职责和权限 3.1 质量部是记录的归口管理部门,负责组织全公司记录表格的编制和校审。 3.2 质量部负责检验和计量工作过程、技术服务过程中的记录的控制。 3.3 生产部负责生产工艺、设备、工装管理过程中的记录的控制。 3.4 各职能部门负责各自工作过程中的记录的控制。 4 工作程序 4.1 记录的分类 4.1.1管理类记录:如《培训计划》《管理评审报告》《内部审核报告》等。 4.1.2技术质量类记录:如《生产过程记录》《产品质量检验表》等。 4.2记录的填写 4.2.1质量记录填写要及时、真实、内容完整、字迹清晰,不得随意涂改。 4.3.2如因笔误或计算错误要修改原数据,应采用单杠划去原数
据,在其上方写上更改后的数据,加盖或签上更改人的印章或姓名及日期。 4.3 记录的收集、编目和归档 各部门按职责收集记录,收集的记录要清晰,并编制《记录清单》予以归档管理以便检索。 4.4 记录的保管 4.4.1归档后的记录应存放在能防潮、防蛀、防火的环境里,并由各部门配备专(兼)职人员保管。 4.4.2记录的保存期限 管理类记录的保存期三年,技术类的保存期二年,需要长期保存的根据具体情况确定保存期限。 4.4 记录的查阅、借阅 查阅和借阅已归档的记录,需办理查阅,借阅手续,经主管领导批准。 4.5 记录的处理 对超过保存期限的记录,由保管部门编制销毁清单,经主管领导审批后予以销毁。 5 记录 GF/QR002 《记录清单》
信息系统访问控制权限管控模型研究 发表时间:2016-08-23T14:09:44.377Z 来源:《电力设备》2016年第11期作者:苏辉任增朋孟祥山 [导读] 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作。 苏辉任增朋孟祥山 (江苏核电有限公司江苏连云港 222042) 摘要:江苏核电有限公司在信息安全管理体系建设过程中,推出了江苏核电独具特色的信息系统访问控制权限管理模型。文章详细介绍了该模型的产生背景、设计原则和总体情况,并对组成模型的3个不同体系维度分别加以论述。文章重点介绍了在信息系统访问控制权限管理模型的指导下,江苏核电具体开展的信息系统权限管理模式和开展的工作,并对实施效果进行了总结。 关键词:信息安全;权限管理;管控模型 产生背景 江苏核电有限公司(以下简称:江苏核电)自成立以来,长期重视信息化建设和信息安全保障工作,信息化程度越来越高,业务对信息系统的依赖程度越来越大,同时访问系统的用户账号和权限管理也变得越来越复杂。江苏核电需要在授予用户信息系统访问权限的同时,准确、及时的管控用户权限。但是公司在线的信息系统及设备权限管理的多样性,信息系统用户覆盖多个直属部门、合作伙伴的现实情况,共同导致系统访问控制管理工作复杂度激增。这不仅提高了系统访问控制管理的成本,同时带来了相应的安全问题,主要体现在如下两个方面: 系统缺少统一的、全寿期的权限管控规范,存在权限管控的短板,从而在实质上降低了信息系统的安全性。 系统上线后权限管控的接口不清晰,权限控制不准确,不及时。业务用户对于权限了解的信息不对称。 为了规范系统访问控制管理工作。需要构建一个统一的信息系统访问控制权限管控模型,才能系统深入的解决上述两个方面的现实问题。因此,江苏核电开展了专题研究,并推出了江苏核电的信息系统权限管控模型。 设计原则 江苏核电信息系统权限管理的模型涉及系统和承载信息的安全,因此在设计权限管控模型的时候应坚持如下几个基本原则,以保证模型的先进性和实用性。 标准性原则 尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准,充分参考行业内的最佳实践。标准性原则从根本上保证了信息系统权限管控模型的的全面性、合规性和开放性。 整体性原则 从宏观的、整体的角度出发,系统地设计江苏核电信息系统权限管理模型,覆盖系统的整个生命周期和管理维度的各个方面。从整体上管控信息系统的权限,保证系统的安全和信息的安全。 实用性原则 建立信息系统权限管理模型,必须针对江苏核电信息系统的特点,避免简单照抄照搬其它的信息安全权限管控方案。同时,信息系统权限管理模型中的所有内容,都被用来指导江苏核电信息系统权限管理的实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。 先进性原则 信息系统权限管理模型中涉及的思路和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足未来3到5年时间内,江苏核电的信息系统建设和权限管理的需要,为系统和信息的安全提供保障。 2、权限管控模型介绍 江苏核电信息系统权限管理模型包括信息系统生命周期、访问控制要素、业务需求三个维度,下面将从这三个维度来阐释权限管理的思路和措施。 图1 信息系统权限管控模型 信息系统生命周期 信息系统生命周期维度是把信息系统的全生命周期分为初始阶段、需求阶段、设计阶段、开发阶段、测试阶段、上线阶段、运维阶段、废弃阶段。针对这八个阶段制定具体的访问控制管理的管控流程、规则。 初始阶段:依据信息系统的可用性要求、业务重要性对其进行定级。 需求阶段:结合业务需求,梳理、汇总访问控制管理的需求。 设计阶段:依据需求说明书对访问控制管理进行设计,确保系统满足功能和安全需求。重点要关注访问控制管理流程梳理、角色权限
文件记录控制程序 The manuscript was revised on the evening of 2021
1目的 规范公司记录的管理,为追溯、改进和提高产品质量提供依据,证实质量管理体系运行的持续性、适宜性和有效性,确保其符合标准要求。 2范围 适用于本公司质量管理体系所要求的所有记录的管理和控制。 3职责 行政部负责记录的统一编号、发放和管理,建立《记录管理一览表》。 品质部负责产品检验记录的管理。 各部门负责各自相关联记录的管理。 4流程图 见附件 5内容 记录的分类 凡是质量管理体系运行中的记录、报告及与产品相关的质量数据均属于记录范围。 5.1.1 与质量管理体系管理有关的记录主要有: 管理评审记录、内部审核记录、文件控制记录、纠正与预防措施记录、人力资源管理与培训记录、设施管理记录、产品和过程监视和测量记录等等。 5.1.2与采购、销售、生产、检验和交付有关的记录主要有: 产品要求的评审记录、供方评价记录、产品检验记录、监视和测量装置的校准记录、统计技术的应用记录、顾客投诉及服务记录等等。 5.1.3 记录的形式为书面形式(如:书面的表格形式、报告文件形式等)、硬拷贝、磁盘等电子媒体等形式。 文件记录表格的设计、审批、印制和领用。
5.2.1 各部门设计自己所需的记录表格,并将空白表格交行政部审核后报管理者代表或其授权人审批后交行政部印制。 5.2.2 印制好的记录表格由仓库负责保管,各部门根据需要从仓库领用。 文件记录的填写 文件记录由开展该项活动的直接责任人按要求及时填写,填写要求如下: 5.3.1 正确:质量记录所记内容必须真实准确,填写方法必须符合规定要求,字迹清晰,不随意涂改。需更改的部分采取划改,但需更改人签字并注明更改时间。 5.3.2 及时:按规定时间填写、传递,发现问题应立即纠正。 5.3.3 完整、齐全:记录必须按照格式逐项填写,如遇到不需填写的内容,应在该栏内画“/”。不得空项,文件规定的各种记录要作到齐全,签字手续完备。 文件记录的管理 5.4.1 文件记录的编号 各种记录表格也是管理体系文件的一部分,其编号与对应的体系文件章节相关联。质量记录的编号结构如下: 编号含义: 1)公司代号: 超众电器 (SME) 2)体系文件章节号: