搜索
版本号:Ver1.0密级:内部公开***信息安全管理体系管理规定信息安全管理体系管理规定ii修订记录(注:版本号:第一次制订为第一版,既以“1.0”表示。若有重大修改时,号码递增1,即为“2.0”。若有细微修改,号码递增0.1,即为“1.1”,若号码变更数超过9时,则以10、11、12……依序排列。)版本号编制部门修改日期生效日期修改原因和修改内容提示修改说明:信息安全管理体系管理规定iii目录第一章总则............................................................................................................................................4第二章适用范围..................................................................................................................................4第三章术语定义..................................................................................................................................4第四章职责............................................................................................................................................4第五章文件起草..................................................................................................................................5第六章文件评审..................................................................................................................................6第七章文件发布..................................................................................................................................7第八章文件修订..................................................................................................................................7第九章文件废止..................................................................................................................................8第十章持续改进..................................................................................................................................9第十一章附则.....................................................................................................................................9信息安全管理体系管理规定4第一章总则第一条为了保证某公司信息安全管理体系的持续性、时效性以及适应性,满足业务不断变化的安全管理的需要,明确信息安全管理体系的制定、发布、评审和修订过程中管理职责,特制定本规定。第二章适用范围第二条本规定适用于某公司信息安全管理体系制定和发布过程、管理对象为信息安全管理部门以及人员。第三章术语定义第三条信息安全管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。第四章职责第四条信息安全等级保护工作领导小组,职责:(一)负责规划、监督、指导信息安全管理制度文件的起草、审查、发布、清理等工作。(二)负责信息安全管理制度的评审及修订后复审工作。(三)确保信息安全管理制度能持续恰当和有效地运作。(四)提供充足的资源和支持,以持续改善信息安全管理制度。第五条信息安全等级保护工作小组,职责:(一)负责组织管理体系文件的起草、编制、修订、补充等工作的开展,并将实施成果向领导小组汇报。(二)负责启动和主持信息安全管理制度的管理评审工作。(三)负责协调相关人员,指导收集评审资料。(四)确保评审会议所提出的行动项目能在规定的时间内完成,并负责其相关的监督工作。信息安全管理体系管理规定5(五)负责对评审结果如需进行修订项协调相关人员进行修订。(六)指派人员负责对修订措施的执行结果进行验证。第六条相关人员,是指***信息安全管理制度涉及的人员。比如:系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等,其职责是:(一)负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作,并依据部门情况落实管理体系的要求。(二)负责协助进行评审。(三)负责实施修订措施。第五章文件起草第七条***信息安全管理制度文件由***部或者信息安全等级保护工作小组负责起草或组织起草。第八条负责起草的部门应当确定一名熟悉相关内容员工为项目负责人,如涉及多个部门时,可由有关部门共同派人组成联合起草小组,由主要起草部门负责牵头组织。第九条起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。第十条应当明确规定如下内容:(一)制定的目的和依据;(二)适用范围;(三)术语定义(四)组织职责(五)具体管理要求或规定(六)必要的附则(七)与规范内容相关的资料性附录和参考性附录信息安全管理体系管理规定6第十一条报送审查的管理制度送审稿应当由起草部门负责人签署后报信息安全等级保护领导小组审查。几个部门共同起草的规范送审稿,应当由起草部门负责人共同签署后报信息安全等级保护领导小组审查。第十二条下列材料应当与规范送审稿一并报送信息安全等级保护领导小组审查:(一)起草说明;(二)与此规范内容有关的规范性文件;(三)汇总的各方意见;(四)如需制定实施细则,应当提交实施细则的主要内容和实施细则拟出台的时间;(五)其他需要报送的材料。第十三条信息安全等级保护领导小组主要从以下方面对送审稿进行审查:(一)是否符合权限和程序;(二)是否符合原则;(三)是否与其他规范相协调、衔接;(四)是否已对有关不同意见进行协调;(五)是否具有可行性;(六)是否符合相关技术要求;(七)需要审查的其他内容。第十四条由信息安全等级保护领导小组对送审稿提出审查结论,对草案涉及的有关争议问题以及修改情况作重点说明。由信息安全等级保护领导小组负责人签署的书面审查报告应当反馈起草部门。第六章文件评审第十五条***信息安全等级保护工作小组定期(至少每年一次)开展信息安全管理制度的评审工作,以确保整个信息安全管理制度的充份性、适当性和有效性。第十六条信息安全管理制度评审内容:(一)根据业务系统的性质和安全要求,确定(或复审)信息安全管理制度的范围,建立(复审)信息安全管理制度,包括信息安全策略、标准和程序。信息安全管理体系管理规定7(二)对信息安全管理制度审核结果进行评审,分析导致不符合项的原因。(三)审查审核对象的反馈信息。(四)总结已发现的安全事件和漏洞。(五)审查现行的安全控制措施和相关技术是否有效。(六)复查修订措施的实施状况。(七)检查先前管理评审中所定义的措施的实施状况。(八)审查改善措施的建议。(九)复查业务和法律法规方面的变更(比如:业务需求、客户需求的变更和新颁布的法律法规)。(十)审查可能影响信息安全管理制度的任何变更。(十一)为协调相关信息安全的实施,评审相关资源的充足性。第十七条评审工作必须至少每年举行一次,发生以下情况时,也需要启动管理评审工作:(一)系统业务发生重大变更。(二)系统信息安全策略的重大变更。(三)目前信息安全管理制度的执行不力。(四)系统信息安全管理制度的范围发生变更。(五)相关标准法规发布修订版本或有变更。评审工作的会议记录均需归档,以保存正式的记录。第七章文件发布第十八条规范草案经信息安全等级保护领导小组审议并原则通过后,起草部门根据审议中提出的修改意见对草案进行修改,经信息安全等级保护领导小组负责人签发,以***总部管理制度规范形式公布。第十九条文件的发布应遵照统一的格式,进行版本控制;并应注明发布范围,对收发文进行登记。对发布的制度应在《附录一、***管理制度发布记录表》中进行记录。第八章文件修订第二十条问题的识别及确认,采取修订措施可能由以下原因,包括但不限于:(一)来自系统信息安全管理制度相关人员的反馈信息或调查申请。信息安全管理体系管理规定8(二)信息安全管理评审的会议讨论中发现的问题。(三)信息安全管理制度的审核发现的不符合项。第二十一条调查问题的起因:(一)由信息安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。(二)调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分,也可以提供一些额外的补充信息。第二十二条执行修订措施:(一)基于所调查出的问题起因,需确认并实施相应措施或对事故进行调查研究,负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如:a)准备制定或更新相关管理程序。b)培训/通知相关人员知晓。(二)执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期,其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的,并保证修订措施的报告中都有详细说明。第二十三条措施的验证:(一)如果验证出所采取的措施是达到预期效果的,则修订措施才算是成功,可以结束跟踪,验证阶段包括以下两个部分:a)对所规定修订措施的执行程度进行验证。b)对修订措施的执行效果进行验证。(二)措施验证的结果必须中有详细的说明,且对相关记录进行保存。第九章文件废止第二十四条遇有下列情形之一的,管理制度应当及时废止:(一)因有关主管部门行政法规废止或者修改,失去制定依据或者没有必要继续执行的;(二)因规定的事项已执行完毕或者因实际情况变化,没有必要继续执行的;(三)新的管理制度已取代了旧的管理制度的;(四)其他应当予以废止的情况。信息安全管理体系管理规定9第二十五条对需要废止的管理制度由信息安全等级保护领导小组明文废止或者宣布失效。第二十六条对新制定的规范可以替代旧的规范的,应当在新的规范中列出详细目录,明文废止被替代的规范。第十章持续改进第二十七条为了保证本文件的时效性、可有性,必须根据相关审核规定进行评审和修订,修订后重新发布。第十一章附则第二十八条***部起草信息安全等级保护管理制度参照本办法规定办理。第二十九条对于违反本办法制定的规范性文件,信息安全等级保护领导小组可责令限期改正、对有关规范性文件予以撤销。信息安全管理体系管理规定10附录一、***管理制度发布记录表***管理制度发布记录管理制度名称制订者发布者生效时间版本分发范围失效时间备注日期:文档管理人员:审核人: