字数 3610阅读 760评论 0赞 3
《xxxx安全管理制度汇编》****
制度管理办法****
文件名称 | 制度管理办法 | 密级 | 内部 |
文件编号 | 版 本 号 | V1.0 | |
编写部门 | 编 写 人 | ||
审 批 人 | 发布时间 |
目录****
**编制说明**
为进一步贯彻党中央和国务院批准的《国家信息化领导小组关于加强信息安全保障工作的意见》及其“重点保护基础信息网络和重要信息系统安全”的思想、贯彻信息产业部“积极预防、及时发现、快速反应、确保恢复”的方针和“同步规划、同步建设、同步运行”的要求,特制定本 制度 。
本 制度 依据我国信息安全的有关法律法规,结合 xxxx的自身业务特点 、并参考国际有关信息安全标准制定的。
《**xxxx安全管理制度汇编—**制度管理办法》 是规范信息安全制度的重要文档,文档中涉及制度包括中心层面的和处室层面的安全制度。信息安全管理部门负责组织安全制度的制定、并负责安全制度的监督落实、更新和废除。各处室信息安全维护组织负责组织本处室安全制度的制定、并负责本处室安全制度的发布、监督落实、更新和废除。
第一章 **总则**第一条 制度目标: 为了加强信息安全保障能力,建立健全安全管理体系,提高整体的网络与信息安全水平, 保证网络通信畅通和 业务 系统的正常运营,提高网络服务质量, 在安全体系框架下,本制度为规范安全制度的制定、发布、修改、废止、检查和监督落实,建立科学、严谨的管理办法。
第二条 适用范围: 本 制度适用于xxxx安全管理组织。
第三条 制度相关性: 本 制度涉及所有安全制度自身的所有生命周期内容,同时遵照相关文件、文档管理制度。
第二章 安全管理制度分类****第四条 xxxx的安全管理制度,分为11个类别:
(一) IT治理,定义IT工作总则,IT组织、IT规划、IT决策、信息安全目标等方面
(二) 人员管理,主要定义IT人员的岗位职责、人员任免、劳动纪律、关键技术岗位人员管理、考核与问责、轮换与休假、培训等方面的管理,包括本单位职工及第三方外包人员管理
(三) IT运维,内容涵盖运维管理组织体系、机房和运行环境管理、机房值班、日常运维、灾难备份、应急预案及演练、故障处理与责任追究等管理内容,以及系统变更上线、应急处理、安全事件处理等。
(四) 数据和档案,数据和技术档案的分类、组织体系、备份和保存等管理
(五) 安全管理,明确安全管理组织架构及职责、日常监控管理、介质管理、计算机病毒防护管理、安全补丁管理、权限管理和审批、密码管理、保密制度、门户网站内容管理等
(六) 开发与测试,系统程序开发、测试方面
(七) 网络通信,网络通信和安全建设规范、网络隔离、通信管理等管理内容
(八) 项目管理,项目招标、建设、验收、评估等管理方面
(九) 资产管理,信息系统设备的采购、维护、报废等管理
(十) 服务与支持,内部技术支持服务流程及第三方产品与服务商管理方面
(十一) 标准操作流程,SOP操作流程文档。
第三章 安全管理制度制定****第一节 安全管理制度的制定权限****
第五条 信息安全管理小组负责制定中心层面的安全管理制度,主要包括:信息安全体系、安全管理制度框架、信息安全方针、信息安全体系等级化标准、全局性安全技术标准和技术规范、全局性安全管理策略和规定、安全组织机构和人员职责、用户协议。
第六条 各处室信息安全组织遵照下发的安全管理制度,结合本处室系统实际情况,制定和细化成适用于本处室的具体管理办法、实施细则和操作规程等,不得与中心层面的规章策略相抵触,并须报信息安全管理小组备案。
第二节 安全管理制度的制定要求****
第七条 安全管理制度中不得出现涉密信息。
第八条 对安全管理制度进行汇编时,必须保留各安全管理制度的版本控制信息和密级标识。
第三节 安全管理制度的命名要求****
第九条 制度名称使用“单位名称+制度名称+版本号”规范进行命名。单位名称:使用简写‘xxxx’。版本号要求:初始版本号‘V1.0’,如发生细节修订,变更小数点后的小版本号;如内容变更较多,修订后变更小数点前的大版本号。
第四章 安全管理制度发布****第十条 安全管理制度必须以正式文件的形式发布施行。
第十一条 安全管理制度由信息安全管理小组制订,信息安全领导小组审批、发布。
第十二条 处室层面安全管理制度由各处室安全管理组织制订,信息安全管理小组审批、发布,同时要留存信息安全管理部门备案。
第十三条 系统层安全管理制度由各系统管理员制订、本处室安全管理员协助,安全管理组织审批、发布,同时要留存信息安全管理部门备案。
第十四条 安全管理制度发布后,如有必要,安全管理制度制定部门应召集相关人员学习安全管理制度,详细讲解规章策略的内容并解答疑问。
第十五条 安全管理制度修订后需要以正式文件的形式重新发布施行,修订后的策略也需相应层次的管理部门审批。
第十六条 签署发布的规章策略必须标明该规章策略的施行日期。
第五章 安全管理制度修改与废止****第十七条 必须每年对安全管理制度进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充。对已不适用的信息安全管理制度或规定应及时废止。
第十八条 当现行安全管理制度有下列情形之一时,必须及时修改:
(一) 当发生重大安全事件,暴露出安全管理制度存在漏洞和缺陷时;
(二) 组织机构或生产系统进行重大调整和变更后;
(三) 同一个事项在两个规章策略中规定不一致;
(四) 与上级部门的安全管理制度相抵触;
(五) 其他需要修改安全管理制度的情形。
第十九条 当现行安全管理制度有下列情形之一时,必须及时予以废止:
(一) 因有关信息安全管理制度或规定废止,使该信息安全管理制度或规定失去依据,或与现行上层策略相抵触;
(二) 因已规定的事项已经执行完毕,没有存在必要;
(三) 已被新的规章策略所替代。
第二十条 安全管理制度的修改与废止须经信息安全领导组织审批确认,信息安全管理部门备案。
第二十一条 处室层面安全管理制度的修改与废止须经各处室信息安全维护组织及信息安全管理部门审批确认。同时信息安全管理部门备案。
第六章 安全管理制度监督和检查****第二十二条 安全管理制度发布实施后,各处室应就安全管理制度或规定的贯彻执行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督,并将意见和建议及时反馈给制度的制定部门。
第二十三条 为保障各项信息安全管理制度的贯彻落实,信息安全管理部门必须每季度检查安全制度的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。
第二十四条 信息安全检查工作结束后,在起草检查报告时,必须通报安全制度的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。
第二十五条 安全管理制度的贯彻落实情况,必须作为重要的考核项目,纳入处室的综合考评体系。
第二十六条 为安全管理制度落实做出显著成绩的处室或个人,应给予表彰和奖励;对违反规章制度造成严重后果的处室或个人,应追究当事人、相关单位及主管领导的责任。具体参照考核制度办理。
第七章 **附则**第一节 文档信息****
第二十七条 本制度由xxxx办公室制定,并负责解释和修订。由信息安全管理小组讨论通过,发布执行。
第二十八条 本制度自发布之日起执行。
第二节 版本控制****
第二十九条 对本 制度 所有修改 及审批、发布 都按时间顺序记录在此。
版本 | 日期 | 修改内容 | 修改人 | 审批人 |
V1.0 | 文档定稿 |
第三节 其他信息****
第三十条 本 制度 中所称的 人员角色职责由各处室人员分别担任,可能现有岗位的职工在不同时期所担任的角色不同,甚至身兼多种角色,这种情况下该职工应该履行所兼每种角色的安全职责。
第三十一条 《 xxxx安全管理制度汇编 》定义了 信息安全体系的整体结构、安全组织及各角色岗位的职责、以及覆盖各项安全内容的安全管理制度。 所有 职工 均应把 《xxxx安全管理制度汇编》 的规定作为信息安全工作的基本要求 ,其 内容一经颁布将在一定时间内长期有效,其涉及的所有 处室 或个人均需对其负责。