字數 3610閱讀 760評論 0贊 3
《xxxx安全管理制度匯編》****
制度管理辦法****
文件名稱 | 制度管理辦法 | 密級 | 內部 |
文件編號 | 版 本 號 | V1.0 | |
編寫部門 | 編 寫 人 | ||
審 批 人 | 發布時間 |
目錄****
**編制說明**
為進一步貫徹黨中央和國務院批準的《國家信息化領導小組關于加強信息安全保障工作的意見》及其“重點保護基礎信息網絡和重要信息系統安全”的思想、貫徹信息產業部“積極預防、及時發現、快速反應、確保恢復”的方針和“同步規劃、同步建設、同步運行”的要求,特制定本 制度 。
本 制度 依據我國信息安全的有關法律法規,結合 xxxx的自身業務特點 、并參考國際有關信息安全標準制定的。
《**xxxx安全管理制度匯編—**制度管理辦法》?是規范信息安全制度的重要文檔,文檔中涉及制度包括中心層面的和處室層面的安全制度。信息安全管理部門負責組織安全制度的制定、并負責安全制度的監督落實、更新和廢除。各處室信息安全維護組織負責組織本處室安全制度的制定、并負責本處室安全制度的發布、監督落實、更新和廢除。
第一章?**總則**第一條?制度目標:?為了加強信息安全保障能力,建立健全安全管理體系,提高整體的網絡與信息安全水平, 保證網絡通信暢通和 業務 系統的正常運營,提高網絡服務質量, 在安全體系框架下,本制度為規范安全制度的制定、發布、修改、廢止、檢查和監督落實,建立科學、嚴謹的管理辦法。
第二條?適用范圍:?本 制度適用于xxxx安全管理組織。
第三條?制度相關性:?本 制度涉及所有安全制度自身的所有生命周期內容,同時遵照相關文件、文檔管理制度。
第二章?安全管理制度分類****第四條 xxxx的安全管理制度,分為11個類別:
(一) IT治理,定義IT工作總則,IT組織、IT規劃、IT決策、信息安全目標等方面
(二) 人員管理,主要定義IT人員的崗位職責、人員任免、勞動紀律、關鍵技術崗位人員管理、考核與問責、輪換與休假、培訓等方面的管理,包括本單位職工及第三方外包人員管理
(三) IT運維,內容涵蓋運維管理組織體系、機房和運行環境管理、機房值班、日常運維、災難備份、應急預案及演練、故障處理與責任追究等管理內容,以及系統變更上線、應急處理、安全事件處理等。
(四) 數據和檔案,數據和技術檔案的分類、組織體系、備份和保存等管理
(五) 安全管理,明確安全管理組織架構及職責、日常監控管理、介質管理、計算機病毒防護管理、安全補丁管理、權限管理和審批、密碼管理、保密制度、門戶網站內容管理等
(六) 開發與測試,系統程序開發、測試方面
(七) 網絡通信,網絡通信和安全建設規范、網絡隔離、通信管理等管理內容
(八) 項目管理,項目招標、建設、驗收、評估等管理方面
(九) 資產管理,信息系統設備的采購、維護、報廢等管理
(十) 服務與支持,內部技術支持服務流程及第三方產品與服務商管理方面
(十一) 標準操作流程,SOP操作流程文檔。
第三章?安全管理制度制定****第一節?安全管理制度的制定權限****
第五條 信息安全管理小組負責制定中心層面的安全管理制度,主要包括:信息安全體系、安全管理制度框架、信息安全方針、信息安全體系等級化標準、全局性安全技術標準和技術規范、全局性安全管理策略和規定、安全組織機構和人員職責、用戶協議。
第六條 各處室信息安全組織遵照下發的安全管理制度,結合本處室系統實際情況,制定和細化成適用于本處室的具體管理辦法、實施細則和操作規程等,不得與中心層面的規章策略相抵觸,并須報信息安全管理小組備案。
第二節?安全管理制度的制定要求****
第七條 安全管理制度中不得出現涉密信息。
第八條 對安全管理制度進行匯編時,必須保留各安全管理制度的版本控制信息和密級標識。
第三節?安全管理制度的命名要求****
第九條 制度名稱使用“單位名稱+制度名稱+版本號”規范進行命名。單位名稱:使用簡寫‘xxxx’。版本號要求:初始版本號‘V1.0’,如發生細節修訂,變更小數點后的小版本號;如內容變更較多,修訂后變更小數點前的大版本號。
第四章?安全管理制度發布****第十條 安全管理制度必須以正式文件的形式發布施行。
第十一條 安全管理制度由信息安全管理小組制訂,信息安全領導小組審批、發布。
第十二條 處室層面安全管理制度由各處室安全管理組織制訂,信息安全管理小組審批、發布,同時要留存信息安全管理部門備案。
第十三條 系統層安全管理制度由各系統管理員制訂、本處室安全管理員協助,安全管理組織審批、發布,同時要留存信息安全管理部門備案。
第十四條 安全管理制度發布后,如有必要,安全管理制度制定部門應召集相關人員學習安全管理制度,詳細講解規章策略的內容并解答疑問。
第十五條 安全管理制度修訂后需要以正式文件的形式重新發布施行,修訂后的策略也需相應層次的管理部門審批。
第十六條 簽署發布的規章策略必須標明該規章策略的施行日期。
第五章?安全管理制度修改與廢止****第十七條 必須每年對安全管理制度進行評審,對其中不適用的或欠缺的條款,及時進行修改和補充。對已不適用的信息安全管理制度或規定應及時廢止。
第十八條 當現行安全管理制度有下列情形之一時,必須及時修改:
(一) 當發生重大安全事件,暴露出安全管理制度存在漏洞和缺陷時;
(二) 組織機構或生產系統進行重大調整和變更后;
(三) 同一個事項在兩個規章策略中規定不一致;
(四) 與上級部門的安全管理制度相抵觸;
(五) 其他需要修改安全管理制度的情形。
第十九條 當現行安全管理制度有下列情形之一時,必須及時予以廢止:
(一) 因有關信息安全管理制度或規定廢止,使該信息安全管理制度或規定失去依據,或與現行上層策略相抵觸;
(二) 因已規定的事項已經執行完畢,沒有存在必要;
(三) 已被新的規章策略所替代。
第二十條 安全管理制度的修改與廢止須經信息安全領導組織審批確認,信息安全管理部門備案。
第二十一條 處室層面安全管理制度的修改與廢止須經各處室信息安全維護組織及信息安全管理部門審批確認。同時信息安全管理部門備案。
第六章?安全管理制度監督和檢查****第二十二條 安全管理制度發布實施后,各處室應就安全管理制度或規定的貫徹執行,執行中存在的問題以及對規章制度修改或廢止的意見建議等情況進行檢查、監督,并將意見和建議及時反饋給制度的制定部門。
第二十三條 為保障各項信息安全管理制度的貫徹落實,信息安全管理部門必須每季度檢查安全制度的落實情況,信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內容。
第二十四條 信息安全檢查工作結束后,在起草檢查報告時,必須通報安全制度的落實情況,對執行不力的行為必須提出整改意見,限期糾改,并繼續追蹤其落實情況。
第二十五條 安全管理制度的貫徹落實情況,必須作為重要的考核項目,納入處室的綜合考評體系。
第二十六條 為安全管理制度落實做出顯著成績的處室或個人,應給予表彰和獎勵;對違反規章制度造成嚴重后果的處室或個人,應追究當事人、相關單位及主管領導的責任。具體參照考核制度辦理。
第七章?**附則**第一節?文檔信息****
第二十七條 本制度由xxxx辦公室制定,并負責解釋和修訂。由信息安全管理小組討論通過,發布執行。
第二十八條 本制度自發布之日起執行。
第二節?版本控制****
第二十九條 對本 制度 所有修改 及審批、發布 都按時間順序記錄在此。
版本 | 日期 | 修改內容 | 修改人 | 審批人 |
V1.0 | 文檔定稿 |
第三節?其他信息****
第三十條 本 制度 中所稱的 人員角色職責由各處室人員分別擔任,可能現有崗位的職工在不同時期所擔任的角色不同,甚至身兼多種角色,這種情況下該職工應該履行所兼每種角色的安全職責。
第三十一條 《 xxxx安全管理制度匯編 》定義了 信息安全體系的整體結構、安全組織及各角色崗位的職責、以及覆蓋各項安全內容的安全管理制度。 所有 職工 均應把 《xxxx安全管理制度匯編》 的規定作為信息安全工作的基本要求 ,其 內容一經頒布將在一定時間內長期有效,其涉及的所有 處室 或個人均需對其負責。
