三级等保,安全管理制度,信息安全管理体系文件编写规范.docVIP

* 主办部门：系统运维部 执 笔 人： 审 核 人： XXXXX 信息安全管理体系文件编写规范V0.1 XXX-XXX-XX-03001 2014年3月17日 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 版本 日期 拟稿和修改 说明 V0.1 2014.3.17 拟稿 文件版本信息说明 记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。 阅送范围 内部发送部门：综合部、系统运维部、技术开发部。 目 录 TOC \o 1-1 \h \z \u HYPERLINK \l _Toc384066590 第一章 总则 PAGEREF _Toc384066590 \h 1 HYPERLINK \l _Toc384066591 第二章 细则 PAGEREF _Toc384066591 \h 1 HYPERLINK \l _Toc384066592 第三章 体系文件的格式 PAGEREF _Toc384066592 \h 2 HYPERLINK \l _Toc384066593 第四章 附则 PAGEREF _Toc384066593 \h 6 HYPERLINK \l _Toc384066594 附件 PAGEREF _Toc384066594 \h 7 文件密级：内部使用 第 PAGE \* MERGEFORMAT 1 页 共 SECTIONPAGES \* MERGEFORMAT 17 页 第一章 总则 第一条 为规范XXXXX信息安全管理体系文件的编写和标识，确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》（JR/T 0071—2012），结合XXXXX实际，制定本规范。 第二条 本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条 网络与信息安全工作领导小组办公室负责组织XXXXX信息安全管理体系各级文件的编写和修订；负责XXXXX信息安全管理体系文件编码的分配和统一管理。 第二章 细则 第四条 体系文件类型包括： （一）管理策略：是指对信息系统安全运行提出策略性要求的文件，是信息安全管理体系的一级文件。 （二）管理规定：是指根据信息安全管理体系的管理策略要求提出详细规定的文件，是信息安全管理体系的二级文件。 （三）管理规范、操作手册：是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件，是信息安全管理体系的三级文件。 （四）运行记录、表单、工单：是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件，是信息安全管理体系的四级文件。 第三章 体系文件的格式 第五条 体系文件的格式由密级等级、主办部门标识、执笔人标识、审核人标识、标题、文件版本号、文件类别代码、编制日期、文件警告信息、文件版本信息、阅知范围、目录、正文、附件、印章等要素组成。 （一）密级等级：根据《2014年通知第23号——关于落实内部重要文件资料管理办法有关事宜的通知》要求，体系文件分为商业绝密、有限访问、内部使用 3 个等级。执笔人根据《内部重要文件资料管理办法》及文件实际情况对体系文件提出密级等级和发送范围建议，最终由主办部门负责人审定批准。标识标注于文件首页右上角，“商业绝密”标为“***”，“有限访问”标为“**”，“内部使用”标为“*”。字体为“仿宋”，字号为“小三”。信息安全管理体系文件必须明确发送范围，流转过程中应按知悉范围发送，未经审批不允许扩散到发送范围之外。 1.商业绝密：仅限拟稿人、部门负责人、相关公司领导知悉； 2.有限访问：仅限于拟稿部门和相关部门人员、公司领导知悉。 3.内部使用：限于公司内部员工知悉。 （二）主办部门标识、执笔人标识、审核人标识：标识标注于密级等级下方。右对齐，字体为“仿宋”，字号为“小三”。 （三）文件标题：于审核人下方第8行。居中，字体为“黑体”，字号为“小二”，标题应包含文件版本号。 （四）文件版本号：是指整份文件的版本状态。文件正式发布版本为v1.0，然后版本号以0.1的间隔顺序递增标识不同的版本号。 （五）文件代码：每份体系文件只允许有唯一的编号，该编号由系统运维部统一管理和分配。标