制度体系制定和发布管理规定.docxVIP

TITLE \* MERGEFORMAT 三二一（北京）科技有限公司制度体系制定和发布管理规定 2016年8月 PAGE \* MERGEFORMATI 版本控制 版本 修改时间 修改内容 修改人员 审核人员 V1.0 2016-08-25 新增 陈达隆 吴为问 总则 为了保证三二一（北京）科技有限公司安全管理制度体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确安全管理制度体系的制定、发布、评审和修订过程中管理职责，特制定本规定。 本规定适用于三二一（北京）科技有限公司安全管理制度体系制定和发布过程、管理对象为信息安全管理部门以及人员。 管理职责 信息安全管理委员会，职责为： 负责规划、监督、指导信息安全安全管理制度体系文件的起草、审查、发布、清理等工作。 负责安全管理制度体系的评审及修订后复审工作。 确保安全管理制度体系能持续恰当和有效地运作。 提供充足的资源和支持，以持续改善安全管理制度体系。 信息技术部，职责为： 负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。 负责启动和主持安全管理制度体系的管理评审工作。 负责协调相关人员，指导收集评审资料。 确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。 负责对评审结果如需进行修订项协调相关人员进行修订。 指派人员负责对修订措施的执行结果进行验证。 相关人员，是指三二一（北京）科技有限公司安全管理制度体系涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责为： 负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。 负责协助进行评审。 负责实施修订措施。 文件起草 三二一（北京）科技有限公司信息安全管理体系规范文件由信息技术部负责起草或组织起草。 负责起草的部门应当确定一名熟悉相关内容员工为项目负责人，如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。 起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。 应当明确规定如下内容： 制定的目的和依据。 适用范围。 组织职责。 具体管理要求或规定。 必要的附则。 与规范内容相关的资料性附录和参考性附录。 报送审查的管理制度送审稿应当由起草部门负责人签署后报信息安全管理委员会审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报信息安全管理委员会审查。 下列材料应当与规范送审稿一并报送信息安全管理委员会审查： 起草说明。 与此规范内容有关的规范性文件。 汇总的各方意见。 如需制定实施细则，应当提交实施细则的主要内容和实施细则拟出台的时间。 其他需要报送的材料。 信息安全管理委员会主要从以下方面对送审稿进行审查： 是否符合权限和程序。 是否符合原则。 是否与其他规范相协调、衔接。 是否已对有关不同意见进行协调。 是否具有可行性。 是否符合相关技术要求。 需要审查的其他内容。 由信息安全管理委员会对送审稿提出审查结论，对草案涉及的有关争议问题以及修改情况作重点说明。由信息安全管理委员会负责人签署的书面审查报告应当反馈起草部门。 文件评审 三二一（北京）科技有限公司信息技术部定期（至少每年一次）开展安全管理制度体系的评审工作，以确保整个安全管理制度体系的充份性、适当性和有效性。 安全管理制度体系评审内容： 根据业务系统的性质和安全要求，确定（或复审）安全管理制度体系的范围，建立（复审）安全管理制度体系，包括信息安全策略、标准和程序。 对安全管理制度体系审核结果进行评审，分析导致不符合项的原因。 审查审核对象的反馈信息。 总结已发现的安全事件和漏洞。 审查现行的安全控制措施和相关技术是否有效。 复查修订措施的实施状况。 检查先前管理评审中所定义的措施的实施状况。 审查改善措施的建议。 复查业务和法律法规方面的变更（比如：业务需求、客户需求的变更和新颁布的法律法规）。 审查可能影响安全管理制度体系的任何变更。 为协调相关信息安全的实施，评审相关资源的充足性。 评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作： 系统业务发生重大变更。 系统信息安全策略的重大变更。 目前安全管理制度体系的执行不力。 系统安全管理制度体系的范围发生变更。 相关标准法规发布修订版本或有变更。 评审工作的会议记录均需归档，以保存正式的记录。 文件发布 规范草案经信息安全管理委员会审议并原则通过后，起草部门根据审议中提出的修改意见对草案进行修改，经信息安全管理委员会负责人签发,以三二一（北京）科技有限公司管理制度规范形式公布。 文件的发布应遵照统一的格式，进行版本控制；并应注明发布范