某公司信息安全管理体系管理规定.docVIP

信息安全管理体系管理规定 PAGE PAGE 10 版 本 号: Ver1.0 密 级： 内部公开 *** 信息安全管理体系管理规定 修订记录 版本号 编制部门 修改日期 生效日期 修改原因和修改内容提示 修改说明： （注：版本号：第一次制订为第一版，既以“1.0”表示。若有重大修改时，号码递增1，即为“2.0”。若有细微修改，号码递增0.1，即为“1.1”，若号码变更数超过9时，则以10、11、12……依序排列。） 目 录 TOC \o 1-1 \h \z \u 第一章 总则 4 第二章 适用范围 4 第三章 术语定义 4 第四章 职责 4 第五章 文件起草 5 第六章 文件评审 6 第七章 文件发布 7 第八章 文件修订 7 第九章 文件废止 8 第十章 持续改进 9 第十一章 附 则 9 总则 为了保证某公司信息安全管理体系的持续性、时效性以及适应性，满足业务不断变化的安全管理的需要，明确信息安全管理体系的制定、发布、评审和修订过程中管理职责，特制定本规定。 适用范围 本规定适用于某公司信息安全管理体系制定和发布过程、管理对象为信息安全管理部门以及人员。 术语定义 信息安全管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信息安全管理的制度、方针、策略、流程、指南、记录等管理方面的规章制度集合。 职责 信息安全等级保护工作领导小组，职责： 负责规划、监督、指导信息安全管理制度文件的起草、审查、发布、清理等工作。 负责信息安全管理制度的评审及修订后复审工作。 确保信息安全管理制度能持续恰当和有效地运作。 提供充足的资源和支持，以持续改善信息安全管理制度。 信息安全等级保护工作小组，职责： 负责组织管理体系文件的起草、编制、修订、补充等工作的开展，并将实施成果向领导小组汇报。 负责启动和主持信息安全管理制度的管理评审工作 。 负责协调相关人员，指导收集评审资料。 确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。 负责对评审结果如需进行修订项协调相关人员进行修订。 指派人员负责对修订措施的执行结果进行验证。 相关人员，是指***信息安全管理制度涉及的人员。比如：系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责是： 负责依据管理体系文件的内容进行宣贯、培训、执行、检查等工作，并依据部门情况落实管理体系的要求。 负责协助进行评审。 负责实施修订措施。 文件起草 ***信息安全管理制度文件由***部或者信息安全等级保护工作小组负责起草或组织起草。 负责起草的部门应当确定一名熟悉相关内容员工为项目负责人， 如涉及多个部门时，可由有关部门共同派人组成联合起草小组，由主要起草部门负责牵头组织。 起草的规范性文件应当结构严谨、内容完备、形式规范、条理清楚、用词准确、文字简洁。 应当明确规定如下内容： （一）制定的目的和依据； （二）适用范围； （三）术语定义 （四）组织职责 （五）具体管理要求或规定 （六）必要的附则 （七） 与规范内容相关的资料性附录和参考性附录 报送审查的管理制度送审稿应当由起草部门负责人签署后报信息安全等级保护领导小组审查。几个部门共同起草的规范送审稿，应当由起草部门负责人共同签署后报信息安全等级保护领导小组审查。 下列材料应当与规范送审稿一并报送信息安全等级保护领导小组审查： （一）起草说明； （二）与此规范内容有关的规范性文件； （三）汇总的各方意见； （四）如需制定实施细则，应当提交实施细则的主要内容和实施细则拟出台的时间； （五）其他需要报送的材料。 信息安全等级保护领导小组主要从以下方面对送审稿进行审查： （一）是否符合权限和程序； （二）是否符合原则； （三）是否与其他规范相协调、衔接； （四）是否已对有关不同意见进行协调； （五）是否具有可行性； （六）是否符合相关技术要求； （七）需要审查的其他内容。 由信息安全等级保护领导小组对送审稿提出审查结论，对草案涉及的有关争议问题以及修改情况作重点说明。由信息安全等级保护领导小组负责人签署的书面审查报告应当反馈起草部门。 文件评审 ***信息安全等级保护工作小组定期（至少每年一次）开展信息安全管理制度的评审工作，以确保整个信息安全管理制度的充份性、适当性和有效性。 信息安全管理制