需要的制度和记录(信息安全管理).pdfVIP

安全子类 管理制度 制度说明 / 等级保护要求 信息安全方针策略是最高层的安全文 件，说明机构安全工作的总体目标、 范围、原则和安全框架； 信息安全总体方针 安全管理制度用来规范信息系统生命 和安全策略 周期相关活动，以安全方针政策为指 重要管理内容的安 管理制度 导； 相关制度文档 全管理制度 安全操作规程则是各项具体活动的步 重要管理操作的操 骤和方法，可以是一个操作手册，一 作规程 个流程表单或一种实施方法，但必须 能够明确体现或执行信息安全策略、 信息安全制度所要求的策略或原则。 1. 应指定或授权专门的部门或人员负 责安全管理制度的制定； 2. 安全管理制度应具有统一的格式， 并进行版本控制； 管理制度论证 3. 应组织相关人员对制定的安全管理 管理制度正式 制定和发布 —— 制度进行论证和审定； 明 4. 安全管理制度应通过正式、有效的 收发文登记记 方式发布； 5. 安全管理制度应注明发布范围，并 对收发文进行登记。 1. 信息安全领导小组应负责定期组织相关部门和 相关人员对安全管理制度体系的合理性和适用性 进行审定； 管理制度体系 评审和修订 —— 2. 应定期或不定期对安全管理制度进 录、更新记录 行检查和审定 ，对存在不足或需要改 制度修订记录 进的安全管理制度进行修订。 1. 应设立信息安全管理工作的职能部 门，设立安全主管、安全管理各个方 面的负责人岗位，并定义各负责人的 职责； 2. 应设立系统管理员、网络管理员、 安全管理员等岗位，并定义各个工作