制度管理规定.docVIP

PAGE 1 制度管理规定 第一章 总则 第一条 为加强制度建设，建立健全XXXX制度管理体系，规范我单位制度的制定、修改、废止、执行、监督、评审，根据国家法律法规相关规定，制定本规定。 第二条 本规定所称的“制度”是指XXXX按照规定程序制定的各类规范信息安全管理行为的、具有长期普遍约束力的规范性文件，包括规定、制度等。 第三条 制度管理原则 (一) 符合性原则：制度要符合法律法规和集团规章制度的相关规定。 (二) 前瞻性原则：从单位可持续发展的角度制定制度，避免因经营环境的快速变化而频繁修改。 (三) 实效性原则：从单位运营实际出发制定制度，认真调查研究，确保制度的可操作。 (四) 系统性原则：从单位全局出发制定制度，避免制度间相互冲突。 第二章 制度管理机构与职责 第四条 信息安全领导小组是我单位制度管理的最高决策机构，根据单位章程等相关规定对各自所负责领域的单位重大制度进行决策审批。 第五条 信息安全领导小组的职责为： (一) 起草制度的管理体系、统筹编制与发布制度管理规定、实施细则、制度清单，并提交XXXX分管领导并通过会议形式决策审批； (二) 对单位重大制度进行评审和发布，对跨部门制度制定的合规性进行审核，负责单位制度的执行监督与效果评审。 第六条 凡超越权限或未按规定程序制定的制度视为无效。 第三章 制度的分类与分级 第七条 单位制度的类别包括管理规定、管理制度/操作规程、记录等。 (一) 管理规定：是指对单位运营管理某一方面制定的办事规则、行动准则和程序性内容的要求； (二) 管理制度/操作规程：是指对单位运营管理中处理或解决某项工作的方法、步骤、措施等，当文件内容是以文字叙述或表格为主表述时，文件名称用“XX制度”，当文件内容以流程图为主表述处理或解决某项工作的具体步骤时，文件名称用“XX操作规程”； (三) 记录：是指为实施某一制度、规定等结合实际情况、对其所做进行记录。 第八条 制度的格式要规范，层次要清晰。制度作为内部文件时，可以不冠以“单位××”字样，为保证命名的规范性，具体名称按文件层次统一命名为:管理规定、管理制度/操作规程、记录等。由于所有制度都采用版本控制其有效性，根据管理需要实施动态管理适时更新文件版本。 第八条 对于文件名以暂行规定、试行规定等结尾的制度，原则上运行期限不能超过二年。如有特殊情况，需经XXXX主任批准，批准后顺延一年。 第九条 以暂行规定、试行规定等结尾命名的制度需满足以下条件： (一) 以前没有进行这方面的管理规定； (二) 运作效果无法预测或判断； (三) 制度执行可能会产生风险。 第四章 制度的生命周期管理 第一节 制度的制定 第十条 制度的制定需求来源包括各部门根据日常工作需要提出、信息安全领导小组基于监督评审后提出、单位领导提出。 第十一条 制度的编制，要开展广泛调研与意见征集，进行必要性论证和可行性研究。要有明确的范围与对象、目标与原则、控制点、关键指标等内容。 第十二条 在制定制度时，编制牵头部门应先评审所要制定的制度相关内容在现有制度中是否已有相关或类似的规定，如现有制度中已有相关规定且可以继续实施的，应不必制定新的制度；当已有制度的规定已不能满足要求时，应通过对已有制度的修改和完善满足其要求；如果已有制度中没有所要规定的内容，可通过新增制度或在现有制度中增补相关内容实现其管理要求，并在制度收发登记记录中登记。 第二节 制度的会审、决策与发布 第十三条 制度的会审与决策包括信息安全领导小组会审和决策。 第十四条 审批通过的制度由XXXX以部门发文形式自行发布。需要保密的制度应设定密级，并仅对特定群体发布。制度发布后，发布部门须上载到规章制度管理系统存档、共享。 第十五条 制度由信息安全领导小组签发，并需在《制度收发登记记录》中登记记录。 第三节 制度的执行、监督与评审 第十六条 制度的执行，包括执行部署、培训、宣传等，由XXXX负责。执行过程中，各部门和员工对制度条款认为不适当的有权提出意见或建议，并反馈到XXXX。 第十七条 制度的签发后组织有关的人员对制度进行培训和宣传，可采用分线条、集中式、在线学习等各种培训方式，培训的内容包括管理规定，管理制度。 第十八条 制度发布后，监控是执行的关键，应采取多种措施和方法加强对制度执行情况的监控，保证制度得到良好的执行。制度监控主要关注效率、质量、风险控制三个方面。监控方式有：各类检查活动，如自查、各类专项检查、内外部审计等。建立相应的信息化平台和指标体系，以实现制度执行情况与部门绩效考核的关联、协作满意度挂钩。 第十九条 对制度的后评审是改进完善制度的重要环节，通过对现有制度设计的合理性、运行效率的评审，挖掘改进空间，进入制度管理的新循环。应逐步建立制度评审体系和指标，以更好反映制度本身的合理性和执行效率情况