08、XX单位信息安全制度制定、发布、评审和修订管理制度-V1.1.docx

XX单位

制度制定、发布、评审和修订管理制度

V1.1

编制单位：XX单位

编制日期：2020年11月

文档信息

制度编号:

生效日期:

分发范围:

解释部门:

版次:Ver1.1

页数:7

制定人:信息安全工作小组

审核人:信息安全领导小组

批准人:

FORMCHECKBOX传阅FORMCHECKBOX阅后执行并存档FORMCHECKBOX保密保密等级内部公开

版本记录

版本号

版本日期

修改者

说明

文件名

1.0

制度制定、发布、评审和修订

1.1

制度制定、发布、评审和修订

总则

目的

为规范XX单位信息安全管理体系文件的制订、修订及评审，特制定本制度。

范围

本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

职责

由信息安全工作小组的主体部门信息中心负责信息安全管理体系文件的维护，包括制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。

管理细则

体系文件生命周期流程

图1体系文件流程图

体系文件策划

信息安全工作小组组织相关人员，根据《信息安全技术信息系统安全等级保护基本要求（GBT22239-2008）》、《信息安全技术信息系统安全管理要求（GBT20269-2006）》、《ISO/IEC27001：2005信息安全管理体系》的要求，结合实际的职责和工作流程，策划制定信息安全管理体系文件的架构，并形成《XX单位信息安全管理体系文件框架》（以下简称“文件框架”）。

信息安全工作小组将制定的文件框架汇报给信息安全领导小组，信息安全领导小组对文件框架进行审批确认。

体系文件架构与编写

信息安全工作小组根据审批后的文件框架及清单，负责组织编写各级文件。

总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》，它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《人力资源安全管理程序》、《系统建设管理》、《物理与环境安全管理》等管理标准文件，主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档，是整个安全管理体系有效执行和落地的主要手段，也是安全管理体系的过程记录，可做为对外的信息安全质量保证。

其中总体策略类文件由信息安全领导小组署名，其他类文件由编写人署名。

编写完成的文档需先经过各相关部门的初审，然后由信息安全工作小组进行评审，最后由信息安全领导小组进行批准定稿。评审记录表见《制度文件评审记录表》。

体系文件标识及编写规范

文件的编码方式如下：

“XX单位”拼音字母（LJSRMFY）+“体系文件序号码-文件名称-版本号”

如：《LJSRMFY05-信息安全领导机构组成与职责-V1.0》，“LJSRMFY05”表示XX单位和第5个管理文件（如出现LJSRMFY05.1，则表示为体系文件中第5个文件的第一个配套的过程表单），“信息安全领导机构组成与职责”为体系文件名称，“V1.0”代表文件版本号。

体系文件借鉴ISO/27001标准要求，分总体策略、程序规范、记录文件，各类文件级别示意如下：

1级文件--------------总方针、总策略

2级文件--------------管理制度与操作规范

3级文件--------------记录、表单

文件序号码由阿拉伯数字按从小到大顺序组成，整个安全管理体系文件统一编码。

文件版本

文件经过修改后需更换版本。使用1、2、3、4…表示文件的版本，用0、1、2、3…表示修改的次数。

如：1--表示第一版；2--表示第二版；3--表示第三版…

0--未经过修改；1—修改过第一次；2—修改过第二次…以此类推。

则2.1表示第二版本修改过一次的文件。

文件的每次修改，以修改次数来表示，当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。

文件不需要每次修改后重新发布，但如版本发生变化（如从ver1.3变成ver2.0）时需要重新发布。

体系文件的评审

信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下：

信息安全工作小组发起对体系文件的评审申请，信息安全领导小组审核确认后批准评审要求。

信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。

各评审责任人根据时间计划，结合内部审核、管理评审、风险评估及日常记录的结果，评估现有文件的有效性和充分性。如果确定文档有必要进行修改，应填写《制度文件修订记录》。

如果修改的内容只涉及信息中心，则由信息安全工作小组组长进行审批，在审批同意后，由文档评审责任人进行修改。

如果修改的内容涉及到信息中心以外的部门，需要所有涉及部门的会