某公司信息安全管理体系管理规定

版 本 号 Ver1 0 密 级 内部公开 信息安全管理体系管理规定 信息安全管理体系管理规定 ii 修订记录 注 版本号 第一次制订为第一版 既以 1 0 表示 若有重大修改时 号码递增 1 即为 2 0 若有细 微修改 号码递增 0 1 即为 1 1 若号码变更数超过 9 时 则以 10 11 12 依序排列 版本号编制部门修改日期生效日期修改原因和修改内容提示 修改说明 修改说明 信息安全管理体系管理规定 iii 目目 录录 第一章第一章总则总则 4 第二章第二章适用范围适用范围 4 第三章第三章术语定义术语定义 4 第四章第四章职责职责 4 第五章第五章文件起草文件起草 5 第六章第六章文件评审文件评审 6 第七章第七章文件发布文件发布 7 第八章第八章文件修订文件修订 7 第九章第九章文件废止文件废止 8 第十章第十章持续改进持续改进 9 第十一章第十一章附附 则则 9 信息安全管理体系管理规定 4 第一章第一章总则总则 第一条第一条为了保证某公司信息安全管理体系的持续性 时效性以及适应性 满足业 务不断变化的安全管理的需要 明确信息安全管理体系的制定 发布 评审和修订过 程中管理职责 特制定本规定 第二章第二章适用范围适用范围 第二条第二条本规定适用于某公司信息安全管理体系制定和发布过程 管理对象为信息 安全管理部门以及人员 第三章第三章术语定义术语定义 第三条第三条 信息安全管理体系是指依据国家信息安全等级保护的要求建立的系统内进行信 息安全管理的制度 方针 策略 流程 指南 记录等管理方面的规章制度集合 第四章第四章职责职责 第四条第四条 信息安全等级保护工作领导小组 职责 一 负责规划 监督 指导信息安全管理制度文件的起草 审查 发布 清理等工作 二 负责信息安全管理制度的评审及修订后复审工作 三 确保信息安全管理制度能持续恰当和有效地运作 四 提供充足的资源和支持 以持续改善信息安全管理制度 第五条第五条 信息安全等级保护工作小组 职责 一 负责组织管理体系文件的起草 编制 修订 补充等工作的开展 并 将实施成果向领导小组汇报 二 负责启动和主持信息安全管理制度的管理评审工作 三 负责协调相关人员 指导收集评审资料 四 确保评审会议所提出的行动项目能在规定的时间内完成 并负责其相 关的监督工作 信息安全管理体系管理规定 5 五 负责对评审结果如需进行修订项协调相关人员进行修订 六 指派人员负责对修订措施的执行结果进行验证 第六条第六条 相关人员 是指 信息安全管理制度涉及的人员 比如 系统管理员 应用管 理员 开发管理人员 网络管理员 数据管理员 资产管理员和安全管理员等 其职 责是 一 负责依据管理体系文件的内容进行宣贯 培训 执行 检查等工作 并依据部门情况落实管理体系的要求 二 负责协助进行评审 三 负责实施修订措施 第五章第五章文件起草文件起草 第七条第七条 信息安全管理制度文件由 部或者信息安全等级保护工作小组负责起草或 组织起草 第八条第八条 负责起草的部门应当确定一名熟悉相关内容员工为项目负责人 如涉及多个 部门时 可由有关部门共同派人组成联合起草小组 由主要起草部门负责牵头组织 第九条第九条 起草的规范性文件应当结构严谨 内容完备 形式规范 条理清楚 用词准确 文字简洁 第十条第十条 应当明确规定如下内容 一 制定的目的和依据 二 适用范围 三 术语定义 四 组织职责 五 具体管理要求或规定 六 必要的附则 七 与规范内容相关的资料性附录和参考性附录 信息安全管理体系管理规定 6 第十一条第十一条报送审查的管理制度送审稿应当由起草部门负责人签署后报信息安全等级 保护领导小组审查 几个部门共同起草的规范送审稿 应当由起草部门负责人共同签 署后报信息安全等级保护领导小组审查 第十二条第十二条下列材料应当与规范送审稿一并报送信息安全等级保护领导小组审查 一 起草说明 二 与此规范内容有关的规范性文件 三 汇总的各方意见 四 如需制定实施细则 应当提交实施细则的主要内容和实施细则拟出台 的时间 五 其他需要报送的材料 第十三条第十三条信息安全等级保护领导小组主要从以下方面对送审稿进行审查 一 是否符合权限和程序 二 是否符合原则 三 是否与其他规范相协调 衔接 四 是否已对有关不同意见进行协调 五 是否具有可行性 六 是否符合相关技术要求 七 需要审查的其他内容 信息安全管理体系管理规定 7 第十四条第十四条由信息安全等级保护领导小组对送审稿提出审查结论 对草案涉及的有关 争议问题以及修改情况作重点说明 由信息安全等级保护领导小组负责人签署的书面 审查报告应当反馈起草部门 第六章第六章文件评审文件评审 第十五条第十五条 信息安全等级保护工作小组定期 至少每年一次 开展信息安全管理制 度的评审工作 以确保整个信息安全管理制度的充份性 适当性和有效性 第十六条第十六条信息安全管理制度评审内容 一 根据业务系统的性质和安全要求 确定 或复审 信息安全管理制度 的范围 建立 复审 信息安全管理制度 包括信息安全策略 标准和程 序 二 对信息安全管理制度审核结果进行评审 分析导致不符合项的原因 三 审查审核对象的反馈信息 四 总结已发现的安全事件和漏洞 五 审查现行的安全控制措施和相关技术是否有效 六 复查修订措施的实施状况 七 检查先前管理评审中所定义的措施的实施状况 八 审查改善措施的建议 九 复查业务和法律法规方面的变更 比如 业务需求 客户需求的变更 和新颁布的法律法规 十 审查可能影响信息安全管理制度的任何变更 十一 为协调相关信息安全的实施 评审相关资源的充足性 第十七条第十七条评审工作必须至少每年举行一次 发生以下情况时 也需要启动管理评审 工作 一 系统业务发生重大变更 二 系统信息安全策略的重大变更 三 目前信息安全管理制度的执行不力 四 系统信息安全管理制度的范围发生变更 五 相关标准法规发布修订版本或有变更 评审工作的会议记录均需归档 以保存正式的记录 信息安全管理体系管理规定 8 第七章第七章文件发布文件发布 第十八条第十八条规范草案经信息安全等级保护领导小组审议并原则通过后 起草部门根据 审议中提出的修改意见对草案进行修改 经信息安全等级保护领导小组负责人签发 以 总部管理制度规范形式公布 第十九条第十九条文件的发布应遵照统一的格式 进行版本控制 并应注明发布范围 对收 发文进行登记 对发布的制度应在 附录一 管理制度发布记录表 中进行记录 第八章第八章文件修订文件修订 第二十条第二十条问题的识别及确认 采取修订措施可能由以下原因 包括但不限于 一 来自系统信息安全管理制度相关人员的反馈信息或调查申请 二 信息安全管理评审的会议讨论中发现的问题 三 信息安全管理制度的审核发现的不符合项 第二十一条第二十一条 调查问题的起因 一 由信息安全等级保护工作小组指派专门的人员负责对问题进行分析调 查并确认问题的起因 二 调查人员需提供尽可能多的关于整个问题调查的详细结果 作为修订 措施报告的一部分 也可以提供一些额外的补充信息 第二十二条第二十二条 执行修订措施 一 基于所调查出的问题起因 需确认并实施相应措施或对事故进行调查 研究 负责上述行动的执行者需确保更新任何相关的文件或管理流程 比 如 a 准备制定或更新相关管理程序 b 培训 通知相关人员知晓 二 执行人员负责跟踪所执行修订措施的效果 一旦发现效果不如预期 其相关负责人需进行评估分析并就进一步的应对措施进行确认 执行人员 必须确保所实施的修订措施是可证实和可验证的 并保证修订措施的报告 中都有详细说明 信息安全管理体系管理规定 9 第二十三条第二十三条 措施的验证 一 如果验证出所采取的措施是达到预期效果的 则修订措施才算是成功 可以结束跟踪 验证阶段包括以下两个部分 a 对所规定修订措施的执行程度进行验证 b 对修订措施的执行效果进行验证 二 措施验证的结果必须中有详细的说明 且对相关记录进行保存 第九章第九章文件废止文件废止 第二十四条第二十四条 遇有下列情形之一的 管理制度应当及时废止 一 因有关主管部门行政法规废止或者修改 失去制定依据或者没有必要 继续执行的 二 因规定的事项已执行完毕或者因实际情况变化 没有必要继续执行的 三 新的管理制度已取代了旧的管理制度的 四 其他应当予以废止的情况 第二十五条第二十五条 对需要废止的管理制度由信息安全等级保护领导小组明文废止或者宣布失 效 第二十六条第二十六条 对新制定的规范可以替代旧的规范的 应当在新的规范中列出详细目录 明文废止被替代的规范 第十章第十章持续改进持续改进 第二十七条第二十七条 为了保证本文件的时效性 可有性 必须根据相关审核规定进行评审和修 订 修订后重新发布 第十一章第十一章附