信息安全管理制度体系文件管理办法.doc

信息安全管理制度体系文件管理办法 信息安全管理制度体系文件管理办法第一章总则第一条目的为保证信息安全管理体系运行的各个场所都能使用适宜且版本有效的安全管理制度文件（以下简称为“文件”），并对其进行控制。 为确保（以下简称“高速公路”）信息安全管理体系持续的适用性、合理性和有效性，以满足信息安全等级保护标准的要求以及高速公路的信息安全方针及信息安全目标。 本制度规定了信息安全记录表单（以下简称为“记录”）的标识，收集、使用、归档、保管以及作废的程序，为信息安全管理体系的有效运行提供证据，也为（以下简称“高速公路”）的信息安全管理体系的持续改进提供准确可靠的依据。 特制定本管理办法。 第二条适用范围 (一)适用于涉及信息系统管理的所有部门，是信息安全管理体系的管理规范。 (二)适用于高速公路信息安全管理体系的管理评审与修订。 (三)适用于高速公路信息安全管理体系涉及的所有部门，是信息安全管理记录收集和管理的规范第三条职责 (一)文件的编制/修订由高速公路收费部负责，审核由收费部负责人负责，批准由信息安全工作主管领导负责。 (二)收费部负责组织相关人员成立评审修订小组对信息安全管理体系制度进行评审与修订。 (三)收费部负责维护并管理信息安全管理记录模板，负责管理信息安全记录模板的编号，负责作成并保管信息安全管理记录并对已作成的信息安全记录进行检查。 第四条文件分类 (一)一级文件为纲领性文件，是信息安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、安全框架和安全职责，包括信息安全工作总体方针、信息安全管理体系职责和信息安全管理制度体系文件管理办法。 (二)二级文件为安全管理制度，是安全管理活动中的各类安全管理制度，包括人员安全管理制度、网络安全管理制度、主机安全管理制度和机房安全管理制度等。 (三)三级文件为操作过程记录表单，记录各类安全管理活动的过程和操作。 第五条文件编号说明文件编号遵循通用、简明、易于识别的原则，通常以汉语拼音、拉丁字母、阿拉伯数字等来标识。 (一)一级文件（纲领性文件） (二)二级文件（安全管理制度）高速公路-高速公路-L2-ZD-JF-xx文件属性代码ZD-JF为安全管理制度类的机房安全管理制度。 第六条文件字体字号页别文字内容字号与字体封面单位名称黑体小初（加粗）文件名称黑体小一（加粗）发布日期，实施日期宋体五号（加粗）编制、审核、批准宋体小四（加粗）文件编号、版本号、分发号、受控状态宋体小三（加粗）目录目录宋体五号文件首页文件名称黑体小初（加粗）单位名称宋体（加粗）图题、表题、表中文字宋体五号正文宋体小四正文章黑体三号（加粗）节黑体四号（加粗）条编号宋体小四正文宋体小四图题、表题、表中文字宋体五号页码宋体小五第二章管理制度文件的制定和发布第七条文件的编制编制者向审核人报告制定制度的目的及初步方案。 审核人认可后，编制者根据审核人的指示，编制该文件的初稿。 第八条文件的审核审核按以下程序进行 (一)审核人对初稿进行审核，必要时是可以召集相关人员参加管理制度审查会。 (二)根据审核人的审核意见，文件编制者对初稿进行修订。 (三)审核人对文件审核通过后，报批准人批准。 第九条文件的批准文件的批准按电子文件进行，批准人对文件的正确性、适用性进行检查后应在文件相应的位置填入批准人的姓名，电子文件需保留批准的证据。 纸质文件需在文件的相应位置由批准人签字或盖章后生效。 第十条文件的分发 (一)电子文件分发为节省成本，文件的分发原则上由文件编制者采用电子文件进行。 电子文件的分发需满足以下要求1.电子文件可采用web方式或E-mail方式进行分发；2.分发时，需在电子文件上加上水印。 (二)纸质文件分发必要时，文件编制者可采用纸质文件进行分发。 纸质文件分发需满足以下要求1.分发前需在相应位置标注受控或非受控进行受控管理；2.分发新文件的同时回收旧版文件。 第十一条文件的保管为了便于识别、确保合理地适当地使用文件，应该通过以下的保管措施，对信息安全管理体系文件进行保护和控制。 文件中需要管理的内容有编制人、编制日、审核人、审核日、修订记录（修订日、版本、修订内容以及理由等）、批准人、批准日、分发范围、文件编号、文件密级、受控状态等。 (一)电子文件所有文件由收费部负责进行统一管理并备案。 (二)纸质文件纸质文件需要时由收费部负责保管，并经常确认所保管的纸质文件是否为最新版本。 文件必须分类并存放在干燥通风、安全的地方；任何人不得在受控文件上乱涂乱改，不准私自外借，确保文件的清晰、易于识别和检索。 纸质文件的保存期限原则上为文件新建到文件修订或者作废为止。 第十二条文件的查阅/借阅查阅/借阅与信息安全管理体系有关的文件，应填写文件记录查阅/借阅管理表，由收费部批准后方可查阅/借阅。 第十三条文件的修订对文件进行修订时，应由文件修订者向审核人提出修订建议，经文件审核人审核认可后，由文件修订者进行修订，修订后提交审核人审核，审核后由文件批准人对修订后的文件进行批准。 文件的修订改版按以下程序进行1.由文件修订者拟订改版计划并报告文件审核人。 2.文件审核人根据修订内容的重要程度，决定是否实施改版。 3.必要时文件审核人召开文件审查会，与相关人员对文件进行审查。 在文件的审查会上，文件修订者说明改版内容并和与会人员达成共识。 4.文件修订者根据修订改版意见修订文件，并将更新内容明确记载在改版履历中。 5.文件审核人对文件进行审核，报批准人批准后新版文件即可分发。 6.根据修订内容的影响程度，进行改版内容传达。 每次的传达方法由文件审核人决定，并委托相关人员实施。 第十四条文件的作废文件作废的信息需通知该文件的所有分发对象，并由收费部或委托分发对象进行作废处理。 作废的手段为1.纸质文件需用碎纸机粉碎。 2.电子文件需将该作废文件删除，并清空垃圾箱。 文件作废是要填写文件记录作废管理表，进行严格控制并及时处理，以防止因误用引起的信息安全事件。 第十五条外来文件的控制对外来文件进行标记和编号，分类归档，确保外来文件得到识别。 第十六条文件评审必要时文件应按照本程序“第十三条”进行评审修订，包括1.定期评审每年1次由收费部负责召集相关人员进行评审。 2.临时评审信息安全管理体系的外部环境变化时，由收费部临时召集相关人员进行评审。 评审内容1.文件格式（编号、分类、字体等）是否根据规定进行；2.信息安全相关的操作程序部分；3.法律法规相关部分；4.收费部或者信息安全工作主管领导判断有必要进行评审的其他内容。 第三章管理制度评审与修订程序第十七条频率 (一)定期评审管理评审以会议方式为主，收费部负责定期组织相关部门和相关人员对信息安全管理体系运行及日常工作中存在的问题提出解决办法，制定并实施修订措施。 评审频度一般为每年1次。 (二)临时评审当出现如下情况时，高速公路认为有必要紧急评审、修订高速公路发布的信息安全管理体系时，可以指定收费部随时召开临时管理评审会议，解决存在的问题，提出修订计划。 1.信息安全法律、法规发生变化，现行信息安全管理制度与之出现冲突，或不能充分满足法律、法规要求；2.信息安全技术体系发生重大变化；3.发生重大安全事件；4.新建信息系统上线，现行管理制度不能覆盖其安全管理；5.组织机构发生重大变化，需重新分配安全管理职责；第十八条参加者管理评审与修订的参加人员如下所示，若因为某种原因参加不了的，在得到信息安全领导小组组长的许可后，可指派代理出席。 1.信息安全领导小组组长；2.信息安全领导小组各成员；3.收费部负责人；4.收费部全部人员；5.信息安全管理体系审核组成员；6.其他认为需要参加的人员。 第十九条计划每年3月份，原则上应根据高速公路的信息安全工作情况制定管理评审与修订计划，报高速公路信息安全工作主管领导批准后实施。 管理评审计划主要包含以下内容1.目的；2.内容（明确本次评审与修订的重点）；3.工作准备要求；4.参加人员；5.时间安排等。 根据信息安全管理评审与修订计划汇总相关资料，提前发给参加会议的人员，以便大家准备评审与修订意见。 应在评审与修订前10-15天通知高速公路内有关人员做好准备工作。 第二十条内容评审与修订应包含以下内容1.信息安全工作是否符合信息安全方针；2.信息安全工作存在的问题、改进措施及其预期效果；3.信息安全目标的达成程度，如是否符合国家等级保护基本要求，是否满足高速公路的实际需求；4.评估信息安全管理制度变更的需要；5.内部和外部信息安全审核的有关结果及修订措施的实施情况。 管理评审与修订会议应有记录，在会议记录中要标识负责人和完成期限。 第二十一条要求1.注意评审与修订意见的建设性，不仅要找出制度制定、执行中的漏洞，更关键的是要提出客观、科学的建设性意见，要体现遵守相关法律、法规、标准及其他要求。 2.注意制度评审的科学性，评审修订小组成员应具有相应的专业知识和理论水平，要根据国家法律、法规、标准及其他要求进行评审，完善制度。 3.评审与修订过程中需认真负责，工作严谨，且注意文字描述与细节。 第二十二条评审与修订记录表1.将评审与修订会议记录出信息安全管理体系评审与修订记录表；2.信息安全管理体系评审与修订记录表作为信息安全管理制度修订实施的主要依据之一；3.评审与修订表经收费部负责人审批后，发给有关部门并由收费部存档。 第二十三条后续跟踪对于管理体系的评审与修订，由收费部监督指导，制定计划，并组织实施修订，最后将修订结果报高速公路信息安全工作主管领导，经高速公路信息安全工作主管领导批准后实施。 收费部应根据管理评审报告的要求监督、检查落实情况，验证实施情况，并对实施效果作出评价。 第四章记录表单管理程序第二十四条记录的编号参见“第五条文件编号说明”中的相关规定执行。 第二十五条记录的编制记录应按信息安全管理体系文件的要求建立并填写，应记录以下方面的内容。 1.记录项要包含能够反映出违反安全规定，发生安全事件的痕迹的内容；2.应考虑相关法律法规要求；3.1和2以外，由信息安全管理体系管理评审会议中决定的记录项；4.需要记录保留的内容。 各类信息安全活动相关记录的模板由收费部统一编制并使用。 生成记录的时候，各栏目的负责人签名不允许空项。 第二十六条记录的监督、核查1.收费部对信息安全记录进行管理。 2.收费部定期汇总、分析各信息安全管理体系运行记录，并作成总结报告。 第二十七条记录的储存、保管1.记录应保护和管理，以提供符合信息安全管理体系要求和有效运行的证据。 应保留信息安全管理体系建立过程的记录和所有发生的与信息安全管理体系有关的安全事故的记录。 2.记录应存放在适宜的环境，防止损坏、编制和丢失，便于存取和检索；3.对信息安全记录加以有效控制，防治重要记录的遗失，篡改、毁坏和伪造，以满足法律、法规、合同和业务的要求。 4.旧版本或作废文件可视为记录，进行存储和保管。 5.收费部应对所有的记录进行归档，应以不同保持形式（纸质文档、电子文档等）、不同记录的种类，分类存放，以便查阅。 6.对于在计算机上储存的记录应注意防范病毒，必要时利用口令等方式进行权限控制。 7.对于书面文档的记录应设置专门的柜子、架子、文件夹等分类存放。 第二十八条记录的查阅、借阅及复制所有的信息安全记录登记到文件记录一览表中，以方便查阅。 无权查阅记录的人员，如需查阅时须得到收费部负责人的许可、批准。 查阅/借阅信息安全管理体系有关的文件，应填写文件记录查阅/借阅管理表,由收费部审批后方可查阅/借阅。 第二十九条记录的作废收费部对已过保管期的记录文件进行作废处理。 记录的作废必须得到收费部负责人的批准，在进行作废处置之前，应对记录进行确认是否已超过了保管期限；对于超过了保管期限的记录，确认是否任由保存价值。 超过保存期限但仍有保存价值的记录应由收费部做作废保留处理。 确认可作废的记录，收费部应予以统