本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第一章  目的

第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。

第二章 范围

第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

第三章  职责

第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第四章  管理细则

第四条 体系文件生命周期流程

体系文件流程图
图 1 体系文件流程图,附件中本图可修改

第五条 体系文件策划

  1. 信息安全工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT  22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 27001:2005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理体系文件的架构,并形成《重庆 XX 中学信息安全管理体系文件框架》(以下简称“文件框架”)。
  2. 信息安全工作小组将制定的文件框架汇报给信息安全领导小组,信息安全领导小组对文件框架进行审批确认。

第六条 体系文件架构与编写

  1. 信息安全工作小组根据审批后的文件框架及清单,负责组织编写各级文件。
  2. 总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《系统建设管理》、《物理与环境安全管理》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。
  3. 其中总体策略类文件由信息安全领导小组署名,其他类文件由编写人署名。
  4. 编写完成的文档需先经过各相关部门的初审,然后由信息安全工作小组进行评审,最后由信息安全领导小组进行批准定稿。

第七条 体系文件标识及编写规范

  1. 文件的编码方式如下:“重庆 XX 中学”拼音字母(CSZMGLJ)+“体系文件序号码-文件名称-版本号”如:《CSZMGLJ03- 信息安全领导机构组成与职责-V1.0》,“CSZMGLJ 03”表示重庆 XX 中学和第 3 个管理文件(如出现 CSZMGLJ 03.1,则表示为体系文件中第 3 个文件的第一个配套的过程表单), “信息安全领导机构组成与职责”为体系文件名称, “V1.0”代表文件版本号。
  2. 体系文件借鉴 ISO/27001 标准要求,总体策略、程序规范、记录文件,各类文件级别示意如下:
    • 1级文件------------ 总方针、总策略
    • 2级文件------------ 管理制度与操作规范
    • 3 级文件------------ 记录、表单
  3. 文件序号码由阿拉伯数字按从小到大顺序组成,整个安全管理体系文件统一编码。
  4. 文件版本
    • 文件经过修改后需更换版本。使用 1、2、3、4…表示文件的版本,用 0、1、2、3…表示修改的次数。如: 1-- 表示第一版;2--表示第二版;3--表示第三版…
    • 0--未经过修改;1—修改过第一次;2—修改过第二次…以此类推。则 2.1 表示第二版本修改过一次的文件。
    • 文件的每次修改,以修改次数来表示,当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。
    • 文件不需要每次修改后重新发布,但如版本发生变化(如从 ver1.3 变成 ver2.0)时需要重新发布。

第五章 评审和修订

第八条 信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:

  1. 信息安全工作小组发起对体系文件的评审申请,信息安全领导小组审核确认后批准评审要求。
  2. 信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
  3. 各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估文件有效性和充分性。
  4. 如果修改的内容只涉及网络安全办公室,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
  5. 如果修改的内容涉及到网络安全办公室以外的部门, 需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。
  6. 修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
  7. 信息安全工作小组最终对评审结果向信息安全领导 小组进行汇报。
  8. 在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》,由信息安全工作小组审批后,报信息安全领导小组进行审批。
  9. 信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《重庆 XX 中学信息安全制度汇编》进行更新。

附表:见附件

  1. 体系文件作废申请表
  2. 制度文件修订记录
  3. 制度文件评审记录
展开文章目录
文章目录
  1. 第一章  目的
  2. 第二章 范围
  3. 第三章  职责
  4. 第四章  管理细则
  5. 第五章 评审和修订
  6. 附表:见附件

相关文章

  • 信息安全检查和审核管理

    信息安全检查和审核管理

    为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第一章 目的 第一条  为形成信息安全检查和审核长效机制,提高重 庆市城市照明管理局全体职工信息安全意识,特制订本规范。 第二章 范围 第二条 本管理制度适用于重庆XX中学在信息安全管理过程中的周期信息安全检查和审核管理。 第三章 职责 第三条 网络安全办公室负责协调,网络安全办公室安全管理员负责常规的信息系统安全检查和记录。信息安全工作小组负责对重庆XX中学在信息系统安全抽查, 并由网络…

  • 监控中心管理制度、监控室管理制度模板

    监控中心管理制度、监控室管理制度模板

    本《监控中心管理制度》是我司此前应用与一普通中学的弱电工程项目中,系作为机房建设服务内容的一部分(本项目中监控室和网络机房共用一室)。监控中心管理制度通用性强,适合各种应用环境,内容不多不少做一块挂墙的展板刚刚合适,各位同行可结合实际做一定的修改。 结合个人经验,我们认为再好的物理、设备环境,如果缺失了对应的管理制度,那么这个系统都不堪一击,要么逐渐臃肿失控,要么被攻击控制。 学校监控中心是学校视频监控系统、安防系统、网络系统的控制中心,为了加强管理,确保各系统的正常使用和安全运作,充分发挥其作…

  • 信息系统的工程测试验收管理

    信息系统的工程测试验收管理

    为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。 第一章 目的 第一条 为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。 第二章 范围 第二条 本制度适用于重庆XX中学系统建设或信息工程类项目的测试和验收管理。 第三章 职责 第三条 信息系统建设和其他信息系统工程类项目的测试和验收主…

  • 信息安全领导机构组成与职责

    信息安全领导机构组成与职责

    本系列文章来自于此前的真实项目案例,是一个学校安全系统建设中部分服务的内容,是给该单位的一套《安全制度汇编》,本篇文章信息安全领导机构组成与职责,适用于一般单位的信息安全机构建立。原文档见附件。 第一章 目的 第一条 为更好的实现对重庆XX中学信息系统的安全管理,促进各项制度、措施的落实,经领导研究决定成立以信息安全领导小组为管理机构、信息安全工作小组为执行机构的组织架构,负责重庆XX中学信息安全建设及防护。 第二章 范围 第二条 本标准针对重庆XX中学信息安全组织建设相关事务,规定了组织框架和…

  • 信息系统安全操作规程

    信息系统安全操作规程

    第一章 维护人员 第一条 信息设备严禁非法关机,严禁在未关机的情况下直接断开电源开关。 第二条 信息设备开机后,检查各功能指示正常,系统无报警提示;否则应查找故障原因,直至故障排除。 第三条 系统设置严格遵循各信息系统操作说明,禁止不安说明操作;当与操作说明有出入,需要咨询相关供应商技术支持人员确认后方可操作。 第四条 禁止删除需要保留的信息,需要删除某项关键信息或数据时,必须得到许可,必要时进行信息备份。 第五条 禁止在未经许可的情况下修改或透露信息系统中的信息和数据。 第六条 发生信息系统故…

  • 实训室电脑终端管控(智慧实训终端安全)

    实训室电脑终端管控(智慧实训终端安全)

    PC管控系统主要是通过对实验室PC机进行统一管理,以达到对学生上机状况全程监控及实验室和实验设备使用情况进行全面管控,PC管控系统主要包含:PC机管理、终端行为管控、计算机状态监测、数据统计、分析等。如图: 1 PC机管理 PC机终端管理支持简易模式、预约模式、限制模式等多种管理模式。 2 终端行为管控 终端行为管控主要针对学生机的管理,主要对学生的上机过程进行全面管控:主要包含:终端机锁屏与解锁、学生上机过程监管、PC机运行状态监测、故障上报、呼叫教师机功能、学生机截屏、计时提醒、行为管控等。…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服