本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第一章  目的

第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。

第二章    范围

第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

第三章  职责

第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第四章  管理细则

第四条 体系文件生命周期流程

体系文件流程图
图 1 体系文件流程图,附件中本图可修改

第五条 体系文件策划

  1. 信息安全工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT  22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 27001:2005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理体系文件的架构,并形成《重庆 XX 中学信息安全管理体系文件框架》(以下简称“文件框架”)。
  2. 信息安全工作小组将制定的文件框架汇报给信息安全领导小组,信息安全领导小组对文件框架进行审批确认。

第六条 体系文件架构与编写

  1. 信息安全工作小组根据审批后的文件框架及清单,负责组织编写各级文件。
  2. 总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《系统建设管理》、《物理与环境安全管理》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。
  3. 其中总体策略类文件由信息安全领导小组署名,其他类文件由编写人署名。
  4. 编写完成的文档需先经过各相关部门的初审,然后由信息安全工作小组进行评审,最后由信息安全领导小组进行批准定稿。

第七条 体系文件标识及编写规范

  1. 文件的编码方式如下:“重庆 XX 中学”拼音字母(CSZMGLJ)+“体系文件序号码-文件名称-版本号”如:《CSZMGLJ03- 信息安全领导机构组成与职责-V1.0》,“CSZMGLJ 03”表示重庆 XX 中学和第 3 个管理文件(如出现 CSZMGLJ 03.1,则表示为体系文件中第 3 个文件的第一个配套的过程表单), “信息安全领导机构组成与职责”为体系文件名称, “V1.0”代表文件版本号。
  2. 体系文件借鉴 ISO/27001 标准要求,总体策略、程序规范、记录文件,各类文件级别示意如下:
    • 1级文件------------ 总方针、总策略
    • 2级文件------------ 管理制度与操作规范
    • 3 级文件------------ 记录、表单
  3. 文件序号码由阿拉伯数字按从小到大顺序组成,整个安全管理体系文件统一编码。
  4. 文件版本
    • 文件经过修改后需更换版本。使用 1、2、3、4…表示文件的版本,用 0、1、2、3…表示修改的次数。如: 1-- 表示第一版;2--表示第二版;3--表示第三版…
    • 0--未经过修改;1—修改过第一次;2—修改过第二次…以此类推。则 2.1 表示第二版本修改过一次的文件。
    • 文件的每次修改,以修改次数来表示,当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。
    • 文件不需要每次修改后重新发布,但如版本发生变化(如从 ver1.3 变成 ver2.0)时需要重新发布。

第五章    评审和修订

第八条 信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:

  1. 信息安全工作小组发起对体系文件的评审申请,信息安全领导小组审核确认后批准评审要求。
  2. 信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
  3. 各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估文件有效性和充分性。
  4. 如果修改的内容只涉及网络安全办公室,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
  5. 如果修改的内容涉及到网络安全办公室以外的部门, 需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。
  6. 修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
  7. 信息安全工作小组最终对评审结果向信息安全领导 小组进行汇报。
  8. 在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》,由信息安全工作小组审批后,报信息安全领导小组进行审批。
  9. 信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《重庆 XX 中学信息安全制度汇编》进行更新。

附表:见附件

  1. 体系文件作废申请表
  2. 制度文件修订记录
  3. 制度文件评审记录
目 录
  1. 第一章  目的
  2. 第二章    范围
  3. 第三章  职责
  4. 第四章  管理细则
  5. 第五章    评审和修订
  6. 附表:见附件

相关文章

  • 信息系统工程实施管理

    信息系统工程实施管理

    第一章 目的 第一条 为了规范重庆 XX 中学信息系统建设管理和工程实施管理,在工程实施各个环节按照信息安全等级保护要求进行管理,特制定本管理规范。 第二章 范围 第二条 本规范适用于重庆 XX 中学信息系统建设管理和工程实施管理。 第三章 职责 第三条 网络安全办公室负责系统建设管理和工程实施管理。 第四章 管理细则 第四条 工程实施阶段的主要目的是将所有的模块(软硬件)集成为完整的系统,并且检查确认集成以后的系统符合要求。 第五条 本阶段应完成以下具体信息安全工作: 第六条 安全建设整改工程…

  • 信息系统的系统交付管理

    信息系统的系统交付管理

    第一章 目的 第一条 为规范重庆 XX 中学系统建设管理和工程实施管理过程中的系统交付管理,特制订本管理办法。 第二章 范围 第二条 本规范适用于重庆 XX 中学项目管理、工程管理过程中的系统交付管理,对项目管理和工程管理过 程中的系统交付管理环节进行规范和约定。 第三章 职责 第三条 网络安全办公室负责项目类系统交付管理,办公室负责单一采购类系统交付管理。 第四章 管理细则 第四条 系统建设完成后,项目承建方要依据项目合同的交付部分向网络安全办公室进行项目交付,交付的内容至少包括:

  • 系统运维保密协议,科技装设备维护服务保密协议

    系统运维保密协议,科技装设备维护服务保密协议

    甲方:重庆市 x 乙方:重庆众平科技有限公司 受甲方委托,乙方对委托的 XXXX2023 年度科技装设备进行维护服务,为了促进双方合作,依据《中华人民共和国合同法》的规定并经双方经友好协商,签订如下协议(以下简称本协议)。 1.乙方不得在维护服务中获取非甲方提供的保密信息,乙方不得将甲方的保密信息透露给任何第三方,而应尽力避免由于疏忽将保密信息披露给任何第三方,所使用的计算机必须坚持“专网专用”、“专机专用”的原则,实行“谁管理、谁负责”、“谁使用、谁负责”的安全责任制,严禁私自将自带笔记本电脑…

  • 视频防泄密安全防护解决方案

    视频防泄密安全防护解决方案

    视频防泄密,即类似于视频网闸的功能,以下方案文档基于金盾,若有需要请联系相关厂商。本例提供综合化安全防护方案,前端防护层面,对网络内接入的各类设备进行识别、过滤、阻断,确保接入视频监控网络设备的合法性和安全性,对运行中的设备进行实时监控,利用独有的感知发现技术,及时发现网络中伪冒、入侵、异常的设备。数据防护层面是基于视频数据的整个生命周期,从对视频数据存储的访问安全控制、使用管控到事后的溯源追责,为用户提供整套的视频数据安全防护解决方案。 1、前端接入层防护 1.1 准入控制 新一代准入控制技术…

  • 信息系统的工程测试验收管理

    信息系统的工程测试验收管理

    为规范重庆 XX 中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。 第一章 目的 第一条 为规范重庆 XX 中学系统建设和工程项目测试验收准则,特制订本管理制度。 第二章 范围 第二条 本制度适用于重庆 XX 中学系统建设或信息工程类项目的测试和验收管理。 第三章 职责 第三条 信息系统建设和其他信息系统工程类项目的…

  • 恶意代码防范管理制度

    恶意代码防范管理制度

    本管理办法适用于重庆 XX 中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 第一章 目的 第一条 为加强对计算机病毒的预防和治理,保护信息系统安全,根据公安部《计算机病毒防治管理办法》以及有关计算机病毒防治的规定,制定本办法。 第二章 范围 第二条 本管理办法适用于重庆 XX 中学所有服务器和终端操作系统。本办法所称的计算机病毒是指编制或者在计算机程序中插入的破坏计算机功…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信