文件评审及发布制度，信息安全制度

本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。

第一章目的

第一条为规范重庆XX中学信息安全管理体系文件的制订、修订及评审，特制定本制度。

第二条本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

第三条由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护，包括制订、修订和评审，由信息安全领导小组负责体系文件的批准、发布和作废。

第四条体系文件生命周期流程

第五条体系文件策划

信息安全工作小组组织相关人员，根据《信息安全技术信息系统安全等级保护基本要求（GBT 22239-2008）》、《信息安全技术信息系统安全管理要求（GBT 20269-2006）》、《ISO/IEC 27001：2005 信息安全管理体系》的要求，结合实际的职责和工作流程，策划制定信息安全管理体系文件的架构，并形成《重庆XX中学信息安全管理体系文件框架》（以下简称“文件框架”）。
信息安全工作小组将制定的文件框架汇报给信息安全领导小组，信息安全领导小组对文件框架进行审批确认。

第六条体系文件架构与编写

信息安全工作小组根据审批后的文件框架及清单，负责组织编写各级文件。
总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》，它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《系统建设管理》、《物理与环境安全管理》等管理标准文件，主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档，是整个安全管理体系有效执行和落地的主要手段，也是安全管理体系的过程记录，可做为对外的信息安全质量保证。
其中总体策略类文件由信息安全领导小组署名，其他类文件由编写人署名。
编写完成的文档需先经过各相关部门的初审，然后由信息安全工作小组进行评审，最后由信息安全领导小组进行批准定稿。

第七条体系文件标识及编写规范

文件的编码方式如下：“重庆XX中学”拼音字母（CSZMGLJ）+“体系文件序号码-文件名称-版本号”如：《CSZMGLJ03- 信息安全领导机构组成与职责-V1.0》，“CSZMGLJ 03”表示重庆XX中学和第3 个管理文件（如出现CSZMGLJ 03.1，则表示为体系文件中第 3 个文件的第一个配套的过程表单）， “信息安全领导机构组成与职责”为体系文件名称， “V1.0”代表文件版本号。
体系文件借鉴 ISO/27001 标准要求，总体策略、程序规范、记录文件，各类文件级别示意如下：
- 1级文件———— 总方针、总策略
- 2级文件———— 管理制度与操作规范
- 3级文件———— 记录、表单
文件序号码由阿拉伯数字按从小到大顺序组成，整个安全管理体系文件统一编码。
文件版本
- 文件经过修改后需更换版本。使用 1、2、3、4…表示文件的版本，用 0、1、2、3…表示修改的次数。如： 1– 表示第一版；2–表示第二版；3–表示第三版…
- 0–未经过修改；1—修改过第一次；2—修改过第二次…以此类推。则 2.1 表示第二版本修改过一次的文件。
- 文件的每次修改，以修改次数来表示，当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。
- 文件不需要每次修改后重新发布，但如版本发生变化（如从ver1.3 变成 ver2.0）时需要重新发布。

第八条信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下：