展开文章目录
文章目录
  1. 第一章  目的
  2. 第二章 范围
  3. 第三章  职责
  4. 第四章  管理细则
  5. 第五章 评审和修订
  6. 附表:见附件

本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第一章  目的

第一条 为规范重庆 XX 中学信息安全管理体系文件的制订、修订及评审,特制定本制度。

第二章 范围

第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

第三章  职责

第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第四章  管理细则

第四条 体系文件生命周期流程

体系文件流程图
图 1 体系文件流程图,附件中本图可修改

第五条 体系文件策划

  1. 信息安全工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT  22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 27001:2005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理体系文件的架构,并形成《重庆 XX 中学信息安全管理体系文件框架》(以下简称“文件框架”)。
  2. 信息安全工作小组将制定的文件框架汇报给信息安全领导小组,信息安全领导小组对文件框架进行审批确认。

第六条 体系文件架构与编写

  1. 信息安全工作小组根据审批后的文件框架及清单,负责组织编写各级文件。
  2. 总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《系统建设管理》、《物理与环境安全管理》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。
  3. 其中总体策略类文件由信息安全领导小组署名,其他类文件由编写人署名。
  4. 编写完成的文档需先经过各相关部门的初审,然后由信息安全工作小组进行评审,最后由信息安全领导小组进行批准定稿。

第七条 体系文件标识及编写规范

  1. 文件的编码方式如下:“重庆 XX 中学”拼音字母(CSZMGLJ)+“体系文件序号码-文件名称-版本号”如:《CSZMGLJ03- 信息安全领导机构组成与职责-V1.0》,“CSZMGLJ 03”表示重庆 XX 中学和第 3 个管理文件(如出现 CSZMGLJ 03.1,则表示为体系文件中第 3 个文件的第一个配套的过程表单), “信息安全领导机构组成与职责”为体系文件名称, “V1.0”代表文件版本号。
  2. 体系文件借鉴 ISO/27001 标准要求,总体策略、程序规范、记录文件,各类文件级别示意如下:
    • 1级文件------------ 总方针、总策略
    • 2级文件------------ 管理制度与操作规范
    • 3 级文件------------ 记录、表单
  3. 文件序号码由阿拉伯数字按从小到大顺序组成,整个安全管理体系文件统一编码。
  4. 文件版本
    • 文件经过修改后需更换版本。使用 1、2、3、4…表示文件的版本,用 0、1、2、3…表示修改的次数。如: 1-- 表示第一版;2--表示第二版;3--表示第三版…
    • 0--未经过修改;1—修改过第一次;2—修改过第二次…以此类推。则 2.1 表示第二版本修改过一次的文件。
    • 文件的每次修改,以修改次数来表示,当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。
    • 文件不需要每次修改后重新发布,但如版本发生变化(如从 ver1.3 变成 ver2.0)时需要重新发布。

第五章 评审和修订

第八条 信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:

  1. 信息安全工作小组发起对体系文件的评审申请,信息安全领导小组审核确认后批准评审要求。
  2. 信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
  3. 各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估文件有效性和充分性。
  4. 如果修改的内容只涉及网络安全办公室,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
  5. 如果修改的内容涉及到网络安全办公室以外的部门, 需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。
  6. 修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
  7. 信息安全工作小组最终对评审结果向信息安全领导 小组进行汇报。
  8. 在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》,由信息安全工作小组审批后,报信息安全领导小组进行审批。
  9. 信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《重庆 XX 中学信息安全制度汇编》进行更新。

附表:见附件

  1. 体系文件作废申请表
  2. 制度文件修订记录
  3. 制度文件评审记录

相关文章

  • 信息系统的系统交付管理

    信息系统的系统交付管理

    第一章 目的 第一条 为规范重庆XX中学系统建设管理和工程实施管理过程中的系统交付管理,特制订本管理办法。 第二章 范围 第二条 本规范适用于重庆XX中学项目管理、工程管理过程中的系统交付管理,对项目管理和工程管理过 程中的系统交付管理环节进行规范和约定。 第三章 职责 第三条 网络安全办公室负责项目类系统交付管理,办公室负责单一采购类系统交付管理。 第四章 管理细则 第四条 系统建设完成后,项目承建方要依据项目合同的交付部分向网络安全办公室进行项目交付,交付的内容至少包括:

  • Web 应用防护系统是什么?该怎么预防 Web 攻击

    Web 应用防护系统是什么?该怎么预防 Web 攻击

    大数据平台采用先进的多维防护体系,对 HTTP 数据流进行深度分析。通过对 WEB 应用安全的深入研究,固化了一套针对 WEB 攻击防护的专用特征规则库,规则涵盖诸如 SQL 注入、XSS(跨站脚本攻击)等 OWASP TOP10 中的 WEB 应用安全风险,及远程文件包含漏洞利用、目录遍历、OS 命令注入等当今黑客常用的针对 WEB 基础架构的攻击手段。 对于 HTTP 数据包内容具有完全的访问控制权限,检查所有经过网络的 HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,就会对内外…

  • 奇安信天擎终端安全管理系统(企业版杀毒软件)

    奇安信天擎终端安全管理系统(企业版杀毒软件)

    奇安信天擎终端安全管理系统(简称“天擎”)是注重实效的一体化终端安全解决方案,通过“体系化防御、数字化运营”方法,帮助政企客户准确识别、保护和监管终端,并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务。天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。

  • 网络安全保障与运维服务项目的技术要求和服务标准

    网络安全保障与运维服务项目的技术要求和服务标准

    近年来随着网络安全威胁的日趋严重,网络安全愈来愈受到政府企事业单位的重视,同时网络安全运维也算是一个更广为人知的服务项目,本文分享之案例来源于公开挂网的真实案例。 本项目依据《中华人民共和国网络安全法》和《渝交执法﹝2018﹞162 号》等相关法律法规,按照行业标准和规范要求,强化单位内部网络安全防护建设,并确保高效、稳定的运行维护。主要任务聚焦于加强“单位内部及终端设备网络安全”的防护建设与管理运维,致力于提升单位内部运维效率,改造现有终端设备,强化安全保障措施,并实现入侵预警功能。项目将构建…

  • GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南.pdf

    GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南.pdf

    随着数字化时代的加速发展,网络安全问题日益严峻,信息系统的安全防护已成为国家、企业及个人共同关注的重点。为了规范和指导我国各类信息系统开展网络安全等级保护工作,《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)应运而生。该标准由中国电子技术标准化研究院牵头制定,于 2019 年正式发布并实施,是落实《网络安全法》中关于网络安全等级保护制度的重要技术支撑文件。该指南为不同等级的信息系统提供了从定级、备案、建设整改到等级测评的全过程实施路径,具有高度的实用性和指导性。 本标…

  • 实训室电脑终端管控(智慧实训终端安全)

    实训室电脑终端管控(智慧实训终端安全)

    PC 管控系统主要是通过对实验室 PC 机进行统一管理,以达到对学生上机状况全程监控及实验室和实验设备使用情况进行全面管控,PC 管控系统主要包含:PC 机管理、终端行为管控、计算机状态监测、数据统计、分析等。如图: 1. PC 机管理 PC 机终端管理支持简易模式、预约模式、限制模式等多种管理模式。 2. 终端行为管控 终端行为管控主要针对学生机的管理,主要对学生的上机过程进行全面管控:主要包含:终端机锁屏与解锁、学生上机过程监管、PC 机运行状态监测、故障上报、呼叫教师机功能、学生机截屏、计…

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:9:00~18:30,工作日

微信客服