本制度由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第一章  目的

第一条 为规范重庆XX中学信息安全管理体系文件的制订、修订及评审,特制定本制度。

第二章    范围

第二条 本管理规范适用于信息安全领导小组和工作小组对信息安全管理体系文件的维护管理。

第三章  职责

第三条 由信息安全工作小组的主体部门网络安全办公室负责信息安全管理体系文件的维护,包括制订、修订和评审,由信息安全领导小组负责体系文件的批准、发布和作废。

第四章  管理细则

第四条 体系文件生命周期流程

体系文件流程图
图 1 体系文件流程图,附件中本图可修改

第五条 体系文件策划

  1. 信息安全工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT  22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 27001:2005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理体系文件的架构,并形成《重庆XX中学信息安全管理体系文件框架》(以下简称“文件框架”)。
  2. 信息安全工作小组将制定的文件框架汇报给信息安全领导小组,信息安全领导小组对文件框架进行审批确认。

第六条 体系文件架构与编写

  1. 信息安全工作小组根据审批后的文件框架及清单,负责组织编写各级文件。
  2. 总策略文件为《信息安全方针与安全策略》、《信息安全领导机构组成与职责》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《系统建设管理》、《物理与环境安全管理》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。
  3. 其中总体策略类文件由信息安全领导小组署名,其他类文件由编写人署名。
  4. 编写完成的文档需先经过各相关部门的初审,然后由信息安全工作小组进行评审,最后由信息安全领导小组进行批准定稿。

第七条 体系文件标识及编写规范

  1. 文件的编码方式如下:“重庆XX中学”拼音字母(CSZMGLJ)+“体系文件序号码-文件名称-版本号”如:《CSZMGLJ03- 信息安全领导机构组成与职责-V1.0》,“CSZMGLJ 03”表示重庆XX中学和第3 个管理文件(如出现CSZMGLJ 03.1,则表示为体系文件中第 3 个文件的第一个配套的过程表单), “信息安全领导机构组成与职责”为体系文件名称, “V1.0”代表文件版本号。
  2. 体系文件借鉴 ISO/27001 标准要求,总体策略、程序规范、记录文件,各类文件级别示意如下:
    • 1级文件———— 总方针、总策略
    • 2级文件———— 管理制度与操作规范
    • 3级文件———— 记录、表单
  3. 文件序号码由阿拉伯数字按从小到大顺序组成,整个安全管理体系文件统一编码。
  4. 文件版本
    • 文件经过修改后需更换版本。使用 1、2、3、4…表示文件的版本,用 0、1、2、3…表示修改的次数。如: 1– 表示第一版;2–表示第二版;3–表示第三版…
    • 0–未经过修改;1—修改过第一次;2—修改过第二次…以此类推。则 2.1 表示第二版本修改过一次的文件。
    • 文件的每次修改,以修改次数来表示,当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。
    • 文件不需要每次修改后重新发布,但如版本发生变化(如从ver1.3 变成 ver2.0)时需要重新发布。

第五章    评审和修订

第八条 信息安全工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:

  1. 信息安全工作小组发起对体系文件的评审申请,信息安全领导小组审核确认后批准评审要求。
  2. 信息安全工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。
  3. 各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估文件有效性和充分性。
  4. 如果修改的内容只涉及网络安全办公室,则由信息安全工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。
  5. 如果修改的内容涉及到网络安全办公室以外的部门, 需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。
  6. 修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全工作小组,由信息安全工作小组进行标识和保存。
  7. 信息安全工作小组最终对评审结果向信息安全领导 小组进行汇报。
  8. 在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写《体系文件作废申请表》,由信息安全工作小组审批后,报信息安全领导小组进行审批。
  9. 信息安全领导小组审批完成后,信息安全工作小组负责通知所有相关人员,并对《重庆XX中学信息安全制度汇编》进行更新。

附表:见附件

  1. 体系文件作废申请表
  2. 制度文件修订记录
  3. 制度文件评审记录

相关文章

  • 安全服务内容有哪些?信息安全运维服务建设方案

    安全服务内容有哪些?信息安全运维服务建设方案

    网络安全服务对保障系统正常运行有重要的意义,通过完整的网络安全服务,可以使我们对自己的信息资产更加了解,发现脆弱点及风险点,有针对性的进行整改,封堵已存在的漏洞,更新系统的重要补丁,加强整体安全态势;针对已经发现的威胁,能够早发现早处理,防止威胁横向扩散,造成更大影响;针对可能存在的威胁,通过加强安全意识,降低风险发生概率,通过日志行为分析,发现可疑行为,及早进行处理,从而整体提高网络安全水平,保障业务系统不会被入侵,能够正常运行。 本次分享一个简单的、明确的、实用的网络安全服务方案模板,涉及到…

  • 双网隔离方案简单介绍(办公电脑双网隔离卡)

    双网隔离方案简单介绍(办公电脑双网隔离卡)

    在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不安全环境的绝对隔离,以保证内部机密信息的安全。同时通过桌面切换软件,在保存工作现场的同时快速的在内外网之间切换,既保障了内外网的物理隔离,又保证了用户工作的流畅性。 1 双网隔离系统总体方案 2 双网隔离系统实现目标 3 双网隔离系统实施要点 在本方案中介绍使用的双网隔离卡只需增加一块硬盘,即可将一台普通计算机分成两台虚拟计算机,分别连接内部网或外部网,实现安全环境和不…

  • 机房动环监测系统解决方案

    机房动环监测系统解决方案

    IDC(Internet Data Center) – 数据中心,它是传统的数据中心与Internet的结合,它除了具有传统的数据中心所具有的特点外,如数据集中、主机运行可靠等,还应具有访问方式的变化、要做到7×24服务、反应速度快等。IDC是一个提供资源外包服务的基地,它应具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、软件环境以及优秀的服务性能。 IDC机房内拥有大量的服务器、网络设备、供电设备、制冷设备、消防设备等对这些设备如何进行…

  • 大数据信息系统中的数据加密、数据完整性和可用性保护

    大数据信息系统中的数据加密、数据完整性和可用性保护

    大数据平台对数据进行加密存储,实现无明文存储,避免明文带来的数据泄露等安全风险。 实现数据的透明加解密,在集群中数据写入时自动对数据进行加密、数据读取时自动对数据进行解密,数据离开集群环境后是密文,没有秘钥的情况下不能解密。一方面在集群环境中对应用程序实现透明加解密方便上层应用的开发,减少上层应用处理加解密带来的额外负担和安全风险;另一方面对数据起到保护作用,数据一旦离开集群环境就不能访问到秘钥因此无法解密出明文。 对于高密级的数据,可以设置多次加密和解密授权。通过不同的秘钥和加密算法对数据进行…

  • 信息系统的工程测试验收管理

    信息系统的工程测试验收管理

    为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。本制度适用于系统建设或信息工程类项目的测试和验收管理。信息系统建设和其他信息系统工程类项目的测试和验收主要由网络安全办公室负责,必要的时候可协调相关科室使用人员参与测试和验收。 第一章 目的 第一条 为规范重庆XX中学系统建设和工程项目测试验收准则,特制订本管理制度。 第二章 范围 第二条 本制度适用于重庆XX中学系统建设或信息工程类项目的测试和验收管理。 第三章 职责 第三条 信息系统建设和其他信息系统工程类项目的测试和验收主…

  • 什么是主机安全,主机安全未来的发展方向

    什么是主机安全,主机安全未来的发展方向

    在讨论主机安全之前,先说说主机安全对于我国有多重要。我国的信息安全经过二十多年的建设,在防病毒、网络和边界安全方面到得了一定成果,而主机环境安全建设却相对较薄弱,主机是信息安全最重要,也是最后一门防线,再加上美国采用贸易壁垒的方式来限制高安全等级的产品买到中国,加剧了我国主机安全建设的难度。 1 什么是主机安全? 随着云技术的发展,现在各大银行、大小企业和政府都在频繁使用云技术,在这些领域,安全显然是一个非常重要的因素。云主机作为数据存储的场所,正面临着黑客不断入侵的威胁,那么主机安全是什么? …

- 联 系 我 们 -

+86 186-2315-0440

在线咨询:点击这里给我发消息

电子邮箱:i@zzptech.com

工作时间:7*24h,全年无休

关注微信