头头体育app 信息安全管理制度制定与发布
第一章 总 则
第一条 目的
为保证信息安全管理体系运行的各个场所都能使用适宜且版本有效的安全管理制度文件(以下简称为“文件”),并对其进行控制,特制定本制度。
第二条 适用范围
本办法适用于衡阳开大涉及信息系统管理的所有部门,是信息安全管理体系的管理规范。
第三条 职责
文件的编制/修订、审核、批准的负责人如下所述:
(一) 一级文件的编制/修订由技术处负责,审核由衡阳开大的信息化分管领导负责,批准由衡阳开大校长负责。
(二) 二级文件的编制/修订由各安全负责人负责,审核由技术处主任负责,批准由衡阳开大的信息化分管领导负责。
(三) 三级文件的编制/修订由各安全负责人负责,审核由技术处主任负责,批准由衡阳开大的信息化分管领导负责。
(四) 四级文件的管理请参见《记录表单管理办法》。
第四条 文件分类
(一) 一级文件为纲领性文件,是信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、安全框架和安全职责,包括《信息安全工作总体方针》、《信息安全管理机构职责》和《管理制度制定和发布》。
(二) 二级文件为安全管理制度,是安全管理活动中的各类安全管理制度,包括《人员安全管理制度》、《网络安全管理制度》、《主机安全管理制度》和《机房安全管理制度》等。
(三) 三级文件为安全操作规程,是管理人员或操作人员执行的日常管理操作规程,包括《设备操作规程》、《安全设备操作规程》、《数据库操作规程》等。
(四) 四级文件为操作过程记录表单,记录各类安全管理活动的过程和操作。
第五条 文件编号说明
编号遵循通用、简明、易于识别的原则,通常以汉语拼音、拉丁字母、阿拉伯数字等来标识。
(一)一级文件(纲领性文件)
(二)二级文件(安全管理制度)
HYDD-HYDD-L2-ZD-JF-2014
文件属性代码:ZD-JF:为安全管理制度类的机房安全管理制度。
(三)三级文件(安全操作规程)
HYDD-HYDD-L3-GC-WL-2014
文件属性代码:GC-WL:为安全操作规程类的网络设备操作规程。
第六条 文件字体字号
页别 | 文字内容 | 字号与字体 |
封面 | 单位名称 | 黑体小初(加粗) |
文件名称 | 黑体小一(加粗) | |
发布日期,实施日期 | 宋体五号(加粗) | |
编制、审核、批准 | 宋体小四(加粗) | |
文件编号、版本号、分发号、受控状态 | 宋体小三(加粗) | |
目录 | 目录 | 宋体五号 |
文件首页 | 文件名称 | 黑体小初(加粗) |
单位名称 | 宋体(加粗) | |
图题、表题、表中文字 | 宋体五号 | |
正文 | 宋体小四 | |
正文 | 章 | 黑体三号(加粗) |
节 | 黑体四号(加粗) | |
条编号 | 宋体小四 | |
正文 | 宋体小四 | |
图题、表题、表中文字 | 宋体五号 | |
页码 | 宋体小五 |
第二章 制定和发布
第七条 文件的编制
编制者向审核人报告制定制度的目的及初步方案。审核人认可后,编制者根据审核人的指示,编制该文件的初稿。
第八条 文件的审核
审核按以下程序进行
(一) 审核人对初稿进行审核,必要时是可以召开相关人员参加管理制度审查会。
(二) 根据审核人的审核意见,文件编制者对初稿进行修订。
(三) 审核人对文件审核通过后,报批准人批准。
第九条 文件的批准
文件的批准按电子文件进行,批准人对文件的正确性、适用性进行检查后应在文件相应的位置填入批准人的姓名,电子文件需保留批准的证据。
纸质文件需在文件的相应位置由批准人签字或盖章后生效。
第十条 文件的分发
(一) 电子文件分发
为节省成本,文件的分发原则上由文件编制者采用电子文件进行。电子文件的分发需满足以下要求:
电子文件可采用web方式或E-mail方式进行分发;
(二) 纸质文件分发
必要时,文件编制者可采用纸质文件进行分发。纸质文件分发需满足以下要求:
1.分发前需在相应位置标注受控或非受控进行受控管理;
2.分发新文件的同时回收、作为旧版文件。
第十一条 文件的保管
为了便于识别、确保合理地适当地使用文件,应该通过以下的保管措施,对信息安全管理体系文件进行保护和控制。
文件中需要管理的内容有:编制人、编制日、审核人、审核日、修订记录(修订日、版本、修订内容以及理由等)、批准人、批准日、分发范围、文件编号、文件密级、受控状态等。
(一) 电子文件
所有文件由衡阳开大文档室进行统一管理。
(二) 纸质文件
纸质文件需要时由衡阳开大文档室和编制部门负责保管,并经常确认所保管的纸质文件是否为最新版本。文件必须分类并存放在干燥通风、安全的地方;任何人不得在受控文件上乱涂乱改,不准私自外借,确保文件的清晰、易于识别和检索。纸质文件的保存期限原则上为文件新建到文件修订或者作废为止。
第十二条 文件的查阅/借阅
查阅/借阅与信息安全管理体系有关的文件,应填写《文件记录查阅/借阅管理表》,批准后方可查阅/借阅。
第十三条 文件的修订
对文件进行修订时,应由文件修订者向审核人提出修订建议,经文件审核人审核认可后,由文件修订者进行修订,修订后提交审核人审核,审核后由文件批准人对修订后的文件进行批准。
衡阳开大内文件的修订改版按以下程序进行:
1.由文件修订者拟订改版计划并报告文件审核人。
2.文件审核人根据修订内容的重要程度,决定是否实施改版。
3.必要时文件审核人召开文件审查会,与相关人员对文件进行审查。在文件的审查会上,文件修订者说明改版内容并和与会人员达成共识。
4.文件修订者根据修订改版意见修订文件,并将更新内容明确记载在改版履历中。
5.文件审核人对文件进行审核,报批准人批准后新版文件即可分发。
6.根据修订内容的影响程度,对有关部门进行改版教育。每次的贯彻方法有文件审核人决定,并委托相关人员实施。
第十四条 文件的作废
文件作废的信息需通知该文件的所有分发对象,并由信息安全部或委托分发对象进行作废处理。作废的手段为:
1.纸质文件:需用碎纸机粉碎。
2.电子文件:需将该作废文件删除,并清空垃圾箱。
文件作废是要填写《文件记录作废管理表》,进行严格控制并及时处理,以防止因误用引起的信息安全事件。
第十五条 外来文件的控制
对外来文件进行标记和编号,分类归档,确保外来文件得到识别。
第十六条 文件评审
必要时文件应按照本程序“第十三条”进行评审修订,包括:
1.定期评审:每年1次由编制部门负责召集相关人员进行评审。
2.临时评审:信息安全管理体系的外部环境变化时,由编制部门临时召集相关人员进行评审。
评审内容:
1.文件格式(编号、分类、字体等)是否根据规定进行;
2.信息安全相关的操作程序部分;
3.法律法规相关部分;
4.编制部门判断有必要进行评审的其他内容。
第三章 附 则
第十七条 本办法由头头体育app负责解释。
第十八条 本办法自印发之日起执行。