字?jǐn)?shù) 3610閱讀 760評論 0贊 3

《xxxx安全管理制度匯編》****

制度管理辦法****

目錄****

??編制說明?**3**??

??第一章總則?**4**??

??第二章安全管理制度分類?**4**??

??第三章安全管理制度制定?**5**??

??第一節(jié)安全管理制度的制定權(quán)限 5??

??第二節(jié)安全管理制度的制定要求 5??

??第三節(jié)安全管理制度的命名要求 5??

??第四章安全管理制度發(fā)布?**6**??

??第五章安全管理制度修改與廢止?**6**??

??第六章安全管理制度監(jiān)督和檢查?**7**??

??第七章附則?**8**??

??第一節(jié)文擋信息 8??

??第二節(jié)版本控制 8??

??第三節(jié)其他信息 8??

**編制說明**

為進(jìn)一步貫徹黨中央和國務(wù)院批準(zhǔn)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》及其“重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全”的思想、貫徹信息產(chǎn)業(yè)部“積極預(yù)防、及時發(fā)現(xiàn)、快速反應(yīng)、確保恢復(fù)”的方針和“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的要求，特制定本 制度 。

本 制度 依據(jù)我國信息安全的有關(guān)法律法規(guī)，結(jié)合 xxxx的自身業(yè)務(wù)特點(diǎn) 、并參考國際有關(guān)信息安全標(biāo)準(zhǔn)制定的。

《**xxxx安全管理制度匯編—**制度管理辦法》?是規(guī)范信息安全制度的重要文檔，文檔中涉及制度包括中心層面的和處室層面的安全制度。信息安全管理部門負(fù)責(zé)組織安全制度的制定、并負(fù)責(zé)安全制度的監(jiān)督落實、更新和廢除。各處室信息安全維護(hù)組織負(fù)責(zé)組織本處室安全制度的制定、并負(fù)責(zé)本處室安全制度的發(fā)布、監(jiān)督落實、更新和廢除。

第一條?制度目標(biāo)：?為了加強(qiáng)信息安全保障能力，建立健全安全管理體系，提高整體的網(wǎng)絡(luò)與信息安全水平， 保證網(wǎng)絡(luò)通信暢通和 業(yè)務(wù) 系統(tǒng)的正常運(yùn)營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量， 在安全體系框架下，本制度為規(guī)范安全制度的制定、發(fā)布、修改、廢止、檢查和監(jiān)督落實，建立科學(xué)、嚴(yán)謹(jǐn)?shù)墓芾磙k法。

第二條?適用范圍：?本 制度適用于xxxx安全管理組織。

第三條?制度相關(guān)性：?本 制度涉及所有安全制度自身的所有生命周期內(nèi)容，同時遵照相關(guān)文件、文檔管理制度。

第四條 xxxx的安全管理制度，分為11個類別：

（一） IT治理，定義IT工作總則，IT組織、IT規(guī)劃、IT決策、信息安全目標(biāo)等方面

（二） 人員管理，主要定義IT人員的崗位職責(zé)、人員任免、勞動紀(jì)律、關(guān)鍵技術(shù)崗位人員管理、考核與問責(zé)、輪換與休假、培訓(xùn)等方面的管理，包括本單位職工及第三方外包人員管理

（三） IT運(yùn)維，內(nèi)容涵蓋運(yùn)維管理組織體系、機(jī)房和運(yùn)行環(huán)境管理、機(jī)房值班、日常運(yùn)維、災(zāi)難備份、應(yīng)急預(yù)案及演練、故障處理與責(zé)任追究等管理內(nèi)容，以及系統(tǒng)變更上線、應(yīng)急處理、安全事件處理等。

（四） 數(shù)據(jù)和檔案，數(shù)據(jù)和技術(shù)檔案的分類、組織體系、備份和保存等管理

（五） 安全管理，明確安全管理組織架構(gòu)及職責(zé)、日常監(jiān)控管理、介質(zhì)管理、計算機(jī)病毒防護(hù)管理、安全補(bǔ)丁管理、權(quán)限管理和審批、密碼管理、保密制度、門戶網(wǎng)站內(nèi)容管理等

（六） 開發(fā)與測試，系統(tǒng)程序開發(fā)、測試方面

（七） 網(wǎng)絡(luò)通信，網(wǎng)絡(luò)通信和安全建設(shè)規(guī)范、網(wǎng)絡(luò)隔離、通信管理等管理內(nèi)容

（八） 項目管理，項目招標(biāo)、建設(shè)、驗收、評估等管理方面

（九） 資產(chǎn)管理，信息系統(tǒng)設(shè)備的采購、維護(hù)、報廢等管理

（十） 服務(wù)與支持，內(nèi)部技術(shù)支持服務(wù)流程及第三方產(chǎn)品與服務(wù)商管理方面

（十一） 標(biāo)準(zhǔn)操作流程，SOP操作流程文檔。

第一節(jié)?安全管理制度的制定權(quán)限****

第五條 信息安全管理小組負(fù)責(zé)制定中心層面的安全管理制度，主要包括：信息安全體系、安全管理制度框架、信息安全方針、信息安全體系等級化標(biāo)準(zhǔn)、全局性安全技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范、全局性安全管理策略和規(guī)定、安全組織機(jī)構(gòu)和人員職責(zé)、用戶協(xié)議。

第六條 各處室信息安全組織遵照下發(fā)的安全管理制度，結(jié)合本處室系統(tǒng)實際情況，制定和細(xì)化成適用于本處室的具體管理辦法、實施細(xì)則和操作規(guī)程等，不得與中心層面的規(guī)章策略相抵觸，并須報信息安全管理小組備案。

第二節(jié)?安全管理制度的制定要求****

第七條 安全管理制度中不得出現(xiàn)涉密信息。

第八條 對安全管理制度進(jìn)行匯編時，必須保留各安全管理制度的版本控制信息和密級標(biāo)識。

第三節(jié)?安全管理制度的命名要求****

第九條 制度名稱使用“單位名稱+制度名稱+版本號”規(guī)范進(jìn)行命名。單位名稱：使用簡寫‘xxxx’。版本號要求：初始版本號‘V1.0’，如發(fā)生細(xì)節(jié)修訂，變更小數(shù)點(diǎn)后的小版本號；如內(nèi)容變更較多，修訂后變更小數(shù)點(diǎn)前的大版本號。

第十條 安全管理制度必須以正式文件的形式發(fā)布施行。

第十一條 安全管理制度由信息安全管理小組制訂，信息安全領(lǐng)導(dǎo)小組審批、發(fā)布。

第十二條 處室層面安全管理制度由各處室安全管理組織制訂，信息安全管理小組審批、發(fā)布，同時要留存信息安全管理部門備案。

第十三條 系統(tǒng)層安全管理制度由各系統(tǒng)管理員制訂、本處室安全管理員協(xié)助，安全管理組織審批、發(fā)布，同時要留存信息安全管理部門備案。

第十四條 安全管理制度發(fā)布后，如有必要，安全管理制度制定部門應(yīng)召集相關(guān)人員學(xué)習(xí)安全管理制度，詳細(xì)講解規(guī)章策略的內(nèi)容并解答疑問。

第十五條 安全管理制度修訂后需要以正式文件的形式重新發(fā)布施行，修訂后的策略也需相應(yīng)層次的管理部門審批。

第十六條 簽署發(fā)布的規(guī)章策略必須標(biāo)明該規(guī)章策略的施行日期。

第十七條 必須每年對安全管理制度進(jìn)行評審，對其中不適用的或欠缺的條款，及時進(jìn)行修改和補(bǔ)充。對已不適用的信息安全管理制度或規(guī)定應(yīng)及時廢止。

第十八條 當(dāng)現(xiàn)行安全管理制度有下列情形之一時，必須及時修改：

(一) 當(dāng)發(fā)生重大安全事件，暴露出安全管理制度存在漏洞和缺陷時；

(二) 組織機(jī)構(gòu)或生產(chǎn)系統(tǒng)進(jìn)行重大調(diào)整和變更后；

(三) 同一個事項在兩個規(guī)章策略中規(guī)定不一致；

(四) 與上級部門的安全管理制度相抵觸；

(五) 其他需要修改安全管理制度的情形。

第十九條 當(dāng)現(xiàn)行安全管理制度有下列情形之一時，必須及時予以廢止：

(一) 因有關(guān)信息安全管理制度或規(guī)定廢止，使該信息安全管理制度或規(guī)定失去依據(jù)，或與現(xiàn)行上層策略相抵觸；

(二) 因已規(guī)定的事項已經(jīng)執(zhí)行完畢，沒有存在必要；

(三) 已被新的規(guī)章策略所替代。

第二十條 安全管理制度的修改與廢止須經(jīng)信息安全領(lǐng)導(dǎo)組織審批確認(rèn)，信息安全管理部門備案。

第二十一條 處室層面安全管理制度的修改與廢止須經(jīng)各處室信息安全維護(hù)組織及信息安全管理部門審批確認(rèn)。同時信息安全管理部門備案。

第二十二條 安全管理制度發(fā)布實施后，各處室應(yīng)就安全管理制度或規(guī)定的貫徹執(zhí)行，執(zhí)行中存在的問題以及對規(guī)章制度修改或廢止的意見建議等情況進(jìn)行檢查、監(jiān)督，并將意見和建議及時反饋給制度的制定部門。

第二十三條 為保障各項信息安全管理制度的貫徹落實，信息安全管理部門必須每季度檢查安全制度的落實情況，信息安全管理制度的落實情況檢查是信息安全檢查工作的重要內(nèi)容。

第二十四條 信息安全檢查工作結(jié)束后，在起草檢查報告時，必須通報安全制度的落實情況，對執(zhí)行不力的行為必須提出整改意見，限期糾改，并繼續(xù)追蹤其落實情況。

第二十五條 安全管理制度的貫徹落實情況，必須作為重要的考核項目，納入處室的綜合考評體系。

第二十六條 為安全管理制度落實做出顯著成績的處室或個人，應(yīng)給予表彰和獎勵；對違反規(guī)章制度造成嚴(yán)重后果的處室或個人，應(yīng)追究當(dāng)事人、相關(guān)單位及主管領(lǐng)導(dǎo)的責(zé)任。具體參照考核制度辦理。

第一節(jié)?文檔信息****

第二十七條 本制度由xxxx辦公室制定，并負(fù)責(zé)解釋和修訂。由信息安全管理小組討論通過，發(fā)布執(zhí)行。

第二十八條 本制度自發(fā)布之日起執(zhí)行。

第二節(jié)?版本控制****

第二十九條 對本 制度 所有修改 及審批、發(fā)布 都按時間順序記錄在此。

第三節(jié)?其他信息****

第三十條 本 制度 中所稱的 人員角色職責(zé)由各處室人員分別擔(dān)任，可能現(xiàn)有崗位的職工在不同時期所擔(dān)任的角色不同，甚至身兼多種角色，這種情況下該職工應(yīng)該履行所兼每種角色的安全職責(zé)。

第三十一條 《 xxxx安全管理制度匯編 》定義了 信息安全體系的整體結(jié)構(gòu)、安全組織及各角色崗位的職責(zé)、以及覆蓋各項安全內(nèi)容的安全管理制度。 所有 職工 均應(yīng)把 《xxxx安全管理制度匯編》 的規(guī)定作為信息安全工作的基本要求 ，其 內(nèi)容一經(jīng)頒布將在一定時間內(nèi)長期有效，其涉及的所有 處室 或個人均需對其負(fù)責(zé)。