三级等保,安全管理制度,信息安全管理体系文件控制管理规定

*

主办部门：系统运维部

执笔人：

审核人：

XXXXX

信息安全管理体系文件控制管理规定V0.1

XXX-XXX-XX-02001

2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXXXX所有，受到有关产权及版权法保护。任何个人、机构未经XXXXX的书面授权许可，不得以任何方式复制或引用本文件的任何片断。]

文件版本信息说明

记录本文件提交时当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时，表示该版本文件为草案，仅可作为参照资料之目的。

阅送范围

内部发送部门：综合部、系统运维部、技术开发部

目录

第一章总则 (1)

第二章细则 (1)

第三章附则 (9)

附件： (10)

第一章总则

第一条为规范XXXXX信息安全管理体系文件的审批、发布、分发、更改、保管和作废等活动，根据《金融行业信息系

（JR/T 0071—2012），结合XXXXX 统信息安全等级保护实施指引》

实际，制定本规定。

第二条本规定适用于XXXXX信息安全管理体系文件控制过程和活动。

第三条信息安全管理体系文件是确保XXXXX信息系统正常运转形成的文书，用于阐述需保护的资产、风险管理的方法、控制目标及方式和所需的保护程度。

第四条网络与信息安全工作领导小组办公室负责组织XXXXX信息安全管理体系各级文件的编写、审核和归档；负责组织体系各级文件的宣传推广。

第二章细则

第五条体系文件的类别

信息安全管理体系文件可分为以下四级：

（一）一级文件：管理策略；

（二）二级文件：管理规定；

（三）三级文件：管理规范、实施细则、操作手册等；

（四）四级文件：运行记录、表单、工单、记录模板等。

第六条体系文件的编写

体系文件的封皮、目录、正文、附件等的编写格式遵从统一规范要求，详见《XXXXX 信息安全管理体系文件编写规范》。

第七条体系文件的发文流程

发文流程是指制发文件的过程，包括拟稿、会签、审核、签发、校对、用印、登记、分发等程序。

第八条体系文件的拟稿

体系文件的拟稿应符合以下要求

（一）体系文件内容应符合国家的法律、法规及其他相关规定，拟稿人应主动查询有关法律法规以及其他相关规定。

（二）体系文件的内容应该情况属实，观点明确，表述准确，结构严谨，条理清楚，直述不曲，字词规范，标点正确，篇幅力求简短。

（三）办理体系文件时必须附相应的办文依据，办文依据本身属于文件的，因原件由综合部归档，应以复印件形式附后。

1.依据对方单位来文办理的文件，应附对方单位来文，综合部文件处理单以及过去办理的相关文件（如有）等。

2.根据主管单位、公司领导批示或签报办理的文件，应附领导批示及签报。

3.因工作需要主动办理文件，必要时应附办文说明，说明发文原因及有关背景情况。

（四）下列情况应附办文说明：

1.附件和支持性材料中没有领导签批文稿需要知悉的情况。

2.需要提请领导关注的某些相关情况。

3.文件中的决策或决定突破了某些规定，或者改变了惯例，需要做特殊说明的。

4.涉及文件办理过程的有关情况，决策选择、取舍的理由辨析，文稿中处理方式的解释。

5.涉及其他部门业务时，听取意见的情况，会签及采纳意见的情况，尤其是不采纳相关部门意见的理由。

6.由非分管领导代签文件时，应说明背景情况以及确需其代签的理由。

7.不便在文件中表述的有关意见，包括紧急或拖延的理由、密级处理考虑、文稿所及事件的处理步骤等。

（五）文件的文种应当根据行文目的、行文方向、文件内容确定。

（六）请示上级机关批转、转发文件的请示件，应随文附上代上级机关所写的批转或转发文件的文稿。

（七）文件中人名、地名、机构名、数字、日期、引文以及简称的使用要准确、规范。

1.引用文件应当先引标题、后引发文字号。引用文件一般应原文引用，引用的原文部分应标注引号；不便原文引用的，必须准确引用原意，不标注引号。引用外文应当注明中文含义。

2.文件中，同一人员、机构、地点的称谓要前后一致。使用简称应该规范，一般应当先使用全称并注明简称，注明简称后应统一使用简称。文件中的外文名称或其缩写形式，第一次出现时应注明中文译名。XXXXX报送人民银行的文件中涉及行文单位的称谓应自称“我公司”。

3.结构层次序号，分两种：

1）第一层为“第一章”，第二层为“第一条”，第三层为“(一)”，以后自行标注其他层次。

2）第一层为“一”，第二层为“（一）”，第三层为“1.”，第四层为（1），以后自行标注其他层次。

4.文件中使用国家法定计量单位。

5.文件中的数字，除成文时间、部分结构层次序数和词、词组、惯用词、缩略词、

在具有修辞色彩的词句中作为词素的数字必须使用汉字外，应当使用阿拉伯数字。

6.日期应当写具体的年、月、日。

（八）拟稿一律使用A4纸，并按规定填写发文稿纸首页相关内容，首页各项签名应用钢笔或签字笔书写。

第九条体系文件的审核

体系文件在送公司领导签发前，应由综合部进行审核。文件审核实行分级负责制。主办部门要有专人对本部门拟写的体系文件进行初审；主办部门负责人要严格把关，对文件内容、数字的真实性和准确性负责。

体系文件审核的主要内容包括：

（一）是否确需行文。

（二）行文方式及级别是否妥当，是否符合行文规则。

（三）是否符合党和国家的方针政策，是否符合国家法律法规。

（四）是否符合体系文件拟制的有关要求。

（五）内容涉及其他部门的文件，是否经过协商、会签，意见是否一致。

（六）是否符合体系文件处理程序和体系文件格式规定。

（七）有关的附件、办文依据是否备齐。

（八）密级的确定是否合乎规定，紧急程度的设定是否合乎情理。

（九）主送、抄送、内部发送范围是否恰当。

（十）发文稿纸及版面是否整洁。

体系文件经审核如需进一步明确政策、调整结构或修改较大需清稿、会签、文中内容要做说明、补充附件、或者发现不需要发文等，综合部主动与主办部门协商，直接退回主办部门修改。

第十条体系文件的会签

（一）体系文件的内容涉及其他部门的业务，应办理会签（包括内部会签与外部会签）。

1.内部会签时，会签部门应在接到会签文稿后2个工作日内将会签后的文稿返还主办部门。

急件、特急件应随到随签。

外部会签由主办部门送签并催办。

2.主办部门应主动与有关部门协商，取得一致意见后方可行文。

（二）其他单位主办、送XXXXX签发或会签的体系文件，应及时办理。

1.根据职责分工，先由相关承办部门对来文在政策法规、业务操作、内容表述等方面进行审核；来文内容涉及XXXXX其他部门的，承办部门要主动征求有关部门意见。承办部门审核后应提出是否签发或会签的意见（包括理由、有关背景情况等）以签报的形式，与