制度体系制定和发布管理规定
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第八条 起草的规范性文件应当结构严谨、内容完备、形 式规范、条理清楚、用词准确、文字简洁。
第九条 应当明确规定如下内容: (一) 制定的目的和依据。
2
(二) 适用范围。 (三) 组织职责。 (四) 具体管理要求或规定。 (五) 必要的附则。 (六) 与规范内容相关的资料性附录和参考性附录。
第十条 报送审查的管理制度送审稿应当由起草部门负 责人签署后报信息安全管理委员会审查。几个部门共同起草 的规范送审稿,应当由起草部门负责人共同签署后报信息安 全管理委员会审查。
第十一条 下列材料应当与规范送审稿一并报送信息安 全管理委员会审查: (一) 起草说明。 (二) 与此规范内容有关的规范性文件。 (三) 汇总的各方意见。 (四) 如需制定实施细则,应当提交实施细则的主要内容和实 施细则拟出台的时间。 (五) 其他需要报送的材料。
第十二条 信息安全管理委员会主要从以下方面对送审 稿进行审查: (一) 是否符合权限和程序。 (二) 是否符合原则。 (三) 是否与其他规范相协调、衔接。
第四条 信息技术部,职责为: (一) 负责组织管理体系文件的起草、编制、修订、补充等工 作的开展,并将实施成果向领导小组汇报。 (二) 负责启动和主持安全管理制度体系的管理评审工作。 (三) 负责协调相关人员,指导收集评审资料。 (四) 确保评审会议所提出的行动项目能在规定的时间内完
1
成,并负责其相关的监督工作。 (五) 负责对评审结果如需进行修订项协调相关人员进行修
制度体系制定和发布管理规定
三二一(北京)科技有限公司制度体 系制定和发布管理规定
ຫໍສະໝຸດ Baidu
2016 年 8 月
版本控制
版本 修改时 修改内
间
容
V1.0 2016-08 新增
-25
修改人 员
陈达隆
审核人 员
吴为问
I
第一章 总则
第一条 为了保证三二一(北京)科技有限公司安全管理 制度体系的持续性、时效性以及适应性,满足业务不断变化 的安全管理的需要,明确安全管理制度体系的制定、发布、 评审和修订过程中管理职责,特制定本规定。
4
(七) 检查先前管理评审中所定义的措施的实施状况。 (八) 审查改善措施的建议。 (九) 复查业务和法律法规方面的变更(比如:业务需求、客 户需求的变更和新颁布的法律法规)。 (十) 审查可能影响安全管理制度体系的任何变更。 (十一) 为协调相关信息安全的实施,评审相关资源的充足 性。
第十六条 评审工作必须至少每年举行一次,发生以下 情况时,也需要启动管理评审工作: (一) 系统业务发生重大变更。 (二) 系统信息安全策略的重大变更。 (三) 目前安全管理制度体系的执行不力。 (四) 系统安全管理制度体系的范围发生变更。 (五) 相关标准法规发布修订版本或有变更。 (六) 评审工作的会议记录均需归档,以保存正式的记录。
检查等工作,并依据部门情况落实管理体系的要求。 (二) 负责协助进行评审。 (三) 负责实施修订措施。 第三章 文件起草
第六条 三二一(北京)科技有限公司信息安全管理体系 规范文件由信息技术部负责起草或组织起草。
第七条 负责起草的部门应当确定一名熟悉相关内容员 工为项目负责人,如涉及多个部门时,可由有关部门共同派 人组成联合起草小组,由主要起草部门负责牵头组织。
5
应在《三二一(北京)科技有限公司信息安全制度体系发布 记录》中进行记录。
第六章 文件修订
第十九条 问题的识别及确认,采取修订措施可能由以 下原因,包括但不限于: (一) 来自系统安全管理制度体系相关人员的反馈信息或调 查申请。 (二) 信息安全管理评审的会议讨论中发现的问题。 (三) 安全管理制度体系的审核发现的不符合项。
第二十条 调查问题的起因: (一) 由信息技术部指派专门的人员负责对问题进行分析调 查并确认问题的起因。 (二) 调查人员需提供尽可能多的关于整个问题调查的详细 结果。作为修订措施报告的一部分,也可以提供一些额外的补充 信息。
第五章 文件发布
第十七条 规范草案经信息安全管理委员会审议并原则 通过后,起草部门根据审议中提出的修改意见对草案进行修 改,经信息安全管理委员会负责人签发,以三二一(北京)科 技有限公司管理制度规范形式公布。
第十八条 文件的发布应遵照统一的格式,进行版本控 制;并应注明发布范围,对收发文进行登记。对发布的制度
第十四条 三二一(北京)科技有限公司信息技术部定 期(至少每年一次)开展安全管理制度体系的评审工作,以 确保整个安全管理制度体系的充份性、适当性和有效性。
第十五条 安全管理制度体系评审内容: (一) 根据业务系统的性质和安全要求,确定(或复审)安全 管理制度体系的范围,建立(复审)安全管理制度体系,包括信 息安全策略、标准和程序。 (二) 对安全管理制度体系审核结果进行评审,分析导致不符 合项的原因。 (三) 审查审核对象的反馈信息。 (四) 总结已发现的安全事件和漏洞。 (五) 审查现行的安全控制措施和相关技术是否有效。 (六) 复查修订措施的实施状况。
订。 (六) 指派人员负责对修订措施的执行结果进行验证。 第五条 相关人员,是指三二一(北京)科技有限公司安 全管理制度体系涉及的人员。比如:系统管理员、应用管理 员、开发管理人员、网络管理员、数据管理员、资产管理员 和安全管理员等,其职责为: (一) 负责依据管理体系文件的内容进行宣贯、培训、执行、
3
(四) 是否已对有关不同意见进行协调。 (五) 是否具有可行性。 (六) 是否符合相关技术要求。 (七) 需要审查的其他内容。
第十三条 由信息安全管理委员会对送审稿提出审查结 论,对草案涉及的有关争议问题以及修改情况作重点说明。 由信息安全管理委员会负责人签署的书面审查报告应当反馈 起草部门。
第四章 文件评审
第二条 本规定适用于三二一(北京)科技有限公司安全 管理制度体系制定和发布过程、管理对象为信息安全管理部 门以及人员。
第二章 管理职责
第三条 信息安全管理委员会,职责为: (一) 负责规划、监督、指导信息安全安全管理制度体系文件 的起草、审查、发布、清理等工作。 (二) 负责安全管理制度体系的评审及修订后复审工作。 (三) 确保安全管理制度体系能持续恰当和有效地运作。 (四) 提供充足的资源和支持,以持续改善安全管理制度体系。
第九条 应当明确规定如下内容: (一) 制定的目的和依据。
2
(二) 适用范围。 (三) 组织职责。 (四) 具体管理要求或规定。 (五) 必要的附则。 (六) 与规范内容相关的资料性附录和参考性附录。
第十条 报送审查的管理制度送审稿应当由起草部门负 责人签署后报信息安全管理委员会审查。几个部门共同起草 的规范送审稿,应当由起草部门负责人共同签署后报信息安 全管理委员会审查。
第十一条 下列材料应当与规范送审稿一并报送信息安 全管理委员会审查: (一) 起草说明。 (二) 与此规范内容有关的规范性文件。 (三) 汇总的各方意见。 (四) 如需制定实施细则,应当提交实施细则的主要内容和实 施细则拟出台的时间。 (五) 其他需要报送的材料。
第十二条 信息安全管理委员会主要从以下方面对送审 稿进行审查: (一) 是否符合权限和程序。 (二) 是否符合原则。 (三) 是否与其他规范相协调、衔接。
第四条 信息技术部,职责为: (一) 负责组织管理体系文件的起草、编制、修订、补充等工 作的开展,并将实施成果向领导小组汇报。 (二) 负责启动和主持安全管理制度体系的管理评审工作。 (三) 负责协调相关人员,指导收集评审资料。 (四) 确保评审会议所提出的行动项目能在规定的时间内完
1
成,并负责其相关的监督工作。 (五) 负责对评审结果如需进行修订项协调相关人员进行修
制度体系制定和发布管理规定
三二一(北京)科技有限公司制度体 系制定和发布管理规定
ຫໍສະໝຸດ Baidu
2016 年 8 月
版本控制
版本 修改时 修改内
间
容
V1.0 2016-08 新增
-25
修改人 员
陈达隆
审核人 员
吴为问
I
第一章 总则
第一条 为了保证三二一(北京)科技有限公司安全管理 制度体系的持续性、时效性以及适应性,满足业务不断变化 的安全管理的需要,明确安全管理制度体系的制定、发布、 评审和修订过程中管理职责,特制定本规定。
4
(七) 检查先前管理评审中所定义的措施的实施状况。 (八) 审查改善措施的建议。 (九) 复查业务和法律法规方面的变更(比如:业务需求、客 户需求的变更和新颁布的法律法规)。 (十) 审查可能影响安全管理制度体系的任何变更。 (十一) 为协调相关信息安全的实施,评审相关资源的充足 性。
第十六条 评审工作必须至少每年举行一次,发生以下 情况时,也需要启动管理评审工作: (一) 系统业务发生重大变更。 (二) 系统信息安全策略的重大变更。 (三) 目前安全管理制度体系的执行不力。 (四) 系统安全管理制度体系的范围发生变更。 (五) 相关标准法规发布修订版本或有变更。 (六) 评审工作的会议记录均需归档,以保存正式的记录。
检查等工作,并依据部门情况落实管理体系的要求。 (二) 负责协助进行评审。 (三) 负责实施修订措施。 第三章 文件起草
第六条 三二一(北京)科技有限公司信息安全管理体系 规范文件由信息技术部负责起草或组织起草。
第七条 负责起草的部门应当确定一名熟悉相关内容员 工为项目负责人,如涉及多个部门时,可由有关部门共同派 人组成联合起草小组,由主要起草部门负责牵头组织。
5
应在《三二一(北京)科技有限公司信息安全制度体系发布 记录》中进行记录。
第六章 文件修订
第十九条 问题的识别及确认,采取修订措施可能由以 下原因,包括但不限于: (一) 来自系统安全管理制度体系相关人员的反馈信息或调 查申请。 (二) 信息安全管理评审的会议讨论中发现的问题。 (三) 安全管理制度体系的审核发现的不符合项。
第二十条 调查问题的起因: (一) 由信息技术部指派专门的人员负责对问题进行分析调 查并确认问题的起因。 (二) 调查人员需提供尽可能多的关于整个问题调查的详细 结果。作为修订措施报告的一部分,也可以提供一些额外的补充 信息。
第五章 文件发布
第十七条 规范草案经信息安全管理委员会审议并原则 通过后,起草部门根据审议中提出的修改意见对草案进行修 改,经信息安全管理委员会负责人签发,以三二一(北京)科 技有限公司管理制度规范形式公布。
第十八条 文件的发布应遵照统一的格式,进行版本控 制;并应注明发布范围,对收发文进行登记。对发布的制度
第十四条 三二一(北京)科技有限公司信息技术部定 期(至少每年一次)开展安全管理制度体系的评审工作,以 确保整个安全管理制度体系的充份性、适当性和有效性。
第十五条 安全管理制度体系评审内容: (一) 根据业务系统的性质和安全要求,确定(或复审)安全 管理制度体系的范围,建立(复审)安全管理制度体系,包括信 息安全策略、标准和程序。 (二) 对安全管理制度体系审核结果进行评审,分析导致不符 合项的原因。 (三) 审查审核对象的反馈信息。 (四) 总结已发现的安全事件和漏洞。 (五) 审查现行的安全控制措施和相关技术是否有效。 (六) 复查修订措施的实施状况。
订。 (六) 指派人员负责对修订措施的执行结果进行验证。 第五条 相关人员,是指三二一(北京)科技有限公司安 全管理制度体系涉及的人员。比如:系统管理员、应用管理 员、开发管理人员、网络管理员、数据管理员、资产管理员 和安全管理员等,其职责为: (一) 负责依据管理体系文件的内容进行宣贯、培训、执行、
3
(四) 是否已对有关不同意见进行协调。 (五) 是否具有可行性。 (六) 是否符合相关技术要求。 (七) 需要审查的其他内容。
第十三条 由信息安全管理委员会对送审稿提出审查结 论,对草案涉及的有关争议问题以及修改情况作重点说明。 由信息安全管理委员会负责人签署的书面审查报告应当反馈 起草部门。
第四章 文件评审
第二条 本规定适用于三二一(北京)科技有限公司安全 管理制度体系制定和发布过程、管理对象为信息安全管理部 门以及人员。
第二章 管理职责
第三条 信息安全管理委员会,职责为: (一) 负责规划、监督、指导信息安全安全管理制度体系文件 的起草、审查、发布、清理等工作。 (二) 负责安全管理制度体系的评审及修订后复审工作。 (三) 确保安全管理制度体系能持续恰当和有效地运作。 (四) 提供充足的资源和支持,以持续改善安全管理制度体系。