信息安全文件管理制度

信息安全文件管理制度

第一章总则

第一条为规范信息中心信息安全文件的制定、发布、评审和修订活动，特制定本制度。

第二条本制度适用中心与信息安全有关的所有制度。

第二章信息安全文件制定

第三条中心安全管理小组负责制定中心层的信息安全文件，主要包括：信息安全文件体系、安全管理制度和规定、安全组织机构和人员职责、中心层面用户协议。

第四条各部门信息安全组织遵照中心下发的信息安全文件，结合本部门系统实际情况，制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等，不得与中心的规章制度相抵触，并须报中心信息安全管理部门备案。

第五条中心信息安全文件中不得出现中心的涉密信息。

第六条对中心信息安全文件进行汇编时，必须保留各信息安全文件的版本控制信息和密级标识。

第三章信息安全文件发布

第七条信息安全文件必须以正式文件的形式发布施行。

第八条中心信息安全文件由中心安全管理小组制订，中心信息安全领导小组审批、发布。

第九条信息安全文件发布后，如有必要，信息安全工作小组应召集相关人员学习信息安全文件，详细讲解规章制度的内容并解答疑问。

第十条信息安全文件修订后需要以正式文件的形式重新发布施行，修订后的策略也需经管理部门审批。

第十一条签署发布的规章制度必须标明该规章制度的施行日期。

第四章信息安全文件修改与废止

第十二条必须定期对信息安全文件进行评审，对其中不适用的或欠缺的条款，及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。

第十三条当现行信息安全文件有下列情形之一时，必须及时修改：

（1）当发生重大安全事件，暴露出信息安全文件存在漏洞和缺陷时；

（2）组织机构或信息系统进行重大调整和变更后；

（3）同一个事项在两个规章制度中规定不一致；

（4）与上级部门的信息安全文件相抵触；

（5）其它需要修改信息安全文件的情形。

第十四条当现行信息安全文件有下列情形之一时，必须及时予以废止：

（1）因有关信息安全制度或规定废止，使该信息安全制度或规定失去依据，或与上级部门的信息安全文件相抵触；

（2）因已规定的事项已经执行完毕，没有存在必要；

（3）已被新的规章制度所替代。

第十五条中心信息安全文件的修改与废止须经中心信息安全领导组织审批确认，中心信息安全管理部门备案。

第五章信息安全文件的评审

第十六条信息安全文件发布实施后，各部门应就信息安全文件制度或规定的贯彻执行，执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督，并将意见和建议及时反馈给安全管理小组。

第十七条为保障各项信息安全管理制度的贯彻落实，中心信息安全管理部门必须定期检查信息安全文件的落实情况，信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。

第十八条信息安全检查工作结束后，在起草检查报告时，必须通报信息安全文件的落实情况，对执行不力的行为必须提出整改意见，限期纠改，并继续追踪其落实情况。

第十九条信息安全文件的贯彻落实情况，必须作为重要的考核项目，纳入考评体系。

第二十条为信息安全文件落实做出显著成绩的部门或个人，应给予表彰和

奖励；对违反规章制度造成严重后果的部门或个人，应追究当事人、相关单位及主管领导的责任。

第六章附则

第二十一条本办法由中心信息领导委员会负责解释并督促执行。

第二十二条各单位可根据本办法制定实施细则，报省中心备案。

第二十三条本办法自印发之日起执行。