基层单位信息系统安全等级保护三级管理制度管理体系架构1doc.docx

基层单位信息系统安全等级保护三级管理制度管理体系架构1doc.docx

《基层单位信息系统安全等级保护三级管理制度管理体系架构1doc.docx》由会员分享，可在线阅读，更多相关《基层单位信息系统安全等级保护三级管理制度管理体系架构1doc.docx（7页珍藏版）》请在冰点文库上搜索。

基层单位信息系统安全等级保护三级管理制度管理体系架构1doc

基层单位信息系统安全等级保护三级管理制度-管理体系架构1

版本号：

1.0.xxxx信息系统安全管理体系架构

第一章总则

第一条为加强和规范我单位信息系统安全管理体系建设工作，保证信息的机密性、完整性和可用性，实现信息系统的安全，提高信息系统安全管理体系的效率，依据国家有关法律、法规的要求，制定本文件。

第二条本文件适用于我单位信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进，指导信息系统安全管理体系的制定和使用。

第三条我单位信息系统安全取决于技术和管理两个要素。

安全管理是安全技术发挥功效的重要保障和支撑。

安全管理体系包括3个层次的管理文件，第一层：

总体文件，第二层：

管理规定，第三层：

操作规程（包括实用表格），内容覆盖信息系统生命周期模型的计划组织、开发采购、实施交付、运行维护、废弃全部五个阶段。

第四条安全管理体系的建立与完善过程采取PDCA模式。

其中P为策划过程，根据信息系统安全等级保护（三级）管理的要求和方针，草拟、评审、发布管理文件；D为实施过程，按照管理规定和操作规程对信息系统实施安全管理；C为检查过程，根据信息安全的要求，对实施过程和信息安全进行监控和测量，并报告结果；A为改进过程，根据检查结果采取措施，以持续改进管理体系。

第五条本文件的编制参照了以下国家的标准和文件：

（一）《中华人民共和国计算机信息系统安全保护条例》

（二）《信息系统安全等级保护基本要求》（GB/T22239-2008）

（三）《信息系统安全管理要求》（GB/T20269—2006）

（四）《信息安全管理体系要求》（GB/T22080—2008）

第二章总体文件

第六条总体文件是一切信息安全保障活动的基础和出发点，指导我单位信息安全保障体系的开发和实施，为信息安全建设和实施指明方向，通过定义一套规则来规范信息安全体系的建设、运行和管理。

第七条总体文件包括2个文件：

《信息系统安全总体策略》、

《信息系统安全管理体系架构》。

第八条《信息系统安全总体策略》目的、作用

目的与作用：

规范和管理我单位信息系统安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控；为我单位信息系统安全管理提供一个总体的策略性架构文件，指导信息系统的安全体系的建立，以实现统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营；对信息系统全生命周期过程中所有的信息安全保障工作内容进行定义，是一切信息安全活动的出发点和核心。

第九条《信息系统安全管理体系架构》目的、作用

目的与作用：

规范和管理我单位信息系统安全管理体系建设工作，提高信息系统安全管理制度的制定和运用效率，提高信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进效率。

第三章管理规定

第十条管理规定是在策略指导下编写的下层文件，用来具体规范人员行为，明确任务责任。

第十一条管理规定包括：

《信息系统安全管理制度管理规定》、

《信息系统安全管理机构管理规定》、

《信息系统安全人员及培训管理规定》、

《信息系统安全风险管理规定》、

《信息系统环境和资源管理管理规定》、

《信息系统运行和维护管理规定》、

《信息系统业务连续性管理规定》、

《信息系统安全监督和检查管理规定》、

《信息系统生存周期管理规定》。

第十二条《信息系统安全管理制度管理规定》目的、作用

目的与作用：

规范和管理我单位机关电子政务计算机信息系统安全管理制度

的制定、论证、审定、发布、评审和修订工作。

第十三条《信息系统安全管理机构管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理机构的设立、职能的确定、人员的配备等工作。

第十四条《信息系统安全人员及培训管理规定》目的、作用

目的与作用：

规范和管理信息系统安全人员及培训管理工作，包括人员录用、人员离岗、人员考核与审查、教育和培训、第三方人员的管理工作。

第十五条《信息系统安全风险管理规定》目的、作用

目的与作用：

规范和管理我单位电子政务信息系统安全风险的管理工作，指导风险识别和分析、风险控制、基于风险的决策、风险评估等管理工作。

第十六条《信息系统环境和资源管理管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理人员和技术人员进行信息系统环境安全管理和资源管理工作，包括机房安全管理、办公环境安全管理、资产清单管理、资产的分类与标识、介质管理、设备管理。

第十七条《信息系统运行和维护管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理人员和技术人员进行信息系统运行和维护管理工作，包括用户管理、运行操作管理、运行维护管理、外包服务管理、安全机制保障、安全集中管理。

第十八条《信息系统业务连续性管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理人员和技术人员进行业务连续性管理工作，包括备份与恢复、安全事件处理、应急处理。

第十九条《信息系统安全监督和检查管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作，包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。

第二十条《信息系统生存周期管理规定》目的、作用

目的与作用：

规范和管理信息系统安全管理人员和技术人员进行信息系统生存周期管理工作，包括规划和立项管理、建设过程管理、系统启用和终止管理等工作。

第四章附则

第二十一条本规定由单位信息安全领导小组负责解释。

第二十二条本规定自发布之日起施行。

1基层单位信息系统安全等级保护三级管理制度-信息系统安全管理制度管理规定1

版本号：

1.0.0423信息系统安全管理制度管理规定

第一章总则

第一条为了进一步规范我单位信息系统安全管理制度的管理工作，根据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本规定。

第二条本规定所称的信息系统涵盖我单位办公内网和生产外网，安全管理按照国家信息安全等级保护三级的标准实施。

第三条我单位信息系统的安全管理制度（以下简称管理制度）的制定、论证、审定、发布、评审和修订工作，适用本规定。

第二章管理制度内容

第四条管理制度包括安全管理策略、安全管理规章制度、操作规程三个层次的文档，包含以下方面的内容：

（一）计算机信息系统资源安全管理方面；

（二）计算机信息系统和数据库安全管理方面；

（三）计算机信息网络安全管理方面；

（四）计算机信息系统应用安全管理方面；

（五）计算机信息系统运行安全管理方面；

（六）计算机信息安全管理方面。

第三章制定与发布

第五条我单位信息安全领导小组负责组织、指导管理制度的制定、发布和实施。

单位信息中心为我单位信息安全职能部门，负责具体承担管理制度的草拟、论证并上报领导小组审定。

第六条安全管理策略根据信息安全领导小组提出的总体方针制定，包括总体策略和具体策略；安全管理规章制度根据安全管理策略制订；操作规程根据安全管理规章制度和实际工作需要制订。

第七条管理制度应经过由公司信息安全领导小组，信息技术部门，法律和和合规部门通过。

第八条管理制度论证通过后，按照单位公文审核、审批程序，经过领导小组的审定，经信息安全领导小组组长签发后，以单位办文号发布。

第九条管理制度的发布范围为公司各部门，收发过程要有收发文登记，应由所有信息系统建设者、管理者、使用者阅知。

电子版应在内部办公网发布，内网门户网站上设立“安全管理制度”栏目，发布通过审定的管理制度，提供给通过内网登录的用户查阅。

第十条管理制度文档应采用统一的公文格式，并在首页右上角标注版本号。

版本号由3部分构成，即主版本号+次版本号+修改日期；主版本号第一版为1，只有在重大内容发生变化或内容变动量很大后才发生变化；次版本号第一版为0，每次修订均增加1；修改日期8位，采用施行时的日期；当文档进行任何修改后即编制新的版本号以进行版本控制，例如：

1.0.20130701。

各文档的版本号独立编制，以最新发布的版本为准。

第四章评审和修订

第十一条管理制度的评审和修订工作在信息安全领导小组的指导下，由信息安全职能部门具体负责；评审内容为对管理制度合理性和适用性进行审定，并保留必要的评审记录和依据，目的是找出在信息安全保护工作中的不足或需要改进的地方，形成评审报告并作为管理制度修订的依据；修订工作主要针对存在不足或需要改进的管理制度进行，应在一个月内完成。

第十二条评审应定期或不定期进行，定期评审每年一次，一般在第四季度进行，列入年度工作计划；不定期评审应在以下情况之一发生后进行：

上级机关发布新的信息安全等级保护规定、被安全监管部门告知存在重大安全隐患、发生安全风险事件、安全保护技术出现新动向、收到信息安全测评报告或整改通知。

第十三条评审和修订工作的程序为：

信息安全职能部门负责人为文档指定责任人；责任人收集该文档已不具备合理性或适用性的资料；责任人草拟是否需要进行修订以及修订内容的初步意见；初步意见经网络管理人员、安全管理人员核对后，报部门负责人审核。

第十四条对安全管理策略、安全管理规章制度的修订由单位信息中心负责

人审核通过后上报领导小组审定；对管理制度的实质性内容做出重大修订的意见，应按照第八条的规定进行论证后上报领导小组审定；审定和发布按照第九、十、十一条的规定。

操作规程的一般性修订由单位信息中心负责人审定后发布，并报送领导小组备案。

第五章文档保管

第十五条管理制度文档的归档、保管、借阅按照我单位公文管理制度，由单位机关和信息安全职能部门分别指定专人负责，实行专用位置存放，列出总目录和各文档修订记录。

文档的查阅应经过保管部门负责人书面同意，并做好登记。

第十六条管理制度在实施过程中产生的各种表格式记录文档，由信息安全职能部门指定专人负责，实行专用位置存放。

第六章实施与检查

第十七条管理制度的实施与检查由单位信息中心负责。

实施与检查工作由不同的人员承担。

第十八条信息安全实施人员负责信息系统安全运行的日常监控，形成记录，每月制作一次“信息系统安全运行情况通报”。

第七章附则

第十九条本规定由单位信息安全领导小组负责解释。

第二十条违反本规定，发生信息安全事件的，按照事件造成的损失和后果，依据国家有关法律法规进行处罚。

第二十一条本规定自发布之日起施行。