三级等保安全管理制度信息安全管理体系文件控制管理规定.docx
《三级等保安全管理制度信息安全管理体系文件控制管理规定.docx》由会员分享,可在线阅读,更多相关《三级等保安全管理制度信息安全管理体系文件控制管理规定.docx(10页珍藏版)》请在冰点文库上搜索。
三级等保安全管理制度信息安全管理体系文件控制管理规定
*
主办部门:
系统运维部
执笔人:
审核人:
XXXXX
信息安全管理体系文件控制管理规定V0.1
XXX-XXX-XX-02001
2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受到有关产权及版权法保护。
任何个人、机构未经XXXXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
]
文件版本信息
版本
日期
拟稿和修改
说明
V0.1
2014.3.17
拟稿
文件版本信息说明
记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。
文件版本小于1.0时,表示该版本文件为草案,仅可作为参照资料之目的。
阅送范围
内部发送部门:
综合部、系统运维部、技术开发部
第一章总则
第一条为规范XXXXX信息安全管理体系文件的审批、发布、分发、更改、保管和作废等活动,根据《金融行业信息系统信息安全等级保护实施指引》(JR/T0071—2012),结合XXXXX实际,制定本规定。
第二条本规定适用于XXXXX信息安全管理体系文件控制过程和活动。
第三条信息安全管理体系文件是确保XXXXX信息系统正常运转形成的文书,用于阐述需保护的资产、风险管理的方法、控制目标及方式和所需的保护程度。
第四条网络与信息安全工作领导小组办公室负责组织XXXXX信息安全管理体系各级文件的编写、审核和归档;负责组织体系各级文件的宣传推广。
第二章细则
第五条体系文件的类别
信息安全管理体系文件可分为以下四级:
(一)一级文件:
管理策略;
(二)二级文件:
管理规定;
(三)三级文件:
管理规范、实施细则、操作手册等;
(四)四级文件:
运行记录、表单、工单、记录模板等。
第六条体系文件的编写
体系文件的封皮、目录、正文、附件等的编写格式遵从统一规范要求,详见《XXXXX信息安全管理体系文件编写规范》。
第七条体系文件的发文流程
发文流程是指制发文件的过程,包括拟稿、会签、审核、签发、校对、用印、登记、分发等程序。
第八条体系文件的拟稿
体系文件的拟稿应符合以下要求
(一)体系文件内容应符合国家的法律、法规及其他相关规定,拟稿人应主动查询有关法律法规以及其他相关规定。
(二)体系文件的内容应该情况属实,观点明确,表述准确,结构严谨,条理清楚,直述不曲,字词规范,标点正确,篇幅力求简短。
(三)办理体系文件时必须附相应的办文依据,办文依据本身属于文件的,因原件由综合部归档,应以复印件形式附后。
1.依据对方单位来文办理的文件,应附对方单位来文,综合部文件处理单以及过去办理的相关文件(如有)等。
2.根据主管单位、公司领导批示或签报办理的文件,应附领导批示及签报。
3.因工作需要主动办理文件,必要时应附办文说明,说明发文原因及有关背景情况。
(四)下列情况应附办文说明:
1.附件和支持性材料中没有领导签批文稿需要知悉的情况。
2.需要提请领导关注的某些相关情况。
3.文件中的决策或决定突破了某些规定,或者改变了惯例,需要做特殊说明的。
4.涉及文件办理过程的有关情况,决策选择、取舍的理由辨析,文稿中处理方式的解释。
5.涉及其他部门业务时,听取意见的情况,会签及采纳意见的情况,尤其是不采纳相关部门意见的理由。
6.由非分管领导代签文件时,应说明背景情况以及确需其代签的理由。
7.不便在文件中表述的有关意见,包括紧急或拖延的理由、密级处理考虑、文稿所及事件的处理步骤等。
(五)文件的文种应当根据行文目的、行文方向、文件内容确定。
(六)请示上级机关批转、转发文件的请示件,应随文附上代上级机关所写的批转或转发文件的文稿。
(七)文件中人名、地名、机构名、数字、日期、引文以及简称的使用要准确、规范。
1.引用文件应当先引标题、后引发文字号。
引用文件一般应原文引用,引用的原文部分应标注引号;不便原文引用的,必须准确引用原意,不标注引号。
引用外文应当注明中文含义。
2.文件中,同一人员、机构、地点的称谓要前后一致。
使用简称应该规范,一般应当先使用全称并注明简称,注明简称后应统一使用简称。
文件中的外文名称或其缩写形式,第一次出现时应注明中文译名。
XXXXX报送人民银行的文件中涉及行文单位的称谓应自称“我公司”。
3.结构层次序号,分两种:
1)第一层为“第一章”,第二层为“第一条”,第三层为“
(一)”,以后自行标注其他层次。
2)第一层为“一”,第二层为“
(一)”,第三层为“1.”,第四层为
(1),以后自行标注其他层次。
4.文件中使用国家法定计量单位。
5.文件中的数字,除成文时间、部分结构层次序数和词、词组、惯用词、缩略词、在具有修辞色彩的词句中作为词素的数字必须使用汉字外,应当使用阿拉伯数字。
6.日期应当写具体的年、月、日。
(八)拟稿一律使用A4纸,并按规定填写发文稿纸首页相关内容,首页各项签名应用钢笔或签字笔书写。
第九条体系文件的审核
体系文件在送公司领导签发前,应由综合部进行审核。
文件审核实行分级负责制。
主办部门要有专人对本部门拟写的体系文件进行初审;主办部门负责人要严格把关,对文件内容、数字的真实性和准确性负责。
体系文件审核的主要内容包括:
(一)是否确需行文。
(二)行文方式及级别是否妥当,是否符合行文规则。
(三)是否符合党和国家的方针政策,是否符合国家法律法规。
(四)是否符合体系文件拟制的有关要求。
(五)内容涉及其他部门的文件,是否经过协商、会签,意见是否一致。
(六)是否符合体系文件处理程序和体系文件格式规定。
(七)有关的附件、办文依据是否备齐。
(八)密级的确定是否合乎规定,紧急程度的设定是否合乎情理。
(九)主送、抄送、内部发送范围是否恰当。
(十)发文稿纸及版面是否整洁。
体系文件经审核如需进一步明确政策、调整结构或修改较大需清稿、会签、文中内容要做说明、补充附件、或者发现不需要发文等,综合部主动与主办部门协商,直接退回主办部门修改。
第十条体系文件的会签
(一)体系文件的内容涉及其他部门的业务,应办理会签(包括内部会签与外部会签)。
1.内部会签时,会签部门应在接到会签文稿后2个工作日内将会签后的文稿返还主办部门。
急件、特急件应随到随签。
外部会签由主办部门送签并催办。
2.主办部门应主动与有关部门协商,取得一致意见后方可行文。
(二)其他单位主办、送XXXXX签发或会签的体系文件,应及时办理。
1.根据职责分工,先由相关承办部门对来文在政策法规、业务操作、内容表述等方面进行审核;来文内容涉及XXXXX其他部门的,承办部门要主动征求有关部门意见。
承办部门审核后应提出是否签发或会签的意见(包括理由、有关背景情况等)以签报的形式,与来文文稿一并报公司领导。
对文件内容有不同意见的,应主动与来文单位协商。
一般应在3个工作日内完成,对方有时限要求的,按规定时限办理。
2.需要对与外单位联合发文或会签文稿提出书面意见的,按照发文的程序办理。
第十一条体系文件的签批
体系文件经核稿后,由综合部送分管领导签发。
签批体系文件,应使用钢笔或签字笔。
各级经办人和领导签批体系文件必须写上姓名和审批日期。
凡经公司领导签发的发文,如文字需要更改,应得到签发领导的认可同意。
第十二条体系文件的校对
体系文件打印后,由综合部校对,主办部门审读,每份体系文件做到文字、格式正确,发文手续完备,文字整洁,装订规范,附件无遗漏,发送份数、对象、密级程度准确无误。
第十三条体系文件的印制
领导签批后的体系文件,原则上应当天或次日送印,公司领导改动较大或另有要求的除外。
第十四条体系文件的发送
(一)正式体系文件由综合部负责登记后发送。
(二)保密文件的发送应符合保密规定。
第十五条体系文件的管理
(一)体系文件应由综合部专职人员统一收发、审核、用印、归档和销毁。
(二)上级机关的体系文件,除绝密级和注明不得翻印的以外,经综合部负责人批准,可以翻印。
翻印时,应当注明翻印的部门、日期、份数和印发范围。
(三)公开发布XXXXX体系文件,必须经公司领导批准。
(四)体系文件复印件作为正式体系文件使用时,应加盖XXXXX公章。
(五)体系文件被撤销,自撤销之日起不生效力;体系文件被废止,自作废之日起不生效力。
(六)XXXXX工作人员调离工作岗位时,应当将本人暂存、借用的体系文件按照有关规定移交、清退。
(七)不具备归档和存查价值的体系文件,经过鉴别并经综合部负责人批准,可以销毁,实行定点收集、集中销毁的管理办法,不得随便弃置、不得交给清洁工、不得私自按废品出卖。
(八)综合部负责组织XXXXX的体系文件销毁。
参加体系文件销毁的人员要认真负责、确保销毁的文件安全。
销毁涉密体系文件应当到指定场所由2人以上监销,保证不丢失、不漏销。
其中销毁涉密体系文件的,应当进行登记,经部门负责人审核后报公司保密委员会办公室备案。
第十六条体系文件的评审与修订
(一)网络与信息安全工作领导小组应定期组织对体系文件进行评审和修订,文件的评审至少每年进行一次。
(二)文件修订后应重新提交进行发文流程。
(三)当业务发生重大变化、组织架构出现重大调整或法律法规发生变化时,也应酌情进行文件评审,并根据需要对文件进行修订与更新。
(四)文件的更新应严格遵守《XXXXX信息安全管理体系文件编写规范》的版本控制规则。
第十七条体系文件的归档
(一)体系文件办理完毕后,应根据《中华人民共和国档案法》和其他有关规定,即时立卷、归档。
(二)体系文件原件由综合部负责归档,个人不得保存应当归档的体系文件。
(三)XXXXX体系文件的具体归档范围、立卷整理、归档、接收等具体事宜参考公司档案管理办法。
(四)拟制、修改和签批体系文件,书写及所用纸张和字迹材料必须符合存档要求。
第十八条外来体系文件的管控
外来体系文件的管控由引入部门负责,需报备网络与信息安全工作领导小组。
第三章附则
第一条
第二条
第三条
第四条
第五条
第六条
第七条
第八条
第九条
第一十条
第一十一条
第一十二条
第一十三条
第一十四条
第一十五条
第一十六条
第一十七条
第一十八条
第一十九条
第二十条
第十九条本规定由网络与信息安全工作领导小组办公室负责制定、解释和更新。
第二十条本规定自颁布之日起实行。
附件:
附件1:
体系文件发文流程图
升级会员 