1基层单位信息系统安全等级保护三级管理制度信息系统安全管理制度管理规定1.pdf

1基层单位信息系统安全等级保护三级管理 制度-信息系统安全管理制度管理规定 1 版本号：1.0. 0423 信息系统安全管理制度管理规定 第一章总 第一条为了进一步规范我单位信息系统安全管理制度的管 理工作，根据 《中华人民共和国计算机信息系统安全保护条例》、 《信息安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006 ）和其他有关法律法规的规定，结合本单位实际，特 制定本规定。 第二条本规定所称的信息系统涵盖我单位办公内网和生产 外网，安全管理按照国家信息安全等级保护三级的标准实施。 第三条我单位信息系统的安全管理制度（以下简称管理制 度）的制定、论证、审定、发布、评审和修订工作，适用本规定。 第二章管理制度内容 第四条管理制度包括安全管理策略、安全管理规章制度、操 作规程三个层次的文档，包含以下方面的内容： （一）计算机信息系统资源安全管理方面； （二）计算机信息系统和数据库安全管理方面； （三）计算机信息网络安全管理方面； （四）计算机信息系统应用安全管理方面； （五）计算机信息系统运行安全管理方面； （六）计算机信息安全管理方面。 第三章制定与发布 第五条我单位信息安全领导小组负责组织、指导管理制度的 制定、发布和实施。单位信息中心为我单位信息安全职能部门， 负责具体承担管理制度的草拟、论证并上报领导小组审定。 第六条安全管理策略根据信息安全领导小组提出的总体方 针制定，包括总体策略和具体策略；安全管理规章制度根据安全 管理策略制订；操作规程根据安全管理规章制度和实际工作需要 制订。 第七条管理制度应经过由公司信息安全领导小组，信息技术 部门，法律和和合规部门通过。 第八条管理制度论证通过后，按照单位公文审核、审批程序， 经过领导小组的审定，经信息安全领导小组组长签发后，以单位 办文号发布。 第九条管理制度的发布范围为公司各部门，收发过程要有收 发文登记，应由所有信息系统建设者、管理者、使用者阅知。电 子版应在内部办公网发布，内网门户网站上设立“安全管理制度” 栏目，发布通过审定的管理制度，提供给通过内网登录的用户查 阅。 第十条管理制度文档应采用统一的公文格式，并在首页右上 角标注版本号。版本号由 3 部分构成，即主版本号+次版本号+ 修改日期；主版本号第一版为1，只有在重大内容发生变化或内 容变动量很大后才发生变化；次版本号第一版为0，每次修订均 增加1；修改日期8位，采用施行时的日期；当文档进行任何修 改后即编制新的版本号以进行版本控制，例如：1.0 各文档的版本号独立编制，以最新发布的版本为准。 第四章评审和修订 第十一条管理制度的评审和修订工作在信息安全领导小组 的指导下，由信息安全职能部门具体负责；评审内容为对管理制 度合理性和适用性进行审定，并保留必要的评审记录和依据，目 的是找出在信息安全保护工作中的不足或需要改进的地方，形成 评审报告并作为管理制度修订的依据；修订工作主要针对存在不 足或需要改进的管理制度进行，应在一个月内完成。 第十二条评审应定期或不定期进行，定期评审每年一次，一 般在第四季度进行，列入年度工作计划；不定期评审应在以下情 况之一发生后进行：上级机关发布新的信息安全等级保护规定、 被安全监管部门告知存在重大安全隐患、发生安全风险事件、安 全保护技术出现新动向、收到信息安全测评报告或整改通知。 第十三条评审和修订工作的程序为：信息安全职能部门负责 人为文档指定责任人；责任人收集该文档已不具备合理性或适用 性的资料；责任人草拟是否需要进行修订以及修订内容的初步意 见；初步意见经网络管理人员、安全管理人员核对后，报部门负 责人审核。 第十四条对安全管理策略、安全管理规章制度的修订由单位 信息中心负责 人审核通过后上报领导小组审定；对管理制度的实质性内容 做出重大修订的意见，应按照第八条的规定进行论证后上报领导 小组审定；审定和发布按照第九、十、十一条的规定。操作规程 的一般性修订由单位信息中心负责人审定后发布，并报送领导小 组备案。 第五章文档保管 第十五条管理制度文档的归档、保管、借阅按照我单位公文 管理制度，由单位机关和信息安全职能部门分别指定专人负责，