学校主页 | 部门概况 | 机构设置 | 规章制度 | 网络安全 | 政策法规 | 网络服务 | 多媒体服务 | 校园一卡通 | 下载中心 
当前位置: 首页>>规章制度>>正文

合肥师范学院信息安全管理制度评审及发布办法

日期:2019年04月16日 09:27  添加人:方杰    点击:[]



1      总则

1.1     目的

为规范合肥师范学院信息安全管理制度的制订、修订及评审,特制定本办法。

1.2     范围

本管理规范适用于网络安全与信息化领导小组和信息安全等级保护工作小组对信息安全管理制度的维护管理。

1.3     职责

由信息安全等级保护工作小组的主体部门信息技术中心负责信息安全管理制度的维护,包括制订、修订和评审,由网络安全与信息化领导小组负责制度文件的批准、发布和作废。

2      管理细则

2.1     制度文件生命周期流程

1 体系文件流程图

2.2     制度文件策划

信息安全等级保护工作小组组织相关人员,根据《信息安全技术 信息系统安全等级保护基本要求(GBT 22239-2008)》、《信息安全技术 信息系统安全管理要求(GBT 20269-2006)》、《ISO/IEC 270012005 信息安全管理体系》的要求,结合实际的职责和工作流程,策划制定信息安全管理制度文件的架构,并形成合肥师范学院信息安全管理制度文件框架(以下简称“文件框架”)。

信息安全等级保护工作小组将制定的文件框架汇报给网络安全与信息化领导小组网络安全与信息化领导小组对文件框架进行审批确认。

2.3     制度文件架构与编写

信息安全等级保护工作小组根据审批后的文件框架及清单,负责组织编写各级文件。

总策略文件为《信息安全方针与安全策略》、《信息安全部门岗位职责说明》,它定义了安全管理的基本原则、基本方向、安全管理的组织框架和职责划分等。程序规范类文件主要包括《信息系统人员管理制度》、《系统安全管理制度》、《网络安全管理制度》等管理标准文件,主要规定了各个领域的安全管理的基本原则和目标。记录类文件主要是各个领域安全管理的过程文档,是整个安全管理体系有效执行和落地的主要手段,也是安全管理体系的过程记录,可做为对外的信息安全质量保证。

其中总体策略类文件由信息安全等级保护工作小组署名,其他类文件由编写人署名。

编写完成的文档需先经过各相关部门评审,最后由网络安全与信息化领导小组进行批准定稿。评审记录表见《制度文件评审记录表》。

2.4     体系文件标识及编写规范

(1)     文件的编码方式如下:

“合肥师范学院英文缩写”+“体系文件序号码-文件名称-版本号”

如:《HFNU01-信息安全领导机构组成与职责-V1.0》, “HFNU01”表示合肥师范学院和第1个管理文件(如出现HFNU01.1,则表示为体系文件中第1个文件的第一个配套的过程表单), “信息安全领导机构组成与职责”为体系文件名称,“V1.0”代表文件版本号。

(2)     体系文件借鉴ISO/27001标准要求,分总体策略、程序规范、记录文件,各类文件级别示意如下:

1级文件--------------总方针、总策略

2级文件--------------管理制度与操作规范

3级文件--------------记录、表单

文件序号码由阿拉伯数字按从小到大顺序组成,整个安全管理体系文件统一编码。

(3)     文件版本

文件经过修改后需更换版本。使用1234…表示文件的版本,用0123…表示修改的次数。

如: 1--表示第一版;2--表示第二版;3--表示第三版…

0--未经过修改;1—修改过第一次;2—修改过第二次…以此类推。

2.1表示第二版本修改过一次的文件。

(4)     文件的每次修改,以修改次数来表示,当文件的大部分需修改或修改过了许多次时则需要更换文件的版本。

(5)     文件不需要每次修改后重新发布,但如版本发生变化(如从ver1.3变成ver2.0)时需要重新发布。

2.5     制度文件的评审

信息安全等级保护工作小组应定期发起对体系文件的评审。对体系文件的评审应至少每年进行一次。评审流程如下:

(1)     信息安全等级保护工作小组发起对体系文件的评审申请,网络安全与信息化领导小组审核确认后批准评审要求。

(2)     信息安全等级保护工作小组制定评审计划。计划中应确定各文档对应的评审责任人以及实施评审的时间计划。

(3)     各评审责任人根据时间计划,结合内部审核、管理评审、风险评估及日常记录的结果,评估现有文件的有效性和充分性。如果确定文档有必要进行修改,应填写《制度文件修订记录》。

(4)     如果修改的内容只涉及信息技术中心,则由信息安全等级保护工作小组组长进行审批,在审批同意后,由文档评审责任人进行修改。

(5)     如果修改的内容涉及到信息技术中心以外的部门,需要所有涉及部门的会签。会签后,由文档评审责任人进行文档修改。

(6)     修改完毕之后,各责任人将《制度文件评审记录》和完善后的体系文件版本一并报送信息安全等级保护工作小组,由信息安全等级保护工作小组进行标识和保存。

(7)     信息安全等级保护工作小组最终将评审结果向网络安全与信息化领导小组进行汇报。

2.6     体系文件的作废

(1)     在体系文件的评审过程中,如果评审责任人认为文件应当作废,则填写体系文件作废申请表》,由信息安全等级保护工作小组审批后,报网络安全与信息化领导小组进行审批。

(2)     网络安全与信息化领导小组审批完成后,信息安全等级保护工作小组负责通知所有相关人员,并对《合肥师范学院信息安全管理制度文件框架》进行更新。

3      附件


 

1:制度文件评审记录表

制度文件评审记录表

评审内容

 

评审意见

 

 

 

 

 

 

 

评审意见

 

评审人员签字

 

记录人

 


3:制度文件修订记录表

制度文件修订记录

修订制度文件编号

修订前版本

修订内容

修订日期

修订执行人

(签字)

修订批准人

(签字)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


3:体系文件作废申请表

体系文件作废申请表

申请陈述

评审内容

评审结果

日期(记录人签字)

院领导、网络安全与信息化领导小组和信息安全等级保护工作小组:

现申请作废名称为:信息安全管理体系文件,原因如下:

 

 

 

 

 

 

 

 

 

申请人:                 

时间:                   

信息安全等级保护工作小组审批意见:

 

网络安全与信息化领导小组审批意见:

 

 

 

关闭

360网站安全检测平台