版本號: ver1.0
密級: 內部公開
***資訊保安管理體系管理規定
修訂記錄
(注:版本號:第一次制訂為第一版,既以「1.
0」表示。若有重大修改時,號碼遞增1,即為「2.0」。
若有細微修改,號碼遞增0.1,即為「1.1」,若號碼變更數超過9時,則以10、11、12……依序排列。
)目錄第一章總則 4
第二章適用範圍 4
第三章術語定義 4
第四章職責 4
第五章檔案起草 5
第六章檔案評審 6
第七章檔案發布 7
第八章檔案修訂 7
第九章檔案廢止 8
第十章持續改進 9
第十一章附則 9
(一) 負責規劃、監督、指導資訊保安管理制度檔案的起草、審查、發布、清理等工作。
(二) 負責資訊保安管理制度的評審及修訂後複審工作。
(三) 確保資訊保安管理制度能持續恰當和有效地運作。
(四) 提供充足的資源和支援,以持續改善資訊保安管理制度。
(一) 負責組織管理體系檔案的起草、編制、修訂、補充等工作的開展,並將實施成果向領導小組匯報。
(二) 負責啟動和主持資訊保安管理制度的管理評審工作 。
(三) 負責協調相關人員,指導收集評審資料。
(四) 確保評審會議所提出的行動專案能在規定的時間內完成,並負責其相關的監督工作。
(五) 負責對評審結果如需進行修訂項協調相關人員進行修訂。
(六) 指派人員負責對修訂措施的執行結果進行驗證。
(一) 負責依據管理體系檔案的內容進行宣貫、培訓、執行、檢查等工作,並依據部門情況落實管理體系的要求。
(二) 負責協助進行評審。
(三) 負責實施修訂措施。
(一)制定的目的和依據;
(二)適用範圍;
(三)術語定義
四)組織職責
五)具體管理要求或規定
六)必要的附則
(七) 與規範內容相關的資料性附錄和參考性附錄
一)起草說明;
二)與此規範內容有關的規範性檔案;
(三)彙總的各方意見;
(四)如需制定實施細則,應當提交實施細則的主要內容和實施細則擬出台的時間;
(五)其他需要報送的材料。
(一)是否符合許可權和程式;
(二)是否符合原則;
(三)是否與其他規範相協調、銜接;
(四)是否已對有關不同意見進行協調;
(五)是否具有可行性;
(六)是否符合相關技術要求;
(七)需要審查的其他內容。
(一) 根據業務系統的性質和安全要求,確定(或複審)資訊保安管理制度的範圍,建立(複審)資訊保安管理制度,包括資訊保安策略、標準和程式。
(二) 對資訊保安管理制度審核結果進行評審,分析導致不符合項的原因。
(三) 審查審核物件的反饋資訊。
(四) 總結已發現的安全事件和漏洞。
(五) 審查現行的安全控制措施和相關技術是否有效。
(六) 複查修訂措施的實施狀況。
(七) 檢查先前管理評審中所定義的措施的實施狀況。
(八) 審查改善措施的建議。
(九) 複查業務和法律法規方面的變更(比如:業務需求、客戶需求的變更和新頒布的法律法規)。
(一十) 審查可能影響資訊保安管理制度的任何變更。
(一十一) 為協調相關資訊保安的實施,評審相關資源的充足性。
(一) 系統業務發生重大變更。
(二) 系統資訊保安策略的重大變更。
(三) 目前資訊保安管理制度的執行不力。
(四) 系統資訊保安管理制度的範圍發生變更。
(五) 相關標準法規發布修訂版本或有變更。
評審工作的會議記錄均需歸檔,以儲存正式的記錄。
(一) 來自系統資訊保安管理制度相關人員的反饋資訊或調查申請。
(二) 資訊保安管理評審的會議討論中發現的問題。
(三) 資訊保安管理制度的審核發現的不符合項。
(一) 由資訊保安等級保護工作小組指派專門的人員負責對問題進行分析調查並確認問題的起因。
(二) 調查人員需提供盡可能多的關於整個問題調查的詳細結果。作為修訂措施報告的一部分,也可以提供一些額外的補充資訊。
(一) 基於所調查出的問題起因,需確認並實施相應措施或對事故進行調查研究,負責上述行動的執行者需確保更新任何相關的檔案或管理流程。比如:
a) 準備制定或更新相關管理程式。
b) 培訓/通知相關人員知曉。
(二) 執行人員負責跟蹤所執行修訂措施的效果。一旦發現效果不如預期,其相關負責人需進行評估分析並就進一步的應對措施進行確認。執行人員必須確保所實施的修訂措施是可證實和可驗證的,並保證修訂措施的報告中都有詳細說明。
(一) 如果驗證出所採取的措施是達到預期效果的,則修訂措施才算是成功,可以結束跟蹤,驗證階段包括以下兩個部分:
a) 對所規定修訂措施的執行程度進行驗證。
b) 對修訂措施的執行效果進行驗證。
(二) 措施驗證的結果必須中有詳細的說明,且對相關記錄進行儲存。
(一)因有關主管部門行政法規廢止或者修改,失去制定依據或者沒有必要繼續執行的;
(二)因規定的事項已執行完畢或者因實際情況變化,沒有必要繼續執行的;
(三)新的管理制度已取代了舊的管理制度的;
(四)其他應當予以廢止的情況。
***管理制度發布記錄
某某公司績效管理體系
關於這份材料的說明 這份資料介紹公司的績效管理系統,此系統旨在營造高績效的企業文化,並著力兼顧員工的發展需求,它也將提供必要的資訊和工具,從而使員工以公司目標為前提,設立與實現其個人目標。與此同時,最大限度地發揮個人與團隊的積極性以實現公司經營結果。為了建立公司績效管理系統,人本公司於二 四年二月安...
某公司績效管理體系方案
終稿 第一部分總則 一 目的 企業績效管理體系目的眾多,本公司績效管理體系目的鎖定為 1.落實公司 部門年度工作計畫和工作指標,確保公司發展的戰略態勢。2.作為崗位調整 培訓 獎懲 職業發展規劃的依據。3.提高組織績效,調控組織行為。4.通過績效考核的過程管理,不斷提高各級員工的工作與管理能力。二 ...
資訊保安管理體系審核指南
目次本標準由全國資訊保安標準化技術委員會提出並歸口 本標準起草單位 本標準主要起草人 gb t22080 2008 iso iec 27001 2005是基於過程的。標準的4 8章規定了一組isms過程。過程可有簡單過程和複雜過程。複雜過程又可包含許多較為簡單的過程。例如,gb t22080 200...