某公司制度体系评审和修订管理规定.docx

编号：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXX公司制度体系评审和修订管理规定XXXX年XXX月1.文件版本信息说明文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件为草案，仅可作为参照资料之目的。版本号1.0发布时间XXX发布范围XXX修订时间XXX修订内容XXX备注发布之日起施行I1第一章总则第一条为了XXXX公司安全管理制度体系的持续性、时效性以及适应性，满足企业不断变化的安全管理的需要，明确安全管理制度体系的评审和修订过程中管理职责，特制定本规定。第二条本规定适用于XXXX公司安全管理制度体系评审和修订过程以及相关人员。第二章管理职责第三条信息安全管理委员会，职责为：（一）负责安全管理制度体系的评审及修订后复审工作°（二）确保安全管理制度体系能持续恰当和有效地运作Q（三）提供充足的资源和支持，以持续改善安全管理制度体系。第四条信息部，职责为：（一）负责启动和主持安全管理制度体系的管理评审工作。（二）负责协调相关人员，指导收集评审资料。（三）确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。（四）负责对评审结果如需进行修订项协调相关人员进行修订。（五）指派人员负责对修订措施的执行结果进行验证。第五条相关人员，是指安全管理制度体系涉及的人员。比如:系统管理员、应用管理员、开发管理人员、网络管理员、数据管理员、资产管理员和安全管理员等，其职责为：（一）负责协助进行评审。（二）负责实施修订措施。第三章评审程序第六条定期（至少每年一次）开展安全管理制度体系的评审工作，以确保整个安全管理制度体系的充份性、适当性和有效性。第七条安全管理制度体系评审内容：（一）根据业务系统的性质和安全要求，确定（或复审）安全管理制度体系的范围，建立（复审）安全管理制度体系，包括信息安全策略、标准和程序。（二）对安全管理制度体系审核结果进行评审，分析导致不符合项的原因。（三）审查审核对象的反馈信息。（四）总结已发现的安全事件和漏洞。（五）审查现行的安全控制措施和相关技术是否有效。（六）复查修订措施的实施状况。（七）检查先前管理评审中所定义的措施的实施状况。（A）审查改善措施的建议°（九）复查业务和法律法规方面的变更（比如：业务需求、客户需求的变更和新颁布的法律法规）。（+）审查可能影响安全管理制度体系的任何变更。（十一）为协调相关信息安全的实施，评审相关资源的充足性。第八条评审工作必须至少每年举行一次，发生以下情况时，也需要启动管理评审工作:（一）系统业务发生重大变更。（二）系统信息安全策略的重大变更。（三）目前安全管理制度体系的执行不力。（四）系统安全管理制度体系的范围发生变更。（五）相关标准法规发布修订版本或有变更。第九条评审工作的会议记录均需归档，以保存正式的记录。第四章修订程序第十条问题的识别及确认，采取修订措施可能由以下原因，包括但不限于：（一）来自系统安全管理制度体系相关人员的反馈信息或调查申请。（二）信息安全管理评审的会议讨论中发现的问题。（三）安全管理制度体系的审核发现的不符合项Q第十一条调查问题的起因：（一）由信息安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。（二）调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息Q第十二条执行修订措施：（一）基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新任何相关的文件或管理流程。比如:a）准备制定或更新相关管理程序。b）培训/通知相关人员知晓。（二）执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施的报告中都有详细说明。第十三条措施的验证：（一）如果验证出所采取的措施是达到预期效果的，则修订措施才算是成功，可以结束跟踪，验证阶段包括以下两个部分：a）对所规定修订措施的执行程度进行验证。b）对修订措施的执行效果进行验证。（二）措施验证的结果必须中有详细的说明，且对相关记录进行保存。第五章持续改进第十四条为了保证本策略文件的时效性、可有性，必须根据相关审核规定进行评审和修订，修订后重新发布Q第六章附则第十五条本文件由信息部负责制定、解释和修改。第十六条本文件自发布之日起生效。管理制度评审记录表评审制度名称XXX评审人员XXX评审日期XXX评审地点XXX评审内容提要XXX评审意见：XXX评审主持人（签字）：年月日评审结论：XXX评审主持人（签字）：年月日