制度體系制定和發(fā)布管理規(guī)定

三二一（北京）科技有限公司制度體系制定和發(fā)布管理規(guī)定2016年8月版本控制版本 修改時(shí)間 修改內(nèi)容 修改人員 審核人員V1.0 2016-08-25 新增 陳達(dá)隆 吳為問I第一章 總則第一條 為了保證三二一（北京）科技有限公司安全管理制度體系的持續(xù)性、時(shí)效性以及適應(yīng)性，滿足業(yè)務(wù)不斷變化的安全管理的需要，明確安全管理制度體系的制定、發(fā)布、評(píng)審和修訂過程中管理職責(zé)，特制定本規(guī)定。第二條 本規(guī)定適用于三二一（北京）科技有限公司安全管理制度體系制定和發(fā)布過程、管理對(duì)象為信息安全管理部門以及人員。第二章 管理職責(zé)第三條 信息安全管理委員會(huì)，職責(zé)為：(一)負(fù)責(zé)規(guī)劃、監(jiān)督、指導(dǎo)信息安全安全管理制度體系文件的起草、審查、發(fā)布、清理等工作。(二)負(fù)責(zé)安全管理制度體系的評(píng)審及修訂后復(fù)審工作。(三)確保安全管理制度體系能持續(xù)恰當(dāng)和有效地運(yùn)作。(四)提供充足的資源和支持，以持續(xù)改善安全管理制度體系。第四條 信息技術(shù)部，職責(zé)為：(一)負(fù)責(zé)組織管理體系文件的起草、編制、修訂、補(bǔ)充等工作的開展，并將實(shí)施成果向領(lǐng)導(dǎo)小組匯報(bào)。(二)負(fù)責(zé)啟動(dòng)和主持安全管理制度體系的管理評(píng)審工作。(三)負(fù)責(zé)協(xié)調(diào)相關(guān)人員，指導(dǎo)收集評(píng)審資料。(四)確保評(píng)審會(huì)議所提出的行動(dòng)項(xiàng)目能在規(guī)定的時(shí)間內(nèi)完成，并負(fù)責(zé)其相關(guān)的監(jiān)督工作。1(五)負(fù)責(zé)對(duì)評(píng)審結(jié)果如需進(jìn)行修訂項(xiàng)協(xié)調(diào)相關(guān)人員進(jìn)行修訂。(六)指派人員負(fù)責(zé)對(duì)修訂措施的執(zhí)行結(jié)果進(jìn)行驗(yàn)證。第五條 相關(guān)人員，是指三二一（北京）科技有限公司安全管理制度體系涉及的人員。比如：系統(tǒng)管理員、應(yīng)用管理員、開發(fā)管理人員、網(wǎng)絡(luò)管理員、數(shù)據(jù)管理員、資產(chǎn)管理員和安全管理員等，其職責(zé)為：(一)負(fù)責(zé)依據(jù)管理體系文件的內(nèi)容進(jìn)行宣貫、培訓(xùn)、執(zhí)行、檢查等工作，并依據(jù)部門情況落實(shí)管理體系的要求。(二)負(fù)責(zé)協(xié)助進(jìn)行評(píng)審。(三)負(fù)責(zé)實(shí)施修訂措施。第三章 文件起草第六條三二一（北京）科技有限公司信息安全管理體系規(guī)范文件由信息技術(shù)部負(fù)責(zé)起草或組織起草。第七條負(fù)責(zé)起草的部門應(yīng)當(dāng)確定一名熟悉相關(guān)內(nèi)容員工為項(xiàng)目負(fù)責(zé)人，如涉及多個(gè)部門時(shí)，可由有關(guān)部門共同派人組成聯(lián)合起草小組，由主要起草部門負(fù)責(zé)牽頭組織。第八條起草的規(guī)范性文件應(yīng)當(dāng)結(jié)構(gòu)嚴(yán)謹(jǐn)、內(nèi)容完備、形式規(guī)范、條理清楚、用詞準(zhǔn)確、文字簡(jiǎn)潔。第九條 應(yīng)當(dāng)明確規(guī)定如下內(nèi)容：(一)制定的目的和依據(jù)。(二)適用范圍。(三)組織職責(zé)。2(四)具體管理要求或規(guī)定。(五)必要的附則。(六)與規(guī)范內(nèi)容相關(guān)的資料性附錄和參考性附錄。第十條 報(bào)送審查的管理制度送審稿應(yīng)當(dāng)由起草部門負(fù)責(zé)人簽署后報(bào)信息安全管理委員會(huì)審查。幾個(gè)部門共同起草的規(guī)范送審稿，應(yīng)當(dāng)由起草部門負(fù)責(zé)人共同簽署后報(bào)信息安全管理委員會(huì)審查。第十一條 下列材料應(yīng)當(dāng)與規(guī)范送審稿一并報(bào)送信息安全管理委員會(huì)審查：(一)起草說明。(二)與此規(guī)范內(nèi)容有關(guān)的規(guī)范性文件。(三)匯總的各方意見。(四)如需制定實(shí)施細(xì)則，應(yīng)當(dāng)提交實(shí)施細(xì)則的主要內(nèi)容和實(shí)施細(xì)則擬出臺(tái)的時(shí)間。(五)其他需要報(bào)送的材料。第十二條 信息安全管理委員會(huì)主要從以下方面對(duì)送審稿進(jìn)行審查：(一)是否符合權(quán)限和程序。(二)是否符合原則。(三)是否與其他規(guī)范相協(xié)調(diào)、銜接。(四)是否已對(duì)有關(guān)不同意見進(jìn)行協(xié)調(diào)。(五)是否具有可行性。(六)是否符合相關(guān)技術(shù)要求。3(七)需要審查的其他內(nèi)容。第十三條 由信息安全管理委員會(huì)對(duì)送審稿提出審查結(jié)論，對(duì)草案涉及的有關(guān)爭(zhēng)議問題以及修改情況作重點(diǎn)說明。 由信息安全管理委員會(huì)負(fù)責(zé)人簽署的書面審查報(bào)告應(yīng)當(dāng)反饋起草部門。第四章 文件評(píng)審第十四條 三二一（北京）科技有限公司信息技術(shù)部定期（至少每年一次）開展安全管理制度體系的評(píng)審工作， 以確保整個(gè)安全管理制度體系的充份性、適當(dāng)性和有效性。第十五條 安全管理制度體系評(píng)審內(nèi)容：(一)根據(jù)業(yè)務(wù)系統(tǒng)的性質(zhì)和安全要求，確定（或復(fù)審）安全管理制度體系的范圍，建立（復(fù)審）安全管理制度體系，包括信息安全策略、標(biāo)準(zhǔn)和程序。(二)對(duì)安全管理制度體系審核結(jié)果進(jìn)行評(píng)審，分析導(dǎo)致不符合項(xiàng)的原因。(三)審查審核對(duì)象的反饋信息。(四)總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。(五)審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。(六)復(fù)查修訂措施的實(shí)施狀況。(七)檢查先前管理評(píng)審中所定義的措施的實(shí)施狀況。(八)審查改善措施的建議。(九)復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更（比如：業(yè)務(wù)需求、客戶需求的變更和新頒布的法律法規(guī)）。4(十)審查可能影響安全管理制度體系的任何變更。(十一) 為協(xié)調(diào)相關(guān)信息安全的實(shí)施，評(píng)審相關(guān)資源的充足性。第十六條 評(píng)審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)管理評(píng)審工作：(一)系統(tǒng)業(yè)務(wù)發(fā)生重大變更。(二)系統(tǒng)信息安全策略的重大變更。(三)目前安全管理制度體系的執(zhí)行不力。(四)系統(tǒng)安全管理制度體系的范圍發(fā)生變更。(五)相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。(六)評(píng)審工作的會(huì)議記錄均需歸檔，以保存正式的記錄。第五章 文件發(fā)布第十七條 規(guī)范草案經(jīng)信息安全管理委員會(huì)審議并原則通過后，起草部門根據(jù)審議中提出的修改意見對(duì)草案進(jìn)行修改， 經(jīng)信息安全管理委員會(huì)負(fù)責(zé)人簽發(fā),以三二一（北京）科技有限公司管理制度規(guī)范形式公布。第十八條 文件的發(fā)布應(yīng)遵照統(tǒng)一的格式，進(jìn)行版本控制；并應(yīng)注明發(fā)布范圍，對(duì)收發(fā)文進(jìn)行登記。對(duì)發(fā)布的制度應(yīng)在《三二一（北京）科技有限公司信息安全制度體系發(fā)布記錄》中進(jìn)行記錄。第六章 文件修訂第十九條 問題的識(shí)別及確認(rèn)，采取修訂措施可能由以下原因，包括但不限于：5(一)來自系統(tǒng)安全管理制度體系相關(guān)人員的反饋信息或調(diào)查申請(qǐng)。(二)信息安全管理評(píng)審的會(huì)議討論中發(fā)現(xiàn)的問題。(三)安全管理制度體系的審核發(fā)現(xiàn)的不符合項(xiàng)。第二十條 調(diào)查問題的起因：(一)由信息技術(shù)部指派專門的人員負(fù)責(zé)對(duì)問題進(jìn)行分析調(diào)查并確認(rèn)問題的起因。(二)調(diào)查人員需提供盡可能多的關(guān)于整個(gè)問題調(diào)查的詳細(xì)結(jié)果。作為修訂措施報(bào)告的一部分，也可以提供一些額外的補(bǔ)充信息。第二十一條 執(zhí)行修訂措施：(一)基于所調(diào)查出的問題起因，需確認(rèn)并實(shí)施相應(yīng)措施或?qū)κ鹿蔬M(jìn)行調(diào)查研究，負(fù)責(zé)上述行動(dòng)的執(zhí)行者需確保更新任何相關(guān)的文件或管理流程。比如：準(zhǔn)備制定或更新相關(guān)管理程序。培訓(xùn)/通知相關(guān)人員知曉。(二)執(zhí)行人員負(fù)責(zé)跟蹤所執(zhí)行修訂措施的效果。一旦發(fā)現(xiàn)效果不如預(yù)期，其相關(guān)負(fù)責(zé)人需進(jìn)行評(píng)估分析并就進(jìn)一步的應(yīng)對(duì)措施進(jìn)行確認(rèn)。執(zhí)行人員必須確保所實(shí)施的修訂措施是可證實(shí)和可驗(yàn)證的， 并保證修訂措施的報(bào)告中都有詳細(xì)說明。第二十二條 措施的驗(yàn)證：(一)如果驗(yàn)證出所采取的措施是達(dá)到預(yù)期效果的，則修訂措施才算是成功，可以結(jié)束跟蹤，驗(yàn)證階段包括以下兩個(gè)部分：6對(duì)所規(guī)定修訂措施的執(zhí)行程度進(jìn)行驗(yàn)證。對(duì)修訂措施的執(zhí)行效果進(jìn)行驗(yàn)證。(二)措施驗(yàn)證的結(jié)果必須中有詳細(xì)的說明，且對(duì)相關(guān)記錄進(jìn)行保存。第七章 文件廢止第二十三條 遇有下列情形之一的，管理制度應(yīng)當(dāng)及時(shí)廢止：(一)因有關(guān)主管部門行政法規(guī)廢止或者修改，失去制定依據(jù)或者沒有必要繼續(xù)執(zhí)行的；(二)因規(guī)定的事項(xiàng)已執(zhí)行完畢或者因?qū)嶋H情況變化，沒有必要繼續(xù)執(zhí)行的；(三)新的管理制度已取代了舊的管理制度的；(四)其他應(yīng)當(dāng)予以廢止的情況。第二十四條 對(duì)需要廢止的管理制度由信息安全管理委員會(huì)明文廢止或者宣布失效。第二十五條 對(duì)新制定的規(guī)范可以替代舊的規(guī)范的，應(yīng)當(dāng)在新的規(guī)范中列出詳細(xì)目錄，明文廢止被替代的規(guī)范。第八章 持續(xù)改進(jìn)第二十六條 為了保證本策略文件的時(shí)效性、可有性，必須根據(jù)相關(guān)審核規(guī)定進(jìn)行評(píng)審和修訂，修訂后重新發(fā)布。第九章 附則第二十七條 三二一（北京）科技有限公司信息技術(shù)部起草信息7安全管理相關(guān)制度參照本辦法規(guī)定辦理。第二十八條 對(duì)于違反本辦法制定的規(guī)范性文件，信息安全管理委員會(huì)可責(zé)令限期改正、對(duì)有關(guān)規(guī)范性文件予以撤銷。本規(guī)定自發(fā)布之日起生效。8愛人者，人恒愛之；敬人者，人恒敬之；寬以濟(jì)猛，猛以濟(jì)寬，政是以和。將軍額上能跑馬，宰相肚里能撐船。最高貴的復(fù)仇是寬容。有時(shí)寬容引起的道德震動(dòng)比懲罰更強(qiáng)烈。君子賢而能容罷，知而能容愚，博而能容淺，粹而能容雜。寬容就是忘卻，人人都有痛苦，都有傷疤，動(dòng)輒去揭，便添新創(chuàng)，舊痕新傷難愈合，忘記昨日的是非，忘記別人先前對(duì)自己的指責(zé)和謾罵，時(shí)間是良好的止痛劑，學(xué)會(huì)忘卻，生活才有陽光，才有歡樂。不要輕易放棄感情，誰都會(huì)心疼；不要沖動(dòng)下做決定，會(huì)后悔一生。也許只一句分手，就再也不見；也許只一次主動(dòng)，就能挽回遺憾。世界上沒有不爭(zhēng)吵的感情，只有不肯包容的心靈；生活中沒有不會(huì)生氣的人，只有不知原諒的心。感情不是游戲，誰也傷不起；人心不是鋼鐵，誰也疼不起。好緣分，憑的就是真心真意；真感情，要的就是不離不棄。愛你的人，舍不得傷你；傷你的人，并不愛你。你在別人心里重不重要，自己可以感覺到。所謂華麗的轉(zhuǎn)身，都有旁人看不懂的情深。人在旅途，肯陪你一程的人很多，能陪你一生的人卻很少。誰在默默的等待，誰又從未走遠(yuǎn)，誰能為你一直都在？這世上，別指望人人都對(duì)你好，對(duì)你好的人一輩子也不會(huì)遇到幾個(gè)。人心只有一顆，能放在心上的人畢竟不多；感情就那么一塊，心里一直裝著你其實(shí)是難得。9動(dòng)了真情，情才會(huì)最難割；付出真心，心才會(huì)最難舍。你在誰面前最蠢，就是最愛誰。其實(shí)戀愛就這么簡(jiǎn)單，會(huì)讓你智商下降，完全變了性格，越來越不果斷。所以啊，不管你有多聰明，多有手段，多富有攻擊性，真的愛上人時(shí)，就一點(diǎn)也用不上。這件事情告訴我們。誰在你面前很聰明，很有手段，誰就真的不愛你呀。遇到你之前，我以為愛是驚天動(dòng)地，愛是轟轟烈烈抵死纏綿；我以為愛是蕩氣回腸，愛是熱血沸騰幸福滿滿。我以為愛是窒息瘋狂，愛是炙熱的火炭。婚姻生活牽手走過酸甜苦辣溫馨與艱難，我開始懂得愛是經(jīng)得起平淡。愛人者，人恒愛之；敬人者，人恒敬之；寬以濟(jì)猛，猛以濟(jì)寬，政是以和。將軍額上能跑馬，宰相肚里能撐船。最高貴的復(fù)仇是寬容。有時(shí)寬容引起的道德震動(dòng)比懲罰更強(qiáng)烈。君子賢而能容罷，知而能容愚，博而能容淺，粹而能容雜。寬容就是忘卻，人人都有痛苦，都有傷疤，動(dòng)輒去揭，便添新創(chuàng)，舊痕新傷難愈合，忘記昨日的是非，忘記別人先前對(duì)自己的指責(zé)和謾罵，時(shí)間是良好的止痛劑，學(xué)會(huì)忘卻，生活才有陽光，才有歡樂。不要輕易放棄感情，誰都會(huì)心疼；不要沖動(dòng)下做決定，會(huì)后悔一生。也許只一句分手，就再也不見；也許只一次主動(dòng)，就能挽回遺憾。世界上沒有不爭(zhēng)吵的感情，只有不肯包容的心靈；生活中沒有不會(huì)生氣的人，只有不知原諒的心。感情不是游戲，誰也傷不起；人心不是鋼鐵，誰也疼不起。好緣分，憑的就是真心真意；真感情，要的就是不離不棄。愛你的人，舍不得傷你；傷你的人，并不愛你。你在別人心里重不重要，自己可以感覺到。所謂華麗的轉(zhuǎn)身，都有旁人看不懂的情深。人在旅途，肯陪你一程的人很多，能陪你一生的人卻很少。誰在默默的等待，誰又從未走遠(yuǎn)，誰能為你一直都在？這世上，別指望人人都對(duì)你好，對(duì)你好的人一輩子也不會(huì)遇到幾個(gè)。人心只有一顆，能放在心上的人畢竟不多；感情就那么一塊，心里一直裝著你其實(shí)是難得。動(dòng)了真情，情才