大学信息管理中心信息安全管理制度管理规定.docx

大学信息管理中心信息安全管理制度管理规定第一章总则第一条为了规范*大学信息管理中心（以下简称中心）安全管理制度的管理工作，促进安全管理制度持续改进，确保安全管理制度运行的符合性和有效性，特制定本规定。第二条本规定明确了安全管理制度的制定、发布、执行、评审、修订以及日常管理。第三条本规定适用于*大学信息管理中心。第二章制度内容第四条制度化是对信息安全管理工作的一项要求，制定中心安全管理制度应：（-）收集国家信息安全相关或者包含信息安全内容的法律、标准、政策中对安全管理制度的要求，根据要求建立相关的管理制度；（二）在中心信息安全相关的日常管理活动或者技术操作过程中，应形成程序化、规范化和标准化的管理活动或者作业流程，制定成相关的管理制度。第五条中心安全管理制度编制的内容应至少包括：（一）信息安全管理制度编写要求；（二）信息安全组织管理要求；（三）信息安全人员管理要求；（四）信息系统建设管理要求；（五）信息系统运维管理要求等。第三章制度制定第六条中心信息安全工作组负责编制信息安全管理制度，形成能够指导和管理信息安全规划、建设和运行的安全管理制度，有效合理控制信息安全风险。第七条中心安全主管应组织相关人员对制定的安全管理制度进行论证和审定，确保中心信息安全管理制度符合中心业务和信息化发展要求。第四章制度发布第八条信息安全管理制度经中心安全主管审批确认后,以正式文件的形式发布施行。第九条安全管理制度应注明发布范围，并对收发文进行登记。第十条签署发布的制度必须标明该规章制度的施行日期。第五章制度执行第十一条中心各部门人员应严格遵守制度要求，正确执行制度所规定的流程，并向中心反馈制度在落实过程中的问题和修改意见。第十二条对违反管理制度造成严重后果的部门或个人,须追究当事人、相关部门及主管领导的责任。第十三条安全工作和安全操作应按照制度要求保留相应记录，各部门领导应定期检查记录，确保不发生违规现象或发生违规后迅速更正。第六章制度评审第十四条安全主管负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。第十五条在管理制度评审后，应给出制度评审结果。对待不同评审结果的管理制度采取不同的处理措施。（-）对能够满足当前管理要求的信息安全管理制度，可维持使用；（二）对大体上能够满足当前管理要求的信息安全管理制度，但有部分已不符合实际情况或无法满足要求时，可列入计划对制度进行更改；（三）对大部分不满足当前管理要求的信息安全管理制度，应进行废除；（四）对管理制度无法覆盖的领域，应由信息安全工作组协同责任部门及人员共同制定相应的信息安全管理制度。第七章制度修订第十六条当安全管理制度在执行过程中有下列情形之一时，建议及时修改制度内容：（一）安全管理制度评审中发现不符合事项；（二）当发生重大安全事件，暴露出安全管理要求存在漏洞和缺陷时；（三）组织机构或信息系统、网络进行重大调整和变更后;（四）同一个事项在两个规章制度中规定不一致；（五）与国家、上级部门的安全政策标准相抵触；（六）其它需要修改安全管理制度的情形。第八章制度日常管理第十七条信息安全管理制度根据中心文件管理相关规定统一编号，由安全管理员进行维护。第十八条信息安全管理制度由办公室统一进行归档保存和管理，办公室建立安全管理制度清单，根据安全管理制度的变化，及时更新制度清单。应确保废弃文件及时进行记录和销毁处理。第九章附则第十九条本规范由信息安全工作组负责解释、修订。第二十条本规范自发布之日起执行。