三級等保-安全管理制度-信息安全管理體系文件編寫規(guī)范

1、* 主辦部門：系統(tǒng)運維部 執(zhí) 筆 人： 審 核 人：XXXXX信息安全管理體系文件編寫標(biāo)準(zhǔn)V0.1XXX-XXX-XX-030012014年3月17日本文件中出現(xiàn)的任何文字表達(dá)、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬XXXXX所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機構(gòu)未經(jīng)XXXXX的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。文件版本信息版本日期擬稿和修改說明V0.12014.3.17擬稿文件版本信息說明記錄本文件提交時當(dāng)前有效的版本控制信息，當(dāng)前版本文件有效期將在新版本文檔生效時自動結(jié)束。文件版本小于1.0 時，表示該版本文件為草案，僅可作為參照資料

2、之目的。閱送范圍內(nèi)部發(fā)送部門：綜合部、系統(tǒng)運維部、技術(shù)開發(fā)部。目 錄第一章 總則1第二章 細(xì)則1第三章 體系文件的格式2第四章 附則6附件7學(xué)習(xí)文檔 僅供參考第一章 總則第一條 為標(biāo)準(zhǔn)XXXXX信息安全管理體系文件的編寫和標(biāo)識，確保上清所信息安全管理體系文件在文件格式和內(nèi)容形式上的一致性。根據(jù)金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實施指引JR/T 00712012，結(jié)合XXXXX實際，制定本標(biāo)準(zhǔn)。第二條 本標(biāo)準(zhǔn)適用于XXXXX涉及信息安全管理體系文件的編寫與標(biāo)識的相關(guān)活動。第三條 網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)組織XXXXX信息安全管理體系各級文件的編寫和修訂；負(fù)責(zé)XXXXX信息安全管理體系文

3、件編碼的分配和統(tǒng)一管理。第二章 細(xì)則第四條 體系文件類型包括：一管理策略：是指對信息系統(tǒng)安全運行提出策略性要求的文件，是信息安全管理體系的一級文件。二管理規(guī)定：是指根據(jù)信息安全管理體系的管理策略要求提出詳細(xì)規(guī)定的文件，是信息安全管理體系的二級文件。三管理標(biāo)準(zhǔn)、操作手冊：是指根據(jù)信息安全管理體系的管理規(guī)定提出具體的操作細(xì)則的文件、或?qū)δ骋惶囟ㄇ闆r進(jìn)行描述、解釋、處置等的文件，是信息安全管理體系的三級文件。四運行記錄、表單、工單：是指對信息安全管理體系運行時產(chǎn)生的痕跡、軌跡進(jìn)行記錄的文件，是信息安全管理體系的四級文件。第三章 體系文件的格式第五條 體系文件的格式由密級等級、主辦部門標(biāo)識、執(zhí)筆人標(biāo)識

4、、審核人標(biāo)識、標(biāo)題、文件版本號、文件類別代碼、編制日期、文件警告信息、文件版本信息、閱知范圍、目錄、正文、附件、印章等要素組成。一密級等級：根據(jù)2014年通知第23號關(guān)于落實內(nèi)部重要文件資料管理方法有關(guān)事宜的通知要求，體系文件分為商業(yè)絕密、有限訪問、內(nèi)部使用 3 個等級。執(zhí)筆人根據(jù)內(nèi)部重要文件資料管理方法及文件實際情況對體系文件提出密級等級和發(fā)送范圍建議，最終由主辦部門負(fù)責(zé)人審定批準(zhǔn)。標(biāo)識標(biāo)注于文件首頁右上角，“商業(yè)絕密”標(biāo)為“*”，“有限訪問”標(biāo)為“*”，“內(nèi)部使用”標(biāo)為“*”。字體為“仿宋”，字號為“小三”。信息安全管理體系文件必須明確發(fā)送范圍，流轉(zhuǎn)過程中應(yīng)按知悉范圍發(fā)送，未經(jīng)審批不允許擴(kuò)

5、散到發(fā)送范圍之外。1.商業(yè)絕密：僅限擬稿人、部門負(fù)責(zé)人、相關(guān)公司領(lǐng)導(dǎo)知悉；2.有限訪問：僅限于擬稿部門和相關(guān)部門人員、公司領(lǐng)導(dǎo)知悉。3.內(nèi)部使用：限于公司內(nèi)部職工知悉。二主辦部門標(biāo)識、執(zhí)筆人標(biāo)識、審核人標(biāo)識：標(biāo)識標(biāo)注于密級等級下方。右對齊，字體為“仿宋”，字號為“小三”。三文件標(biāo)題：于審核人下方第8行。居中，字體為“黑體”，字號為“小二”，標(biāo)題應(yīng)包含文件版本號。四文件版本號：是指整份文件的版本狀態(tài)。文件正式發(fā)布版本為v1.0，然后版本號以0.1的間隔順序遞增標(biāo)識不同的版本號。五文件代碼：每份體系文件只允許有唯一的編號，該編號由系統(tǒng)運維部統(tǒng)一管理和分配。標(biāo)識標(biāo)注于標(biāo)題下方。居中，字體為“黑體”，

6、字號為“小二”。文件代碼格式為“<XXXXX縮寫>-<信息安全管理體系縮寫>-<文件類別編碼>-<文件編號>”：1.XX為XXXXX名稱縮寫；2.ISMS為信息安全管理體系縮寫；3.AA為文件類別編碼，一般為兩位：1安全管理制度(Secrutiy Policy)編碼為SP;2安全管理機構(gòu)(Secrutiy Organization)編碼為SO;3人員安全管理(Human Secrutiy)編碼為HS;4系統(tǒng)建設(shè)管理(System Establishment)編碼為SE;5系統(tǒng)運維管理(System Maintenance)編碼為SM;4.BBBB

7、B為文件編號，一般為五位。前2位是文件的級別，后3位為文件的序號。例：XX-ISMS-SP-01001、XX-ISMS-SP-02001、XX-ISMS-SP-03001、XX-ISMS-SP-03002。六編制日期：以部門負(fù)責(zé)人審核的日期為準(zhǔn)，標(biāo)注與首頁的右下角，字體為“仿宋”，字號為“小三”。七文件警告信息：標(biāo)注于文件的第2頁，字體為“仿宋”，字號為“小三”，段首左端縮進(jìn)2字符。八文件版本信息：以表格形式標(biāo)注于文件警告信息下方第2行，須有版本號、日期、修改內(nèi)容及說明等要素組成。九閱知范圍：包括主送單位、抄送單位和內(nèi)部發(fā)送部門。1.主送單位是文件的受理單位，應(yīng)使用全稱或標(biāo)準(zhǔn)化簡稱、統(tǒng)稱。XX

8、XXX報送人民銀行的公文，主送機關(guān)應(yīng)為“人民銀行”或“人民銀行辦公廳”。2.抄送單位是除主送單位外需要執(zhí)行或知曉公文內(nèi)容的其他單位，應(yīng)使用全稱或標(biāo)準(zhǔn)化的簡稱、統(tǒng)稱。3.公文有兩個以上的主送單位或抄送單位時，主送單位或抄送單位應(yīng)按級別高低或與公文內(nèi)容聯(lián)系的緊密程度順序排列。4.內(nèi)部發(fā)送部門為XXXXX內(nèi)部需要執(zhí)行或了解公文內(nèi)容的部門。內(nèi)部發(fā)送部門按綜合部、主辦部門、會簽部門及其他需要閱知單位順序排列。十目錄：“目錄”兩字居中，字體為“仿宋”，字號為“小三”。目錄只顯示1、2級標(biāo)題十一正文：字體為“仿宋”，字號為“小三”，段首左端縮進(jìn)2字符。正文結(jié)構(gòu)層次標(biāo)題序數(shù)按以下兩種方式選擇使用：1.第一層為“第一章”，第二層為“第一條”，第三層為“(一)”，以后自行標(biāo)注其他層次。2.第一層為“一”，第二層為“一”，第三層為“1.”，第四層為1，以后自行標(biāo)注其他層次。十二附件：是指文件正文發(fā)出的文字材料及表格。如有附件，應(yīng)注明附件順序和名稱。十三印章：體系文件的1、2級文件應(yīng)當(dāng)加蓋印章。第六條 體系文件的文字從左到右橫寫、橫排。行距統(tǒng)一為1.5倍，文件一般不采用留空行、非頭行縮格、加下劃線等特殊格式。第七條 體系文件須在每頁的頁眉處標(biāo)識文件體系和文件名。字體為“仿宋”，字號為“五號”。第八條 體系文件須在每頁的頁腳中間標(biāo)注頁碼，頁碼的標(biāo)識按整份文件的頁數(shù)順序標(biāo)注。第九條 用紙