第一章  总  则

第一条     为了规范吉林财经大学信息管理中心（以下简称“中心”）安全管理制度的管理工作，促进安全管理制度持续改进，确保安全管理制度运行的符合性和有效性，特制定本规定。

第二条     本规定明确了安全管理制度的制定、发布、执行、评审、修订以及日常管理。

第三条     本规定适用于吉林财经大学信息管理中心。

第二章  制度内容

第四条     制度化是对信息安全管理工作的一项要求，制定中心安全管理制度应：

(一)    收集国家信息安全相关或者包含信息安全内容的法律、标准、政策中对安

全管理制度的要求，根据要求建立相关的管理制度；

(二)    在中心信息安全相关的日常管理活动或者技术操作过程中，应形成程序

化、规范化和标准化的管理活动或者作业流程，制定成相关的管理制度。

第五条     中心安全管理制度编制的内容应至少包括：

(一)信息安全管理制度编写要求；

(二)信息安全组织管理要求；

(三)信息安全人员管理要求；

(四)信息系统建设管理要求；

(五)信息系统运维管理要求等。

第三章  制度制定

第六条     中心信息安全工作组负责编制信息安全管理制度，形成能够指导和管理信息安全规划、建设和运行的安全管理制度，有效合理控制信息安全风险。

第七条     中心安全主管应组织相关人员对制定的安全管理制度进行论证和审定，确保中心信息安全管理制度符合中心业务和信息化发展要求。

第四章  制度发布

第八条     信息安全管理制度经中心安全主管审批确认后，以正式文件的形式发布施行。

第九条     安全管理制度应注明发布范围，并对收发文进行登记。

第十条     签署发布的制度必须标明该规章制度的施行日期。

第五章  制度执行

第十一条  中心各部门人员应严格遵守制度要求，正确执行制度所规定的流程，并向中心反馈制度在落实过程中的问题和修改意见。

第十二条  对违反管理制度造成严重后果的部门或个人，须追究当事人、相关部门及主管领导的责任。

第十三条  安全工作和安全操作应按照制度要求保留相应记录，各部门领导应定期检查记录，确保不发生违规现象或发生违规后迅速更正。

第六章  制度评审

第十四条  安全主管负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。

第十五条  在管理制度评审后，应给出制度评审结果。对待不同评审结果的管理制度采取不同的处理措施。

(一)      对能够满足当前管理要求的信息安全管理制度，可维持使用；

(二)    对大体上能够满足当前管理要求的信息安全管理制度，但有部分已不符合

实际情况或无法满足要求时，可列入计划对制度进行更改；

(三)    对大部分不满足当前管理要求的信息安全管理制度，应进行废除；

(四)    对管理制度无法覆盖的领域，应由信息安全工作组协同责任部门及人员共

同制定相应的信息安全管理制度。

第七章  制度修订

第十六条  当安全管理制度在执行过程中有下列情形之一时，建议及时修改制度内容：

(一)安全管理制度评审中发现不符合事项；

(二)当发生重大安全事件，暴露出安全管理要求存在漏洞和缺陷时；

(三)组织机构或信息系统、网络进行重大调整和变更后；

(四)同一个事项在两个规章制度中规定不一致；

(五)与国家、上级部门的安全政策标准相抵触；

(六)其它需要修改安全管理制度的情形。

第八章  制度日常管理

第十七条  信息安全管理制度根据中心文件管理相关规定统一编号，由安全管理员进行维护。

第十八条  信息安全管理制度由办公室统一进行归档保存和管理，办公室建立安全管理制度清单，根据安全管理制度的变化，及时更新制度清单。应确保废弃文件及时进行记录和销毁处理。

第九章  附  则

第十九条  本规范由信息安全工作组负责解释、修订。

第二十条  本规范自发布之日起执行。