跳转至

制度概述

安全制度的重要性

安全制度是国家标准、行业监管要求与企业实际情况的有机结合,是组织内部统一思想、解决纷争的行动指南,是安全建设真正可以落地实施的基础/保障。

安全制度的内容

公司的管理制度因需求的不同而编写时有所侧重,比如ISO27001体系的管理制度,分类比较全,制度之间交叉的比较多,这样将制度都统一放到公司的制度管理平台使用是没有问题的,但当需要将相关制度提供给合作机构审查时,就发现比较繁琐。本文没有特别说明均表示在公司内部使用的场景
有些制度只会写每一章的名字,一般比较宽泛,而章下面都是具体条,不细读 很难看出来具体含义;有些制度章标题下,每一条都有具体的小标题,打开目录基本就知道具体内容。

安全制度的格式

格式
字体和字号
分为 标题和正文,字体和字号可统一规定,如 正文字体宋体,字号小四,表格五号,行间距1.5倍,要求所有文档使用统一格式,否则不太美观

行文结构

  • 制度名
  • 修订记录
    基本信息包括序号、日期、版本、修订内容/描述、修订人/作者、审批人/审核
  • 目录
  • 第1章 总则
    目的、依据、适用范围/对象、术语定义、编写原则等
  • 岗位与职责
    管理制度核心是组织机构和对应的职责分工,所以大部分制度都会有这一章节
  • 具体制度内容
    每个具体制度略有不同,也是每个制度的核心内容。
  • 奖罚细则/监督检查
  • 附则
  • 附件
    可有可无

安全制度的编写方法

仅供参考
从头编写一个制度其实比较耗时,有时也很难考虑全面,因此作为编写者要知道自己写制度的重点,哪几行是自己重点强调的,比如写一个密码管理制度,强调的是一人一账号、密码强度要求、违规处罚措施,其它内容基本上是通用的,把公司或者部门替换一下即可。
这里可以找相关的信息安全国家标准或相关报告,里面基本上都写的比较好,很有参考意义。
尤其在AIGC时代,完全可以让AI生成一个Demo版本,自己进行一些修改,效率真的会提升很多,用AI写了很多制度,基本上未发现别字...

安全制度的生命周期

制度在企业中遵循完整的生命周期,主要包括:

  • 创建/编写/起草
  • 评审/签发
    一般制度编写完都需要有评审和正式签发,因制度的适用范围不同签发人也不同,面向全司的制度,一般由CEO进行正式签发(还需要留痕、比如邮件回复或系统确认等)
  • 发布
    一般有统一的制度管理平台或OA中的一个模块
  • 签收
    制度相关人需要确认已经收到制度,了解细则,这样违反制度时,即可按制度进行处罚,可以在制度管理系统中,给相关人设置任务,在规定时间内,必须查看相关制度,最后点确认/已阅按钮
  • 执行
    制度依靠闭环落地执行,否则就是一纸空文
    具体依赖人、技术、流程
    例子1 事前闭环密码管理复杂度要求,在设置密码功能处,校验密码是否满足要求
    例子2 事中闭环数据外发需要审计并留痕,则数据外发统一使用外发平台,填写外发的数据、对方邮箱、对方手机号,审批后,系统直接导出数据,加密后发给对方邮箱(解密密码以短信方式发给对方)
    例子3 威慑闭环内鬼数据泄露,靠有严格的惩罚措施和有诱惑力的举报奖励,让内鬼成为极危工作,抓到一起树立一次典型,全员通报、开除、追究法律责任,用威慑来实现制度"闭环"
  • 修订
    制度编写人因业务变化等可能需要对制度进行修订,或者每年需要检查是否需要修订制度,如果公司分工比较细,有专人管理制度,每年都会检查修订
  • 废弃
    如果制度不在适用,则可以废弃,比如idc机房管理制度,当业务都迁移到云上,则不需要企业管理生产环境物理机房,则制度可以废弃

后记

写于 2018/4/5
改于 2022/3/2
改于 2023/6/7

Back to top