制度概述
安全制度的重要性
安全制度是国家标准、行业监管要求与企业实际情况的有机结合,是组织内部统一思想、解决纷争的行动指南,是安全建设真正可以落地实施的基础/保障。
安全制度的内容
公司的管理制度因需求的不同而编写时有所侧重,比如ISO27001体系的管理制度,分类比较全,制度之间交叉的比较多,这样将制度都统一放到公司的制度管理平台使用是没有问题的,但当需要将相关制度提供给合作机构审查时,就发现比较繁琐。本文没有特别说明均表示在公司内部使用的场景
有些制度只会写每一章的名字,一般比较宽泛,而章下面都是具体条,不细读 很难看出来具体含义;有些制度章标题下,每一条都有具体的小标题,打开目录基本就知道具体内容。
安全制度的格式
格式
字体和字号
分为 标题和正文,字体和字号可统一规定,如 正文字体宋体,字号小四,表格五号,行间距1.5倍,要求所有文档使用统一格式,否则不太美观
行文结构
- 制度名
- 修订记录
基本信息包括序号、日期、版本、修订内容/描述、修订人/作者、审批人/审核 - 目录
- 第1章 总则
目的、依据、适用范围/对象、术语定义、编写原则等 - 岗位与职责
管理制度核心是组织机构和对应的职责分工,所以大部分制度都会有这一章节 - 具体制度内容
每个具体制度略有不同,也是每个制度的核心内容。 - 奖罚细则/监督检查
- 附则
- 附件
可有可无
安全制度的编写方法
仅供参考
从头编写一个制度其实比较耗时,有时也很难考虑全面,因此作为编写者要知道自己写制度的重点,哪几行是自己重点强调的,比如写一个密码管理制度,强调的是一人一账号、密码强度要求、违规处罚措施,其它内容基本上是通用的,把公司或者部门替换一下即可。
这里可以找相关的信息安全国家标准或相关报告,里面基本上都写的比较好,很有参考意义。
尤其在AIGC时代,完全可以让AI生成一个Demo版本,自己进行一些修改,效率真的会提升很多,用AI写了很多制度,基本上未发现别字...
安全制度的生命周期
制度在企业中遵循完整的生命周期,主要包括:
- 创建/编写/起草
- 评审/签发
一般制度编写完都需要有评审和正式签发,因制度的适用范围不同签发人也不同,面向全司的制度,一般由CEO进行正式签发(还需要留痕、比如邮件回复或系统确认等) - 发布
一般有统一的制度管理平台或OA中的一个模块 - 签收
制度相关人需要确认已经收到制度,了解细则,这样违反制度时,即可按制度进行处罚,可以在制度管理系统中,给相关人设置任务,在规定时间内,必须查看相关制度,最后点确认/已阅按钮 - 执行
制度依靠闭环落地执行,否则就是一纸空文
具体依赖人、技术、流程
例子1 事前闭环密码管理复杂度要求,在设置密码功能处,校验密码是否满足要求
例子2 事中闭环数据外发需要审计并留痕,则数据外发统一使用外发平台,填写外发的数据、对方邮箱、对方手机号,审批后,系统直接导出数据,加密后发给对方邮箱(解密密码以短信方式发给对方)
例子3 威慑闭环内鬼数据泄露,靠有严格的惩罚措施和有诱惑力的举报奖励,让内鬼成为极危工作,抓到一起树立一次典型,全员通报、开除、追究法律责任,用威慑来实现制度"闭环" - 修订
制度编写人因业务变化等可能需要对制度进行修订,或者每年需要检查是否需要修订制度,如果公司分工比较细,有专人管理制度,每年都会检查修订 - 废弃
如果制度不在适用,则可以废弃,比如idc机房管理制度,当业务都迁移到云上,则不需要企业管理生产环境物理机房,则制度可以废弃
后记
写于 2018/4/5
改于 2022/3/2
改于 2023/6/7