第一章 总则

第一条 为了规范和保证经管理层批准实施的信息安全管理宗旨、方针、目标、策略和流程等内容清晰且顺畅的传达，以及各项信息安全管理活动协同、有序、有力运行的管理信息和对安全管理持续完善的意见、建议的及时、充分、准确、有效传递，提升沟通绩效，特制定本文件。

第二章 适用范围

第二条 本文件适用于信息安全管理组织内部各层组织间、管理层和执行层部门之间的日常工作沟通，以及其他部门人员或外部组织（客户、合作伙伴）与各级信息安全管理组织部门之间信息沟通活动。

第三章 术语定义

第三条 沟通主体

与信息管理活动有关的组织、部分或人员。主要包括各级信息安全管理组织、内部职员以及与信息安全相关的测评单位、安全服务公司、安全顾问等。

第四条 沟通渠道

信息传输、传递的方式或途径。例如：例会、专题会议、内部网站、电子邮件等。

第五条 沟通要求

在信息安全管理工作中，不同的主题对信息的内容、渠道、及时度都有不同的要求，并有相应的沟通流程。

第六条 沟通类型

按照沟通的内容的不同，可分为：

(一) 投诉：任何人员或人士对中心的信息安全管理活动所造成的影响感到不满以口头或书函方式反映给信息安全管理组织。

(二) 查询：任何人员或人士对中心的信息安全管理体系的运作或计划提出的询问。

(三) 要求：任何人员或人士针对中心的信息安全管理体系存在的不足或缺失而提出相关建议、请求或指示。照沟通主体及流程的不同，可分为：

(一) 内部沟通：本组织内部之间的安全管理工作沟通。

(二) 外部沟通：组织与外部组织之间的沟通。

第四章 内部沟通

第七条 内部沟通程序：

第八条 主要职责：

(一) 信息安全管理层

规划、建立、维持中心内部的信息沟通渠道；审核内部人员信息沟通与反馈渠道的有效性；向中心内部人员传达与中心有关的法规资料及政策；接收内部人员对信息安全管理体系的意见并采取相应行动。

(二) 信息安全执行层

建立、维持中心内部的信息沟通渠道；收集员工对单位信息安全方面的意见，并向管理层反映；协助宣传及教育员工有关信息安全方面的知识。

(三) 一般管理人员

通过管理渠道，接受相应的知识、培训，反馈相关的意见。

第九条 工作程序：

(一) 信息安全管理层根据决策层的意见及工作需要，基于沟通类型和内容，确定沟通主体、沟通渠道（例如：文件、公告、内部网络、宣传物品、活动、通告、会议及培训等）和时间等事项。

(二) 沟通的内容包括与信息安全管理有关的政策、法规以及其他事项。不同的沟通内容其沟通要求也不尽相同。

(三) 信息安全管理体系相关法律及其它要求在修订或更改后通过各种方式及时向所有员工有效传达。

(四) 信息安全体系改善计划及相关的信息安全管理方针、政策、方案等由信息安全管理层向信息安全执行层通过内部会议、培训等方式进行传达。

(五) 对安全知识、培训课件等学习资料通过内部网站、内部电子邮件等方式送达所有员工。

(六) 安全事件、安全威胁、安全管理活动等最新的动态信息，通过内部网站、内部电子邮件等方式送达所有信息安全管理组织成员；对于一些有教育意义的安全事件发给全部员工。

(七) 在紧急事故发生时尽快通知紧急应变小组人员，让有关人员即时执行紧急应变程序；同时，通知紧急情况指挥官或信息安全管理者及可能受影响的员工和客户。

(八) 信息安全管理层成员与有关部门负责人就单位内的信息交流事宜通过日常讨论进行。

(九) 内部或外部的信息安全管理体系的审核结果以书面形式传达给各部门负责人。

(十) 员工对信息安全管理体系有任何意见向其部门主管或其所在部门信息安全管理员建议、投诉。

(十一) 部门主管或信息安全管理员将员工的意见分类后向信息安全管理工作组反映并填写《信息安全管理体系意见表》，信息安全管理工作组联同各部门按此表格进行跟进，最长不超过两天进行有关调查；原则上每月召开一次信息安全沟通会议，由信息安全管理小组组织，运行中心各部门负责人参加，记录《信息安全沟通会议记录》。

(十二) 信息安全管理层每月对各种建议、意见进行汇总分析，向中心领导层、安全管理决策层每月通过报告的形式进行传达。

第五章 外部沟通

第十条 沟通流程：

第十一条 沟通职责：

(一) 信息安全管理组织

审核公司提供给外界人士反映意见的沟通渠道；向外界人士提供单位有关信息安全管理体系可公开的资料；接收外界人士向单位传达的信息并采取相应的行动；维持单位与外界的信息沟通；对于单位内、外部所反溃的信息安全方面的意见、建议进行审查，不断的改进、完善信息安全管理体系。

(二) 各部门

协助在本部门宣传单位的信息安全管理体系；协助接收国际互联网上的信息安全保护资讯；接受来自客户的意见和建议。

第十二条 工作程序：

(一) 外界对单位的信息安全管理体系有任何查询、投诉或要求时，由信息安全管理管理小组负责对外沟通，并于一周内回复；

(二) 安全管理管理小组接收来自主管部门、政府等有关信息安全方面的意见、法律法规规范及规定，接受来自安全研究机构或组织的安全评测、安全管理要求和建议等信息，接受来自第三方安全服务商提供的各种咨询建议和安全预警信息等；对信息进行预处理后，进行进一步的分发处理；

(三) 安全管理管理小组就向信息安全管理方面的问题向第三方进行咨询并记录；搜集来自互联网的安全信息；

(四) 透过国际互联网向外界人士宣传单位信息安全管理体系有关的信息；

(五) 各部门向信息安全管理管理小组反映客户、合作伙伴等相关方对信息安全方面的意见；

(六) 各部门向客户、合作伙伴等宣传单位信息安全管理方面的优势。

(七) 根据与外部用户沟通交换内容的敏感程度，签订保密协议。

第六章 持续改进

第十三条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第七章 附则

第十四条 本文件由武汉学院负责制定、解释和修改。

第十五条 本文件自发布之日起执行。