- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全管理手册概要
信息安全管理手册
发布说明
为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。
信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
XXXX
局长 _________________
年 月 日
授权书
为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系;
负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础;
负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;
负责XXXX信息安全管理体系对外联络工作。
信息安全要求
具体阐述如下:
(1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX内建立可持续改进的信息安全管理体系。
(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
(3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。
(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
(5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
(6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。
信息安全总体要求
(1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
(2)“门户网站”信息系统,按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。
(3)编制完成XXXX网络和信息安全事件总体应急预案,并组织应急演练。各单位自建的网络、网站和信息系统参照执行。
(4)按需开展XXXX信息安全风险评估,由第三方机构对”门户网站”开展外部评估,各单位以自评估为主。
(5)每年开展1次全区范围的信息系统安全检查(自查)。
(6)每年组织2次全区范围的信息安全管理制度宣传。(培训人数比例80%以上)。
信息安全管理体系组织机构图
主要安全策略
(1)建立XXXX信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
(2)对XXXX信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
(3)对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。定期对XXXX信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。
(4)XXXX电子政务信息系统分等级保护。按照国家等级保护有关要求,对XXXX信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。
(5)规范XXXX信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
(6)加强所有人员(包括XX市各单位内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。
(7)通过正式
文档评论(0)