信息中心信息安全管理手册.docVIP

信息安全管理手册 发布说明 为了落实国家与广州市网络信息安全与等级保护的相关政策，贯彻信息安全管理体系标准，提高广州市xx区政府科信局信息安全管理水平，维护广州市xx区政府科信局电子政务信息系统安全稳定可控，实现业务信息和系统服务的安全保护等级，按照ISO/IEC 27001：2005《信息安全管理体系要求》、ISO/IEC 17799：2005《信息安全管理实用规则》，以及GB/T 22239-2008《信息系统安全等级保护基本要求》，编制完成了广州市xx区政府科信局信息安全管理体系文件，现予以批准颁布实施。 信息安全管理手册是纲领性文件，是指导广州市xx区政府科信局等各级政府部门建立并实施信息安全管理体系的行动准则，全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 广州市xxx政府科信局 局长 _________________ 年 月 日 授权书 为了贯彻执行ISO/IEC 27001：2005《信息安全管理体系要求》、ISO/IEC 17799：2005《信息安全管理实用规则》，以及GB/T 22239-2008《信息系统安全等级保护基本要求》，加强对信息安全管理体系运作的管理和控制，特授权广州市xx区政府科信局管理广州市xx区政府政务信息安全工作，并保证信息安全管理职责的独立性，履行以下职责： 负责建立、修改、完善、持续改进和实施广州市xx区政府科信局政务信息安全管理体系； 负责向广州市xx区政府科信局主任报告信息安全管理体系的实施情况，提出信息安全管理体系改进建议，作为管理评审和信息安全管理体系改进的基础； 负责向广州市xx区政府各级政府部门全体人员宣传信息安全的重要性，负责信息安全教育、培训，不断提高全体人员的信息安全意识； 负责广州市xx区政府科信局信息安全管理体系对外联络工作。 信息安全要求 具体阐述如下： （1）在广州市xx区政府科信局安全协调小组的领导下，全面贯彻国家和广州市关于信息安全工作的相关指导性文件精神，在广州市xx区政府科信局内建立可持续改进的信息安全管理体系。 （2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。 （3）通过定期地信息安全宣传、教育与培训，不断提高广州市xx区政府科信局所有人员的信息安全意识及能力。 （4）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。 （5）贯彻风险管理的理念，定期对“门户网站”等重要信息系统进行风险评估和控制，将信息安全风险控制在可接受的水平。 （6）按照PDCA精神，持续改进广州市xx区政府科信局信息安全各项工作，保障广州市xx区政府科信局电子政务外网安全畅通与可控，保障所开发和维护信息系统的安全稳定，为广州市xx区政府所有企业和社会公众提供安全可靠的电子政务服务。 信息安全总体要求 （1）建立广州市xx区政府科信局信息化资产（软件、硬件、数据库等）目录。 （2）“门户网站”等重要信息系统信息系统，按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。 （3）编制完成广州市xx区政府科信局网络和信息安全事件总体应急预案，并组织应急演练。各单位自建的网络、网站和信息系统参照执行。 （4）按需开展广州市xx区政府科信局信息安全风险评估，由第三方机构对”门户网站”等重要信息系统开展外部评估，各单位以自评估为主。 （5）每年开展1次全区范围的信息系统安全检查（自查）。 （6）每年组织2次全区范围的信息安全管理制度宣传。（培训人数比例80％以上）。 局网络与信息安全协调小组信息安全管理体系组织机构图 局网络与信息安全协调小组 局网络与信息安全协调小组办公室 局网络与信息安全协调小组办公室 XXXX处（信息化委员会） XXXX处（信息化委员会） 主机管理员应用管理员网络管理员安全管理员机房管理员外包服务公司 主机管理员 应用管理员 网络管理员 安全管理员 机房管理员 外包服务公司 主要安全策略 （1）建立广州市xx区政府科信局信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。 （2）对广州市xx区政府科信局信息安全管理体系进行定期地内审和管理评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。 （3）对广州市xx区政府科信局信息系统中所存在的安全风险进行有计划的评估和管理。定期对广州市xx区政府科信局信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略