信息安全管理手册全解.doc

信息安全管理手册 发布说明 为了落实国家XX市信息安全与等级保护的相关政策，贯彻信息安全管理体系标准，提高信息安全管理水平，维护XXXX信息系统安全稳定，按照ISO/IEC 27001：2005《信息安全管理体系要求》ISO/IEC 17799：2005《信息安全管理实用规则》编制完成了XXXX，现予以批准颁布实施。 信息安全管理手册是纲领性文件，是指导XXXX建立并实施信息安全管理体系的行动准则，必须遵照执行。 信息安全管理手册于发布正式实施 XXXX 局长 _________________ 年 月 日 为了贯彻执行ISO/IEC 27001：2005《信息安全管理体系要求》ISO/IEC 17799：2005《信息安全管理实用规则》，加强对信息安全管理体系运作的管理和控制，特授权XXXX管理XX市政务信息安全工作，并保证信息安全管理职责的独立性，履行以下职责： 负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系； 负责向XXXX报告信息安全管理体系的实施情况，提出信息安全管理体系改进建议，作为管理评审和信息安全管理体系改进的基础； 负责向XXXX全体宣传信息安全的重要性，负责信息安全教育、培训，不断提高全体的信息安全意识； 负责XXXX信息安全管理体系对外联络工作。信息安全 具体阐述如下： （1）在XXXX信息安全协调小组的领导下，全面贯彻国家和XX市在XXXX内建立可持续改进的信息安全管理体系。通过不断提高XXXX的信息安全XXXX信息安全各项工作，保障XXXX电子政务外网安全畅通与可控，保障所开发和维护信息系统XXXX所有企业和社会公众提供安全可靠的电子政务服务。信息安全XXXX信息化资产（软件、硬件、数据库等）目录。 （2）“门户网站”信息系统，按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。 （3）编制完成XXXX网络和信息安全事件总体应急预案，并组织应急演练。各单位自建的网络、网站和信息系统参照执行。 （4）按需开展XXXX信息安全风险评估，由第三方机构对”门户网站”开展外部评估，各单位以自评估为主。 （5）每年开展1次全区范围的信息系统安全检查（自查）。 （6）每年组织2次全区范围的信息安全管理制度宣传。（培训人数比例80％以上）。 信息安全管理体系组织机构图XXXX信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。 （2）对XXXX信息安全管理体系进行定期地内审和管理评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。 （3）对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。定期对XXXX信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和控制措施，将安全风险控制在可接受的水平。风险评估至少每年一次，在信息系统发生重大改变后，也应进行风险评估。 （4）XXXX电子政务信息系统分等级保护。按照国家等级保护有关要求，对XXXX信息系统及信息确定安全等级，并根据不同的安全等级实施分等级保护。 （5）规范XXXX信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。 （6）加强所有人员（包括XX市XXXX各单位人员的信息安全意识，提高他们的信息安全技能。 （8）保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施，确保机房物理安全。部署机房专用空调、UPS等环境保障设施，对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理， 进出需登记，外来人员需由相关管理人员陪同方能访问机房。 （9）加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署必威体育官网网址协议等措施，加强外部方访问电子政务信息系统的管理，防止外部方危害信息系统安全。 （10）对XX市XX市XX市XX市XX市XX市XXXX信息安全策略和制度要求。 （15）按照“仅知”原则，通过功能和技术配置，对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用，以及安全的授权管理制度，并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。 （16）进一步重视软件开发安全。在XXXX各电子政务信息系统立项和审批过程中，同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全，重点加强对软件代码安全性的管理。属于外