信息安全管理基础手册.docVIP

信息安全管理手册

公布说明

为了落实国家和XX市网络信息安全和等级保护相关政策，落实信息安全管理体系标准，提升XXXX信息安全管理水平，维护XXXX电子政务信息系统安全稳定可控，实现业务信息和系统服务安全保护等级，根据ISO/IEC27001：《信息安全管理体系要求》、ISO/IEC17799：《信息安全管理实用规则》，和GB/T22239-《信息系统安全等级保护基础要求》，编制完成了XXXX信息安全管理体系文件，现给予同意颁布实施。

信息安全管理手册是纲领性文件，是指导XXXX等各级政府部门建立并实施信息安全管理体系行动准则，全体人员必需遵照实施。

信息安全管理手册于公布之日起正式实施。

XXXX

局长_________________

年月日

授权书

为了落实实施ISO/IEC27001：《信息安全管理体系要求》、ISO/IEC17799：《信息安全管理实用规则》，和GB/T22239-《信息系统安全等级保护基础要求》，加强对信息安全管理体系运作管理和控制，特授权XXXX管理XX市政务信息安全工作，并确保信息安全管理职责独立性，推行以下职责：

负责建立、修改、完善、连续改善和实施XX市政务信息安全管理体系；

负责向XXXX主任汇报信息安全管理体系实施情况，提出信息安全管理体系改善提议，作为管理评审和信息安全管理体系改善基础；

负责向XXXX各级政府部门全体人员宣传信息安全关键性，负责信息安全教育、培训，不停提升全体人员信息安全意识；

负责XXXX信息安全管理体系对外联络工作。

信息安全要求

具体叙述以下：

（1）在XXXX信息安全协调小组领导下，全方面落实国家和XX市相关信息安全工作相关指导性文件精神，在XXXX内建立可连续改善信息安全管理体系。

（2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。

（3）经过定时地信息安全宣传、教育和培训，不停提升XXXX全部些人员信息安全意识及能力。

（4）推行预防为主信息安全主动防御理念，同时对所发生信息安全事件进行快速、有序地响应。

（5）落实风险管理理念，定时对“门户网站”等关键信息系统进行风险评定和控制，将信息安全风险控制在可接收水平。

（6）根据PDCA精神，连续改善XXXX信息安全各项工作，保障XXXX电子政务外网安全通畅和可控，保障所开发和维护信息系统安全稳定，为XXXX全部企业和社会公众提供安全可靠电子政务服务。

信息安全总体要求

（1）建立XXXX信息化资产（软件、硬件、数据库等）目录。

（2）“门户网站”信息系统，根据等级保护要求进行建设和运维。各单位自建网络、网站和信息系统参考实施。

（3）编制完成XXXX网络和信息安全事件总体应急预案，并组织应急演练。各单位自建网络、网站和信息系统参考实施。

（4）按需开展XXXX信息安全风险评定，由第三方机构对”门户网站”开展外部评定，各单位以自评定为主。

（5）每十二个月开展1次全区范围信息系统安全检验（自查）。

（6）每十二个月组织2次全区范围信息安全管理制度宣传。（培训人数百分比80％以上）。

局网络和信息安全协调小组信息安全管理体系组织机构图

局网络和信息安全协调小组

局网络和信息安全协调小组办公室

局网络和信息安全协调小组办公室

XXXX处（信息化委员会）网络管理员机房管理员安全管理员主机管理员应用管理员外包服务企业

XXXX处（信息化委员会）

网络管理员

机房管理员

安全管理员

主机管理员

应用管理员

外包服务企业

关键安全策略

（1）建立XXXX信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。

（2）对XXXX信息安全管理体系进行定时地内审和管理评审，对各项安全控制方法实施后有效性进行测量，并实施对应纠正和预防方法，以确保信息安全管理体系连续充足性、适宜性、有效性。

（3）对XXXX信息系统中所存在安全风险进行有计划评定和管理。定时对XXXX信息系统实施信息安全风险评定，依据评定结果选择合适安全策略和控制方法，将安全风险控制在可接收水平。风险评定最少每十二个月一次，在信息系统发生重大改变后，也应进行风险评定。

（4）XXXX电子政务信息系统分等级保护。根据国家等级保护相关要求，对XXXX信息系统及信息确定安全等级，并依据不一样安全等级实施分等级保护。

（5）规范XXXX信息资产（包含硬件、软件、服务等）管理步骤，建立信息资产管理台帐，明确资产全部者、使用者和维护者，对全部信息资产进行标识，实现对信息资产购置、使用、变更、报废整个周期安全管理。

（6）加