信息安全管理手冊(cè)_第1頁(yè)
信息安全管理手冊(cè)_第2頁(yè)
信息安全管理手冊(cè)_第3頁(yè)
已閱讀5頁(yè),還剩13頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、信息安全管理手冊(cè)(一 ) 發(fā)布說(shuō)明為了落實(shí)國(guó)家與 XX市網(wǎng)絡(luò)信息安全與等級(jí)保護(hù)的相關(guān)政策,貫徹信息安全 管理體系標(biāo)準(zhǔn),提高XXXX信息安全管理水平, 維護(hù)XXXX電子政務(wù)信息系統(tǒng)安全 穩(wěn)定可控,實(shí)現(xiàn)業(yè)務(wù)信息和系統(tǒng)服務(wù)的安全保護(hù)等級(jí), 按照 ISO/IEC 27001:2005 信息安全管理體系要求 、ISO/IEC 17799 :2005信息安全管理實(shí)用規(guī)則 , 以及 GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求 ,編制完成了 XXXX信 息安全管理體系文件,現(xiàn)予以批準(zhǔn)頒布實(shí)施。For personal use only in study and research; not fo

2、r commercial use信息安全管理手冊(cè)是綱領(lǐng)性文件,是指導(dǎo) XXXX等各級(jí)政府部門(mén)建立并實(shí)施 信息安全管理體系的行動(dòng)準(zhǔn)則,全體人員必須遵照?qǐng)?zhí)行。信息安全管理手冊(cè)于發(fā)布之日起正式實(shí)施。XXXX局長(zhǎng) 年月日(二 ) 授權(quán)書(shū)為了貫徹執(zhí)行 ISO/IEC 27001 : 2005信息安全管理體系要求 、 ISO/IEC 17799:2005信息安全管理實(shí)用規(guī)則 ,以及 GB/T 22239-2008信息系統(tǒng)安全 等級(jí)保護(hù)基本要求,加強(qiáng)對(duì)信息安全管理體系運(yùn)作的管理和控制,特授權(quán) XXXX 管理 XX市政務(wù)信息安全工作,并保證信息安全管理職責(zé)的獨(dú)立性,履行以下職 責(zé):負(fù)責(zé)建立、修改、完善、持續(xù)改

3、進(jìn)和實(shí)施 XX市政務(wù)信息安全管理體系; 負(fù)責(zé)向 XXXX主任 報(bào)告信息安全管理體系的實(shí)施情況, 提出信息安全管理 體系改進(jìn)建議,作為管理評(píng)審和信息安全管理體系改進(jìn)的基礎(chǔ);負(fù)責(zé)向 XXXX各級(jí)政府部門(mén)全體人員宣傳信息安全的重要性, 負(fù)責(zé)信息安 全教育、培訓(xùn),不斷提高全體人員的信息安全意識(shí);負(fù)責(zé) XXXX信息安全管理體系對(duì)外聯(lián)絡(luò)工作。(三 ) 信息安全要求1. 具體闡述如下:(1)在 XXXX信息安全協(xié)調(diào)小組的領(lǐng)導(dǎo)下,全面貫徹國(guó)家和 XX市關(guān)于信息 安全工作的相關(guān)指導(dǎo)性文件精神,在 XXXX內(nèi)建立可持續(xù)改進(jìn)的信息安全管理體 系。(2)全員參與信息安全管理體系建設(shè),落實(shí)信息安全管理責(zé)任制,建立和 完

4、善各項(xiàng)信息安全管理制度,使得信息安全管理有章可循。(3)通過(guò)定期地信息安全宣傳、 教育與培訓(xùn), 不斷提高 XXXX所有人員的信 息安全意識(shí)及能力。(4)推行預(yù)防為主的信息安全積極防御理念,同時(shí)對(duì)所發(fā)生的信息安全事 件進(jìn)行快速、有序地響應(yīng)。(5)貫徹風(fēng)險(xiǎn)管理的理念,定期對(duì)“門(mén)戶網(wǎng)站”等重要信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn) 評(píng)估和控制,將信息安全風(fēng)險(xiǎn)控制在可接受的水平。(6)按照 PDCA精神, 持續(xù)改進(jìn) XXXX信息安全各項(xiàng)工作, 保障 XXXX電子政 務(wù)外網(wǎng)安全暢通與可控,保障所開(kāi)發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn)定,為XXXX所有企業(yè)和社會(huì)公眾提供安全可靠的電子政務(wù)服務(wù)。2. 信息安全總體要求(1)建立 XXXX信息

5、化資產(chǎn)(軟件、硬件、數(shù)據(jù)庫(kù)等)目錄。(2)“門(mén)戶網(wǎng)站”信息系統(tǒng),按照等級(jí)保護(hù)要求進(jìn)行建設(shè)和運(yùn)維。各單位自 建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。(3)編制完成 XXXX網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案,并組織應(yīng)急演練 各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。(4)按需開(kāi)展 XXXX信息安全風(fēng)險(xiǎn)評(píng)估,由第三方機(jī)構(gòu)對(duì)”門(mén)戶網(wǎng)站”開(kāi)展 外部評(píng)估,各單位以自評(píng)估為主。(5)每年開(kāi)展 1 次全區(qū)范圍的信息系統(tǒng)安全檢查(自查) 。(6)每年組織 2 次全區(qū)范圍的信息安全管理制度宣傳。 (培訓(xùn)人數(shù)比例 80 以上)。(四 ) 信息安全管理體系組織機(jī)構(gòu)圖局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室XXX

6、X 處(信息化委員會(huì))安 全 管 理 員機(jī) 房 管 理 員網(wǎng)絡(luò)管理員應(yīng) 用 管 理 員主 機(jī) 管 理 員外 包 服 務(wù) 公 司(五 ) 主要安全策略(1)建立 XXXX信息安全管理組織機(jī)構(gòu),明確各 安全管理員、機(jī)房管理員、 網(wǎng)絡(luò)管理員、應(yīng)用管理員、 主機(jī)管理員 等安全管理相關(guān)崗位及職責(zé), 建立健全信 息安全管理責(zé)任制,使得信息安全各項(xiàng)職責(zé)落實(shí)到人。(2)對(duì) XXXX信息安全管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審, 對(duì)各項(xiàng)安全控 制措施實(shí)施后的有效性進(jìn)行測(cè)量, 并實(shí)施相應(yīng)的糾正和預(yù)防措施, 以保證信息安 全管理體系持續(xù)的充分性、適宜性、有效性。(3)對(duì) XXXX信息系統(tǒng)中所存在的安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)

7、估和管理。 定期 對(duì) XXXX信息系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估,根據(jù)評(píng)估結(jié)果選擇適當(dāng)?shù)陌踩呗院?控制措施, 將安全風(fēng)險(xiǎn)控制在可接受的水平。 風(fēng)險(xiǎn)評(píng)估至少每年一次, 在信息系 統(tǒng)發(fā)生重大改變后,也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。(4)XXXX電子政務(wù)信息系統(tǒng)分等級(jí)保護(hù)。按照國(guó)家等級(jí)保護(hù)有關(guān)要求,對(duì) XXXX信息系統(tǒng)及信息確定安全等級(jí),并根據(jù)不同的安全等級(jí)實(shí)施分等級(jí)保護(hù)。(5)規(guī)范 XXXX信息資產(chǎn)(包括硬件、軟件、服務(wù)等)管理流程,建立信息 資產(chǎn)管理臺(tái)帳,明確資產(chǎn)所有者、使用者與維護(hù)者,對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記, 實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買(mǎi)、使用、變更、報(bào)廢整個(gè)周期的安全管理。(6)加強(qiáng)所有人員(包括 XX市各單位內(nèi)部人員

8、,以及各類(lèi)外來(lái)人員)的安 全管理,明確崗位安全職責(zé),制定針對(duì)違規(guī)的懲戒措施,落實(shí)人員聘用、在崗和 離崗時(shí)的安全控制,與敏感崗位人員簽署保密協(xié)議。(7)通過(guò)正式的信息安全培訓(xùn),以及網(wǎng)站、簡(jiǎn)報(bào)、會(huì)議、講座等各種形式 的信息安全教育活動(dòng),不斷加強(qiáng) XXXX各單位人員的信息安全意識(shí),提高他們的 信息安全技能。(8)保障機(jī)房物理與環(huán)境安全。實(shí)施包括門(mén)禁、視頻監(jiān)控、報(bào)警等安全防 范措施,確保機(jī)房物理安全。部署機(jī)房專(zhuān)用空調(diào)、 UPS等環(huán)境保障設(shè)施,對(duì)機(jī)房 設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理, 進(jìn)出 需登記,外來(lái)人員需由相關(guān)管理人員陪同方能訪問(wèn)機(jī)房。(9)加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外

9、包方的管理,在與信息系統(tǒng)外包方簽署 的服務(wù)協(xié)議中,對(duì)信息系統(tǒng)安全加以要求。通過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保 密協(xié)議等措施, 加強(qiáng)外部方訪問(wèn)電子政務(wù)信息系統(tǒng)的管理, 防止外部方危害信息 系統(tǒng)安全。(10)對(duì) XX市各單位重要信息系統(tǒng)(包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服務(wù)器設(shè)備、 系統(tǒng)、應(yīng)用等) 應(yīng)有文檔化的操作和維護(hù)規(guī)程, 使得各個(gè)相關(guān)人員能夠采用規(guī)范 化的形式對(duì)系統(tǒng)進(jìn)行操作,降低和避免因誤操作所引發(fā)信息安全事件的可能性。(11)在 XX市電子政務(wù)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件,并進(jìn)行惡意 代碼庫(kù)的統(tǒng)一更新,防范惡意代碼、木馬等惡意代碼對(duì)電子政務(wù)信息系統(tǒng)的影響。 通過(guò)強(qiáng)化惡意代碼防范的管理措施, 如加強(qiáng)介

10、質(zhì)管理, 嚴(yán)禁擅自安裝軟件, 加強(qiáng) 人員安全意識(shí)教育, 定期進(jìn)行惡意代碼檢測(cè)等, 提高電子政務(wù)信息系統(tǒng)對(duì)惡意代 碼的防范能力。(12)對(duì) XX市各單位重要的信息和信息系統(tǒng)進(jìn)行備份,并對(duì)備份介質(zhì)進(jìn)行 安全地保存, 以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證, 保證各種備份信息的保密 性、完整性和可用性, 確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、 災(zāi)難后及其它 特定要求下進(jìn)行可靠的恢復(fù)。(13)采用技術(shù)和管理兩方面的控制措施,加強(qiáng)對(duì) XX市電子政務(wù)外網(wǎng)的安 全控制,不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。 XX 市電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)進(jìn)行邏 輯隔離。通過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)防范措施, 對(duì)接入進(jìn)行嚴(yán)格審批, 加強(qiáng)使

11、用安全管理,加強(qiáng)對(duì)各單位網(wǎng)絡(luò)使用的安全培訓(xùn)和教育,確保XX市電子政務(wù)外網(wǎng)的安全。(14)加強(qiáng)信息安全日常管理,包括系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏 幕保護(hù)、便攜機(jī)管理等,促使每位人員的日常工作符合 XXXX信息安全策略和制 度要求。(15)按照“僅知”原則,通過(guò)功能和技術(shù)配置,對(duì)重要信息系統(tǒng)、數(shù)據(jù)等 實(shí)施訪問(wèn)控制。 進(jìn)一步推廣數(shù)字證書(shū)的使用, 以及安全的授權(quán)管理制度, 并落實(shí) 授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管。(16)進(jìn)一步重視軟件開(kāi)發(fā)安全。在 XXXX各電子政務(wù)信息系統(tǒng)立項(xiàng)和審批 過(guò)程中,同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全,重 點(diǎn)加

12、強(qiáng)對(duì)軟件代碼安全性的管理。 屬于外包軟件開(kāi)發(fā)的, 應(yīng)與服務(wù)提供商簽署保 密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后,應(yīng)要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)。(17)在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下, 合理使用密碼技術(shù)和密碼設(shè) 備,嚴(yán)格密鑰生成、 分發(fā)、保存等方面的安全管理, 保障密碼技術(shù)使用的安全性。(18)重視對(duì) IT 服務(wù)連續(xù)性的管理,建立對(duì)各類(lèi)信息安全事件的預(yù)防、預(yù) 警、響應(yīng)、處置、恢復(fù)機(jī)制,編寫(xiě)針對(duì)電子政務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案,并 定期進(jìn)行測(cè)試和演練, 在信息系統(tǒng)發(fā)生故障或事故時(shí), 能迅速、 有序地進(jìn)行應(yīng)急 處置,最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給 XXXX電子政務(wù)信息系 統(tǒng)所帶來(lái)的影

13、響。(19)對(duì)所適用的國(guó)家信息安全相關(guān)法律法規(guī)進(jìn)行定期的識(shí)別、 記錄和更新, 并對(duì) XXXX各單位信息安全管理現(xiàn)狀與法律法規(guī)的符合性進(jìn)行檢查,確保各項(xiàng)信 息安全工作符合國(guó)家信息安全相關(guān)法律法規(guī)要求。(六 ) 適用范圍本手冊(cè)按照 ISO/IEC 27001 :2005 信息安全管理體系要求 ,結(jié)合 XXXX 政府信息系統(tǒng)的實(shí)際編制而成,符合 ISO/IEC 27001 :2005 標(biāo)準(zhǔn)的全部要求。 本管理制度適用于 XXXX的電子政務(wù)應(yīng)用管理。(七 ) 引用標(biāo)準(zhǔn)下列文件和標(biāo)準(zhǔn)通過(guò)本手冊(cè)的引用, 均為本手冊(cè)的條文。 本手冊(cè)使用時(shí)所示 文件和標(biāo)準(zhǔn)均為有效版本。當(dāng)引用文件和標(biāo)準(zhǔn)被修訂時(shí),使用其最新版本

14、 :ISO/IEC 27001 :2005信息安全管理體系要求ISO/IEC 17799 :2005信息安全管理實(shí)用規(guī)則GB/T 22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求(八) 信息安全管理體系( ISMS )1. 總體要求XXXX依據(jù) ISO/IEC 27001:2005 信息安全管理體系要求 ,建立信息安全 管理體系,并形成相關(guān)的信息安全管理體系文件,由 科信局 局長(zhǎng)批準(zhǔn)發(fā)布后在 XXXX范圍內(nèi)實(shí)施并保持,利用內(nèi)部審核、管理評(píng)審、糾正和預(yù)防措施以及持續(xù) 改進(jìn)的手段,確保信息安全管理體系的有效性。2. 建立和管理信息安全管理體系(1) .建立信息安全管理體系ISMS 范圍根據(jù) XX

15、XX業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置的不同, 確定 XXXX信息安全管理 體系的范圍為:XXXX的所有部門(mén)和正式工作人員;XXXX主要負(fù)責(zé) XXXX政府信息化建設(shè)工作,負(fù)責(zé)運(yùn)行、維護(hù)和管理覆蓋 全區(qū)的電子政務(wù)專(zhuān)網(wǎng)、資源平臺(tái)和多個(gè)重要電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)。與 XXXX業(yè)務(wù)活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn), 其中應(yīng)用系 統(tǒng)包括:”門(mén)戶網(wǎng)站”等;信息資產(chǎn)包括:與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的 數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。XXXX的辦公場(chǎng)所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房,其中機(jī)房包括XXXX政府機(jī)房。ISMS 方針根據(jù)信息安全管理的需求, 確定 XXXX的信息安全方針和主要信息安全策略。 信息安全方針為:

16、全員參與明確責(zé)任預(yù)防為主快速響應(yīng)風(fēng)險(xiǎn)管控持續(xù)改進(jìn)風(fēng)險(xiǎn)評(píng)估在體系建立過(guò)程中, XXXX 確定信息安全風(fēng)險(xiǎn)評(píng)估方法,對(duì) XXXX 電子政 務(wù)信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估,識(shí)別電子政務(wù)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處置在風(fēng)險(xiǎn)評(píng)估后, XXXX 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,確定風(fēng)險(xiǎn)處置的策略,包括: 采用風(fēng)險(xiǎn)控制措施,以降低面臨的信息安全風(fēng)險(xiǎn); 在滿足信息安全方針和風(fēng)險(xiǎn)接受準(zhǔn)則的前提下,有意識(shí)地、客觀地接受 風(fēng)險(xiǎn);避免風(fēng)險(xiǎn); 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面,如:購(gòu)買(mǎi)產(chǎn)品維保,運(yùn)維服務(wù)外包等; XXXX 根據(jù)風(fēng)險(xiǎn)處置策略,制定風(fēng)險(xiǎn)控制措施,對(duì)已識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分 類(lèi)處理,并對(duì)殘余風(fēng)險(xiǎn)進(jìn)行了批準(zhǔn)。適用性聲明在風(fēng)險(xiǎn)處置活動(dòng)實(shí)施后,

17、 XXXX從以下幾方面準(zhǔn)備了體系適用性聲明:從 ISO/IEC 27001 標(biāo)準(zhǔn)中附錄 A 給出的控制目標(biāo)和控制措施,以及選擇 的理由; 當(dāng)前實(shí)施的控制目標(biāo)和控制措施; 對(duì)附錄 A 中任何控制目標(biāo)和控制措施的刪減,以及刪減的合理性說(shuō)明(2) . 實(shí)施和運(yùn)行信息安全管理體系XXXX 在實(shí)施和運(yùn)行信息安全管理體系中所開(kāi)展的工作包括: 通過(guò)風(fēng)險(xiǎn)管理方法來(lái)控制電子政務(wù)信息系統(tǒng)中存在的信息安全風(fēng)險(xiǎn),配 置資源、明確職責(zé)和優(yōu)先級(jí)別,實(shí)施適當(dāng)?shù)墓芾泶胧?實(shí)施各信息安全管理體系文件中包括的控制措施,以達(dá)到各控制目標(biāo); 測(cè)量各信息安全管理體系文件中控制措施實(shí)施的有效性,明確對(duì)測(cè)量結(jié) 果的分析和評(píng)估準(zhǔn)則,并作為

18、持續(xù)改進(jìn)的輸入; 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃;管理 ISMS的資源; 實(shí)施能迅速檢測(cè)安全事件和響應(yīng)安全事故的程序,具體要求參見(jiàn)信息 安全事件管理辦法。(3) . 監(jiān)視和評(píng)審信息安全管理體系XXXX 將對(duì)信息安全管理體系進(jìn)行監(jiān)視,并定期或不定期的進(jìn)行內(nèi)審和管 理評(píng)審,包括:執(zhí)行監(jiān)視和評(píng)審程序以及其它相關(guān)措施,以達(dá)到:迅速檢測(cè)信息安全管理體系運(yùn)行過(guò)程中的缺陷和弱點(diǎn); 迅速識(shí)別潛在的和已發(fā)生的信息安全違規(guī)和事故; 確保管理者分配給各人員的信息安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的信息安 全活動(dòng)能如期執(zhí)行;確定信息安全措施的有效性。在內(nèi)審結(jié)果、信息安全事故、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的 基礎(chǔ)上,定期進(jìn)行

19、信息安全管理評(píng)審,以判斷信息安全管理體系的有效性。定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)審, 以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng) 險(xiǎn)級(jí)別進(jìn)行評(píng)審,評(píng)審時(shí)應(yīng)考慮以下方面的變化:組織機(jī)構(gòu)的變化;信息安全相關(guān)組織結(jié)構(gòu)的變化;信息技術(shù)和信息安全技術(shù)的發(fā)展和變化;業(yè)務(wù)目標(biāo)和過(guò)程的變化;已識(shí)別出的信息安全威脅的發(fā)展和變化;已實(shí)施信息安全控制措施的有效性;外部信息安全事件,如信息安全相關(guān)法律法規(guī)的變更、合同中信息安全 義務(wù)的變更和整體社會(huì)信息安全態(tài)勢(shì)的變更。每年兩次對(duì)信息安全管理體系進(jìn)行內(nèi)部審核。每年一次對(duì)信息安全管理體系進(jìn)行管理評(píng)審。依據(jù)監(jiān)視和評(píng)審活動(dòng)的結(jié)果,對(duì)信息安全管理體系進(jìn)行修改和完善。記錄可能影響信息安全管

20、理體系有效性或執(zhí)行情況的措施和事件。(4) . 保持和改進(jìn)信息安全管理體系XXXX將根據(jù)已識(shí)別的信息安全管理體系的改進(jìn)需求,選擇適當(dāng)?shù)募m正措施 和預(yù)防措施, 保持和持續(xù)改進(jìn)信息安全管理體系, 并向所有相關(guān)方溝通信息安全 措施和改進(jìn)需求,并采取測(cè)量、追蹤和驗(yàn)證措施,確保改進(jìn)達(dá)到預(yù)期的目標(biāo)。具 體內(nèi)容參見(jiàn)預(yù)防與不符合糾正控制程序 。3. 文件要求1) 總則 信息安全管理體系文件包括如下內(nèi)容: 信息安全管理手冊(cè)與適用性聲明; 支持性程序文件; 各部門(mén)依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書(shū); 信息安全管理活動(dòng)相關(guān)的各種記錄。2) 文件控制 文件是指信息及其承載媒體,媒體可以是紙張、計(jì)算機(jī)光盤(pán)或其

21、它電子 媒體或它們的組合。記錄模板、規(guī)范、程序文件、手冊(cè)、圖樣、報(bào)告或 標(biāo)準(zhǔn)均屬于文件。信息安全管理體系文件由文檔管理員進(jìn)行管理控制;由文檔管理員統(tǒng)一 組織修訂和發(fā)布。各系統(tǒng)的信息安全技術(shù)文檔由各系統(tǒng)管理員自行控 制,并交文檔管理員處存檔。文件控制參見(jiàn)文件控制程序 。3) 記錄控制 記錄是指闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的信息安全文件, 其作用是為信息安全管理體系運(yùn)作提供證據(jù)。為了滿足過(guò)程的可追溯性要求和提供信息安全管理體系有效運(yùn)行的客觀 證據(jù),除信息安全管理體系標(biāo)準(zhǔn)中要求必須建立的記錄外,在各信息安 全程序文件中對(duì)應(yīng)該產(chǎn)生的記錄做了說(shuō)明和規(guī)定。對(duì)信息安全記錄的標(biāo)識(shí)、儲(chǔ)存、防護(hù)、檢索、

22、保存期限和處置辦法進(jìn)行 控制。各管理員負(fù)責(zé)其職責(zé)范圍內(nèi)信息安全管理相關(guān)記錄的編制、 填寫(xiě)、 收集、保存和歸檔。信息安全管理相關(guān)記錄的控制參見(jiàn)記錄控制程序 。4. 管理職責(zé)1)管理承諾在 XXXX 網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下, XXXX 通過(guò)以下幾方面建立、 實(shí)施、運(yùn)行、監(jiān)視、評(píng)審管理體系并持續(xù)改進(jìn)其有效性:制定信息安全方針;制定信息安全要求;確保在 信息中心內(nèi)建立信息安全管理責(zé)任制; 向全體人員傳達(dá)滿足信息安全方針、信息安全要求、履行法律責(zé)任和持 續(xù)改進(jìn)的重要性,使全體人員能正確理解并認(rèn)真執(zhí)行信息安全管理體 系; 提供足夠資源,以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審和改進(jìn)信息安全管理 體系;建立良好

23、的內(nèi)部協(xié)調(diào)和溝通機(jī)制; 與上級(jí)政府部門(mén)及相關(guān)單位保持適當(dāng)?shù)穆?lián)系; 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別; 確保信息安全管理體系內(nèi)審的執(zhí)行; 確保信息安全管理評(píng)審的執(zhí)行。2)管理職責(zé)信息安全管理體系( ISMS)責(zé)任人的職責(zé)(參見(jiàn)授權(quán)書(shū)) ; ISMS 責(zé)任人 負(fù)責(zé)制定信息安全方針和目標(biāo),負(fù)責(zé)信息安全管理重大問(wèn) 題的決策工作。安全管理員 負(fù)責(zé)信息安全策略的開(kāi)發(fā),負(fù)責(zé)開(kāi)展內(nèi)部信息安全維護(hù)的日 常工作,負(fù)責(zé)定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置,負(fù)責(zé)協(xié)助上級(jí)部 門(mén)的信息安全測(cè)評(píng)和檢查等。機(jī)房管理員 負(fù)責(zé)機(jī)房的物理與環(huán)境安全管理, 負(fù)責(zé)機(jī)房硬件設(shè)備的維護(hù)網(wǎng)絡(luò)管理員 負(fù)責(zé)電子政務(wù)外網(wǎng)及局域網(wǎng)的安全管理和維護(hù)

24、;系統(tǒng)管理員 負(fù)責(zé)各業(yè)務(wù)系統(tǒng)(包括操作系統(tǒng)、中間件、應(yīng)用系統(tǒng))的安 全管理和維護(hù);文檔管理員 負(fù)責(zé) ISMS 相關(guān)文檔的歸檔和發(fā)布管理; 資產(chǎn)管理員 負(fù)責(zé) XXXX 所擁有信息資產(chǎn)的歸口管理; 體系審核員 負(fù)責(zé)執(zhí)行 XXXX 信息安全內(nèi)部審核, 根據(jù)要求編制內(nèi)部審核 實(shí)施計(jì)劃,組織編制審核報(bào)告,并對(duì)審核中發(fā)現(xiàn)的不符合項(xiàng)跟蹤驗(yàn)證。3) 內(nèi)部協(xié)調(diào)和溝通確保在不同層次機(jī)構(gòu)、職能部門(mén)之間,就信息安全管理體系的過(guò)程,包 括信息安全方針、信息安全目標(biāo)及完成情況,以及實(shí)施的有效性,進(jìn)行 溝通,做到相互理解、相互信任,達(dá)到全員參與的效果。與信息安全管理體系有關(guān)的各種信息溝通, 可采用各種方式如 OA 系統(tǒng)、

25、各種會(huì)議、通報(bào)等形式來(lái)實(shí)現(xiàn)。4) 外部聯(lián)系XXXX 通過(guò)與上級(jí)信息安全主管部門(mén),以及其它政府部門(mén)保持聯(lián)系,以支持: 信息安全事故管理中的響應(yīng)、取證、協(xié)調(diào)等工作; 及時(shí)了解信息安全相關(guān)法律法規(guī)、政策的變化,并保持符合性。XXXX 通過(guò)與國(guó)家有關(guān)信息安全機(jī)構(gòu),以及其他信息安全組織保持適當(dāng)?shù)穆?lián) 系,以便:增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解; 確保全面了解當(dāng)前的信息安全態(tài)勢(shì); 及時(shí)收集和發(fā)布關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)??; 獲得信息安全專(zhuān)家的建議; 分享和交換關(guān)于新技術(shù)、產(chǎn)品、威脅或脆弱性的信息; 提供處理信息安全事故時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)。5. 資源管理1) 資源提供XXXX 將為 ISMS 確定并

26、提供以下活動(dòng)所需資源: 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系; 確保信息安全程序滿足業(yè)務(wù)的需求; 履行法律法規(guī)要求、以及合同中的安全義務(wù); 正確實(shí)施所有必需的信息安全控制措施。2) 培訓(xùn)、意識(shí)和能力XXXX 將通過(guò)開(kāi)展各種形式的信息安全培訓(xùn)和教育活動(dòng),確保所有分配有ISMS 職責(zé)的人員具有一定的信息安全意識(shí),以及執(zhí)行所要求任務(wù)的能力。3) ISMS 內(nèi)部審核由體系審核員編制 XXXX 的信息安全年度審核計(jì)劃, 報(bào) ISMS 責(zé)任人批 準(zhǔn)后實(shí)施,一般情況下內(nèi)部審核每年不少于 2 次。ISMS 責(zé)任人負(fù)責(zé)信息安全管理體系內(nèi)部審核的組織和協(xié)調(diào)工作,體系 審核員負(fù)責(zé)具體實(shí)施,各部門(mén)

27、配合。每次審核前編制信息安全審核日程計(jì)劃及檢查表,作為現(xiàn)場(chǎng)審核依據(jù)。 體系審核員 不審核自己部門(mén)的信息安全管理工作。ISMS 內(nèi)部審核參見(jiàn)信息安全審核管理程序 。 內(nèi)部審核報(bào)告及糾正措施實(shí)施情況,應(yīng)提交 ISMS 責(zé)任人審核。4) ISMS 的管理評(píng)審ISMS責(zé)任人應(yīng)定期對(duì) XXXX信息安全管理體系進(jìn)行評(píng)審,每年至少一次,通常在內(nèi)審結(jié)束后的 12月內(nèi)進(jìn)行。當(dāng) XXXX的信息安全管理體系發(fā)生重大變更和 出現(xiàn)重大信息安全事故時(shí)可以追加臨時(shí)管理評(píng)審。體系審核員 根據(jù)內(nèi)部審核的結(jié)果以及其它各項(xiàng)信息安全管理的要求, 組織各部門(mén)準(zhǔn)備管理評(píng)審的材料,主要包括:內(nèi)審的結(jié)果; 信息安全方針、信息安全目標(biāo)、風(fēng)險(xiǎn)控

28、制措施的實(shí)施情況; 信息安全事故調(diào)查處理情況;信息安全整改 /改進(jìn)措施實(shí)施情況; 相關(guān)方信息安全方面的投訴、建議及其要求; 信息安全法規(guī)及其他要求符合性報(bào)告; 關(guān)于 XXXXISMS 信息安全管理體系總體運(yùn)行情況的報(bào)告;來(lái)自各職能 部門(mén)關(guān)于局部有效性的報(bào)告; 可能引起信息安全管理體系變化的組織內(nèi)外部要素,如法律、法規(guī)的變 化、機(jī)構(gòu)人員的調(diào)整, IT 架構(gòu)的變化等; 其它信息安全改進(jìn)建議。5) 評(píng)審結(jié)果主要包括:對(duì) XXXX 信息安全管理體系的適宜性、充分性和有效性的結(jié)論; 信息安全管理組織機(jī)構(gòu)是否需要調(diào)整,信息安全管理體系及其要素是否 需要改進(jìn);信息安全管理體系文件需要進(jìn)行的修改;資源需求; 信息安

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論