信息安全管理手册
信息安全管理手册
信息安全管理手册一、引言信息安全是现代社会发展过程中的一个重要课题,随着信息化的快速发展,各种网络攻击与信息泄露事件频繁发生,严重威胁着个人、组织和国家的利益和安全。
因此,通过建立和实施有效的信息安全管理手册,是保护信息系统中的关键资源和数据安全的必要措施。
二、目标和范围1. 目标本信息安全管理手册的目标是确保公司信息系统的机密性、完整性和可用性,以及降低各种信息安全风险的可能性。
2. 范围本手册适用于公司内部所有涉及信息系统的部门和人员,包括但不限于技术人员、系统管理员、员工等。
同时,也适用于公司对外合作的各类网络和信息系统。
三、信息资产管理1. 信息资产分类和管理公司将所有的信息资产分为三个等级:机密、重要和一般。
并制定相应的措施来保护不同等级的信息资产。
2. 信息资产的保护公司要求所有员工接受信息安全教育和培训,保证他们对公司信息资产的保护意识,同时也要求供应商和合作伙伴遵守信息安全管理要求。
四、安全策略与规划1. 安全策略的制定公司制定一系列的安全策略,包括网络安全策略、访问控制策略、密码策略等,充分保护公司信息系统的安全。
2. 安全规划公司要建立和实施全面的安全规划,包括风险评估、安全漏洞的检测和修复、安全事件的处置等,确保信息系统始终处于安全状态。
五、安全控制和操作1. 访问控制公司要建立完善的访问控制机制,包括身份认证、访问授权、审计等,确保只有授权的人员才能访问敏感信息。
2. 加密和解密控制对于重要的机密信息,公司要采取适当的加密和解密控制手段,以防止信息在传输和存储过程中被泄露。
3. 安全审计公司要建立有效的安全审计机制,对关键系统和应用进行定期审计,及时发现和解决潜在的安全问题。
六、信息安全事件处理和应急响应1. 安全事件管理公司要制定信息安全事件管理制度,建立安全事件的快速响应机制,及时处置各类安全事件,并进行详细的调查和分析。
2. 应急响应公司要建立健全的信息安全应急响应计划,明确应急响应的流程和责任,及时组织应急小组进行处理。
信息安全管理手册
信息安全管理手册第一章:引言1.1 背景随着信息技术的快速发展,信息安全管理已成为各个组织和企业不可忽视的重要问题。
信息安全管理手册是为了确保组织内信息安全政策的有效实施和执行而编写的指南。
1.2 目的本手册的目的是为组织内的员工提供明确的信息安全管理指导,确保组织的信息资产得到保护,减少信息安全风险,并建立一个持续改进的信息安全管理体系。
1.3 适用范围本手册适用于本组织内所有员工、合作伙伴和供应商,以及与本组织有关的所有信息资产。
第二章:信息安全政策2.1 定义信息安全政策是组织内对信息安全目标、原则和要求的正式陈述。
本章节将详细介绍组织的信息安全政策。
2.2 信息安全目标本组织的信息安全目标包括但不限于:- 保护信息资产的机密性、完整性和可用性;- 遵守适用的法律法规和合同要求;- 防止未经授权的访问、使用、披露、修改和破坏信息资产。
2.3 信息安全原则本组织的信息安全原则包括但不限于:- 领导承诺:高层管理层对信息安全的重视和承诺;- 风险管理:对信息安全风险进行评估和处理;- 人员安全:确保员工的信息安全意识和能力;- 物理安全:保护物理环境和设备的安全;- 通信安全:确保网络和通信的安全;- 访问控制:限制对信息资产的访问和使用;- 信息安全事件管理:及时响应和处理信息安全事件。
第三章:信息资产管理3.1 信息资产分类本组织将信息资产分为以下几类:- 机密信息:包括商业秘密、客户信息等;- 个人信息:包括员工和客户的个人身份信息;- 业务信息:包括合同、财务信息等;- 系统信息:包括操作系统、数据库等。
3.2 信息资产管理措施本组织采取以下措施来管理信息资产:- 标识和分类信息资产;- 确定信息资产的所有者和责任人;- 制定信息资产的访问控制策略;- 定期备份和恢复信息资产;- 定期进行信息安全风险评估。
第四章:人员安全管理4.1 员工培训和意识本组织重视员工的信息安全培训和意识提升,包括但不限于:- 提供定期的信息安全培训和教育活动;- 定期组织信息安全意识宣传活动;- 鼓励员工参与信息安全相关的培训和认证。
信息安全管理制度的手册
第一章总则第一条目的为保障公司信息资源的安全,防止信息泄露、篡改、破坏,确保公司业务连续性,特制定本信息安全管理制度。
第二条适用范围本制度适用于公司所有员工、合作伙伴以及任何接触公司信息资源的个人或单位。
第三条责任与义务1. 公司领导层负责制定信息安全战略,审批信息安全管理制度,监督信息安全工作的实施。
2. 各部门负责人负责本部门信息安全工作的组织实施,确保信息安全管理制度在本部门得到有效执行。
3. 所有员工有义务遵守本制度,提高信息安全意识,积极参与信息安全工作。
第二章信息安全管理制度第一节计算机设备管理制度1. 环境要求:计算机设备使用部门要保持清洁、安全、良好的工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害物品。
2. 维修与维护:非本单位技术人员对公司设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
3. 操作规程:严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
第二节操作员安全管理制度1. 操作代码管理:- 操作代码分为系统管理代码和一般操作代码。
- 系统管理操作代码必须经过经营管理者授权取得。
- 系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成。
2. 权限控制:- 根据不同应用系统的要求及岗位职责,设置相应的操作权限。
- 严格限制操作权限的变更,需经相关部门审批。
第三节网络安全管理制度1. 网络安全防护:- 定期对网络设备、系统进行安全检查和漏洞扫描。
- 及时安装和更新操作系统、应用软件的安全补丁。
- 加强网络访问控制,防止非法访问和恶意攻击。
2. 数据传输安全:- 使用加密技术保障数据传输过程中的安全。
- 对敏感数据进行脱密处理,防止数据泄露。
信息安全管理制度的手册
第一章总则第一条为确保公司信息系统的安全稳定运行,保护公司信息和用户隐私,根据国家相关法律法规,结合公司实际情况,特制定本手册。
第二条本手册适用于公司所有员工、合作伙伴及与公司业务相关的第三方。
第三条信息安全工作实行“预防为主、综合治理”的原则,坚持全员参与、全面覆盖、全程管理。
第二章信息安全组织与职责第四条公司成立信息安全领导小组,负责统筹规划、组织协调和监督实施信息安全工作。
第五条信息安全领导小组下设信息安全办公室,负责日常信息安全管理工作。
第六条各部门负责人为本部门信息安全第一责任人,负责本部门信息安全工作的组织实施。
第七条员工应自觉遵守信息安全规定,履行信息安全职责。
第三章信息安全管理制度第一节信息系统安全第八条信息系统应采用符合国家标准的安全技术措施,确保信息系统安全稳定运行。
第九条信息系统应定期进行安全检查和漏洞扫描,及时修复漏洞,消除安全隐患。
第十条信息系统应设置访问控制机制,限制非法访问和未授权访问。
第十一条信息系统应实施日志审计,记录用户操作行为,便于追踪和追溯。
第二节网络安全第十二条网络应采用防火墙、入侵检测系统等安全设备,防止网络攻击和入侵。
第十三条网络传输数据应采用加密技术,确保数据传输安全。
第十四条网络应设置访问控制机制,限制非法访问和未授权访问。
第十五条网络设备应定期进行安全检查和维护,确保网络设备安全稳定运行。
第三节数据安全第十六条数据应分类分级管理,根据数据敏感性、重要性等因素确定数据安全等级。
第十七条数据存储设备应采用安全措施,防止数据泄露、篡改和丢失。
第十八条数据传输应采用加密技术,确保数据传输安全。
第十九条数据备份应定期进行,确保数据可恢复。
第四节用户安全第二十条员工应使用强密码,并定期更换密码。
第二十一条员工应遵守信息安全规定,不泄露公司信息和用户隐私。
第二十二条员工应定期接受信息安全培训,提高信息安全意识。
第四章信息安全事件处理第二十三条信息安全事件分为一般事件、较大事件、重大事件和特别重大事件。
信息安全管理手册
信息安全管理手册为加强信息安全教育、培训和管理,强化信息安全意识和法制观念,提升职业道德,掌握安全技术,确保信息安全管理措施的落实,编制《信息安全管理手册》,用以指导全体员工信息安全自我管理。
一、信息安全意识的培养信息就是有用的信息,具有价值的信息,有意义的内容;信息安全三要素包括信息的保密性、完整性和可用性。
信息安全会影响到我们的工作和生活,需要培养信息安全意识,养成良好的安全习惯,遵守信息安全管理制度和法律法规,发现异常事件及时报告给有关部门和专人,从而实现信息安全。
二、信息安全管理(一)上网安全不访问陌生的网站或论坛,不同网站不使用相同密码。
在不确定网站是否可信任的情况下,不留下个人以及公司信息,保护个人隐私信息。
不打开陌生人的电子邮件,不轻信陌生人的即时消息,陌生的网络链接谨慎打开。
不轻易打开电子邮件中的附件不随意连接未经加密的WIFI网络,连接免费WIFI时不使用在线支付,禁用自动连接WIFI网络功能。
(二)帐号密码设置使用个人帐号登录OA应用系统或者访问邮箱,帐号密码长度应不少于八位,包含字母与字符,并且定期更换密码,个人帐号密码保管好,不与任何人共享密码。
(三)移动设备的使用不将移动设备如笔记本电脑、智能手机等随意放置或托运。
为移动设备设置锁屏密码。
设备中信息应加密存储,并定期备份。
(四)网盘的使用网盘中的数据应加密存储并定期备份。
网盘账号信息不与他人共享。
不轻易将重要数据上传到网盘中存储。
(五)个人电脑的使用个人电脑里安装防病毒软件并及时更新病毒库。
及时更新系统或应用程序补丁。
不下载和安装未经授权的程序。
离开工位时应及时将电脑锁定屏幕。
(六)办公环境机密文件应加密存放,定期备份,遗失应立即报告。
办公桌面应保持整洁,不高声谈论工作内容。
不轻易相信陌生人发来的信息,回答陌生来电前应先确认对方身份。
(七)安全事件报告应清楚了解信息安全事件的处理方法及流程,一旦发现信息安全事件应立即报告职能部门。
ISO27001信息安全管理手册
1) 将实施行动整合到信息安全管理体系流程中;
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c)为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2) 识别风险的属主;
d) 分析信息安全风险:
1) 评估在信息安全风险评估中识别的风险产生的潜在后果;
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性;
3) 确定风险的等级;
e) 评价信息安全风险:
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较;
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
1信息安全管理手册
1信息安全管理手册信息安全管理手册1.引言本信息安全管理手册旨在规范组织的信息安全管理体系,确保信息系统及数据的安全性、完整性和可用性。
本手册适用于所有员工和相关合作伙伴,旨在促进信息安全的最佳实践。
2.范围本信息安全管理手册适用于整个组织的所有信息系统、网络设备、以及与信息处理相关的设备和人员。
3.目标与原则3.1 目标●确保信息系统和数据的安全性,防止未经授权的访问、使用和披露。
●保护信息系统和数据的完整性,防止非法修改、篡改或破坏。
●确保信息系统和数据的可用性,防止服务中断或不可用。
●提高信息安全意识和培训,促进员工和合作伙伴的主动参与。
●建立信息安全风险管理机制,及时发现和处理信息安全事件。
3.2 原则●主动防御:采取积极主动的安全防护措施,预防和减少安全威胁。
●分级管理:根据信息的重要性和敏感性,对信息系统进行分类管理和安全保护。
●合规性要求:遵守适用的法律法规和业务合规性要求,确保合法合规运营。
●安全意识培训:开展定期的信息安全培训和教育活动,提高员工的安全意识和技能。
●持续改进:不断完善信息安全管理体系,提高信息安全管理水平。
4.组织结构4.1 信息安全管理委员会设立信息安全管理委员会,负责制定信息安全策略、制度和方针,并监督信息安全管理工作的实施。
4.2 信息安全管理部门设立信息安全管理部门,负责整个组织的信息安全管理工作,包括制定安全规范、策略和操作指南,监测和分析安全事件,开展安全风险评估等工作。
4.3 信息安全管理员指定专门的信息安全管理员,负责信息系统和数据的安全配置、维护和监控,及时发现和处理安全事件。
5.安全控制措施5.1 访问控制确保只有授权用户能够访问系统和数据,采取身份验证、访问权限管理、审计日志等措施。
5.2 网络安全保护组织的网络设备和通信渠道的安全,采取防火墙、入侵检测系统、加密等技术手段。
5.3 数据安全保护组织的重要数据和敏感信息,采取数据备份、加密、存储和传输控制等措施。
信息安全管理手册
信息安全管理手册1.引言在当今数字化时代,信息安全已成为各个组织和个人面临的重要挑战。
为了保护信息资产的机密性、完整性和可用性,有效的信息安全管理是必不可少的。
本手册旨在为组织内的员工提供信息安全管理的准则和要求,以确保信息系统和数据得到适当的保护。
2.信息安全政策2.1 信息安全政策的目的本政策的目的是确保组织内的信息系统和数据得到适当的保护和管理,以满足合规性要求和防范内外部威胁。
2.2 信息安全政策的适用范围本政策适用于组织内所有的信息系统、数据和相关员工。
2.3 信息安全政策的要求2.3.1 组织内所有员工都应了解并遵守信息安全政策。
2.3.2 信息安全责任应明确分配给特定的个人或团队。
2.3.3 对信息资产进行分类,并为每个类别制定适当的保护措施。
2.3.4 限制对敏感信息的访问和使用,并对违反相关规定的行为采取纪律处分。
2.3.5 定期对信息安全政策进行评估和审查,以确保其有效性和适用性。
3.风险管理3.1 风险管理的目的风险管理旨在识别、评估和处理组织内的各类信息安全风险,以减少潜在的损害和不良后果。
3.2 风险管理的步骤3.2.1 识别潜在的信息安全风险,包括内外部威胁和漏洞。
3.2.2 评估风险的概率和影响程度,并确定其优先级。
3.2.3 制定适当的风险处理策略,包括接受、转移、减轻或避免风险。
3.2.4 实施风险处理方案,并监控其有效性。
4.访问控制4.1 访问控制的目的访问控制旨在确保只有授权的人员能够访问和使用组织内的信息系统和数据,防止未经授权的访问和滥用。
4.2 访问控制的原则4.2.1 最小权限原则:每个用户只能获得完成其工作所需的最低权限。
4.2.2 分层管理:通过不同层次的访问控制和身份验证来区分敏感信息的访问权限。
4.2.3 多因素认证:通过结合多个因素,如密码、指纹或令牌,来确认用户身份。
4.2.4 审计日志记录:记录和监控对敏感信息的访问和更改,并定期进行审计。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理手册(一)发布说明为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。
信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
XXXX局长_________________年月日(二)授权书为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系;负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础;负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;负责XXXX信息安全管理体系对外联络工作。
(三)信息安全要求1.具体阐述如下:(1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX内建立可持续改进的信息安全管理体系。
(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
(3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。
(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
(5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
(6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX 所有企业和社会公众提供安全可靠的电子政务服务。
2.信息安全总体要求(1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
(2)“门户网站”信息系统,按照等级保护要求进行建设和运维。
各单位自建的网络、网站和信息系统参照执行。
(3)编制完成XXXX网络和信息安全事件总体应急预案,并组织应急演练。
各单位自建的网络、网站和信息系统参照执行。
(4)按需开展XXXX信息安全风险评估,由第三方机构对”门户网站”开展外部评估,各单位以自评估为主。
(5)每年开展1次全区范围的信息系统安全检查(自查)。
(6)每年组织2次全区范围的信息安全管理制度宣传。
(培训人数比例80%以上)。
(四)信息安全管理体系组织机构图(五)主要安全策略(1)建立XXXX信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
(2)对XXXX信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
(3)对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。
定期对XXXX信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。
风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。
(4)XXXX电子政务信息系统分等级保护。
按照国家等级保护有关要求,对XXXX信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。
(5)规范XXXX信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
(6)加强所有人员(包括XX市各单位内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。
(7)通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的信息安全教育活动,不断加强XXXX各单位人员的信息安全意识,提高他们的信息安全技能。
(8)保障机房物理与环境安全。
实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。
部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
严格对机房人员和设备的出入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。
(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问电子政务信息系统的管理,防止外部方危害信息系统安全。
(10)对XX市各单位重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
(11)在XX市电子政务外网上统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对电子政务信息系统的影响。
通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高电子政务信息系统对恶意代码的防范能力。
(12)对XX市各单位重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
(13)采用技术和管理两方面的控制措施,加强对XX市电子政务外网的安全控制,不断提高网络的安全性和稳定性。
XX市电子政务外网与互联网进行逻辑隔离。
通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对各单位网络使用的安全培训和教育,确保XX市电子政务外网的安全。
(14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合XXXX信息安全策略和制度要求。
(15)按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
(16)进一步重视软件开发安全。
在XXXX各电子政务信息系统立项和审批过程中,同步考虑信息安全需求和目标。
应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。
(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。
(18)重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对电子政务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给XXXX电子政务信息系统所带来的影响。
(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对XXXX各单位信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。
(六)适用范围本手册按照ISO/IEC 27001:2005 《信息安全管理体系要求》,结合XXXX 政府信息系统的实际编制而成,符合ISO/IEC 27001:2005 标准的全部要求。
本管理制度适用于XXXX的电子政务应用管理。
(七)引用标准下列文件和标准通过本手册的引用,均为本手册的条文。
本手册使用时所示文件和标准均为有效版本。
当引用文件和标准被修订时,使用其最新版本: ISO/IEC 27001:2005《信息安全管理体系要求》ISO/IEC 17799:2005《信息安全管理实用规则》GB/T 22239-2008《信息系统安全等级保护基本要求》(八)信息安全管理体系(ISMS)1.总体要求XXXX依据ISO/IEC 27001:2005 《信息安全管理体系要求》,建立信息安全管理体系,并形成相关的信息安全管理体系文件,由科信局局长批准发布后在XXXX范围内实施并保持,利用内部审核、管理评审、纠正和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。
2.建立和管理信息安全管理体系(1).建立信息安全管理体系ISMS范围根据XXXX业务特点、组织机构、物理位置的不同,确定XXXX信息安全管理体系的范围为:XXXX的所有部门和正式工作人员;XXXX主要负责XXXX政府信息化建设工作,负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。
与XXXX业务活动相关的应用系统及其包含的全部信息资产,其中应用系统包括:”门户网站”等;信息资产包括:与上述业务应用系统相关的数据、硬件、软件、服务及文档等。
XXXX的办公场所和上述业务应用系统所处机房,其中机房包括XXXX政府机房。
ISMS方针根据信息安全管理的需求,确定XXXX的信息安全方针和主要信息安全策略。
信息安全方针为:全员参与明确责任预防为主快速响应风险管控持续改进风险评估在体系建立过程中,XXXX确定信息安全风险评估方法,对XXXX电子政务信息系统实施风险评估,识别电子政务信息系统所面临的风险。
风险处置在风险评估后,XXXX根据风险评估的结果,确定风险处置的策略,包括:采用风险控制措施,以降低面临的信息安全风险;在满足信息安全方针和风险接受准则的前提下,有意识地、客观地接受风险;避免风险;转移相关业务风险到其他方面,如:购买产品维保,运维服务外包等;XXXX根据风险处置策略,制定风险控制措施,对已识别出的风险进行分类处理,并对残余风险进行了批准。