信息安全管理办法-政府部门要求
信息安全管理办法
信息安全管理办法信息安全管理办法第一章总则第一条目的和基本原则为了规范本单位信息安全管理活动,确保信息系统安全、可靠、稳定地运行,维护个人信息和重要信息的安全,特制定本办法。
本办法所涉及的信息包括但不限于本单位管理的各类电子数据和所有其他信息载体中的信息内容。
本办法的基本原则是:安全优先、防范为主、合法合规、持续改进。
第二条合用范围合用于本单位及其下属机构内所有信息系统和网络设备的管理和使用,包括硬件、软件、网络等所有方面。
第三条责任制1. 信息安全管理是公司全员责任,公司信息技术部门主管负责本办法实施的具体工作,各部门负责人应配合信息技术部门做好本部门信息安全管理相关工作。
2. 全员参预、分工负责。
具体员工应当按照工作岗位职责,认真履行信息安全管理职责,确保在其工作范围内实现信息安全目标。
第二章信息安全管理制度第四条信息安全政策1. 公司应定期审查并完善本单位的信息安全政策,整合国家相关法规、标准和规范等要求,制定符合公司情况的具体信息安全管理政策。
2. 具体信息安全政策包括:信息安全目标、信息安全组织机构、信息安全机构、信息安全活动、信息安全投入费用等各方面内容。
第五条信息系统安全等级保护制度1. 为了保证本单位信息资产安全,公司应实行信息系统安全等级保护制度。
制定信息系统安全等级保护制度的过程,应当遵循国家相关法规、标准和规范要求,同时结合本单位实际情况,综合考虑信息系统对重要信息资源的价值、影响和安全风险等因素加以评估,划定各信息系统的等级。
2. 制定信息系统安全等级保护制度后需经公司领导审批,实施与维护由信息技术部门执行。
第六条信息资源分类及保护制度1. 公司应制定信息资源分类及保护制度,将本单位管理的所有信息以保密程度、敏感程度、业务重要性等多个维度进行分类,制定相应的保护措施,确保关键信息、核心业务等在存储、传输、使用等方面的安全合规。
2. 信息资源分类及保护制度具体指导、程序及工具应予以明确并加以具体实施,保障其合理有效。
《信息安全管理办法-政府部门要求》
《信息安全管理办法-政府部门要求》信息安全管理办法目录1信息安全组织管理.............................................12日常信息安全管理.............................................14.1基本要求.................................................14.2人员管理.................................................14.3资产管理.................................................24.4采购管理.................................................24.5外包管理.................................................24.6经费保障.................................................23信息安全防护管理.............................................35.1基本要求.................................................35.2网络边界防护管理.........................................35.3信息系统防护管理.........................................35.4门户网站防护管理.........................................35.5电子邮件防护管理.........................................35.6终端计算机防护管理.......................................45.7存储介质防护管理.........................................44信息安全应急管理.............................................45信息安全教育培训.............................................46信息安全检查. (5)1信息安全组织管理本项要求包括:a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制;b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件;c)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。
信息安全技术政 府部门信息安全管理基本要求
信息安全技术政府部门信息安全管理基本要求信息安全技术:政府部门信息安全管理基本要求在当今数字化的时代,信息已成为政府部门运行和决策的重要资产。
政府部门所掌握的大量信息,涵盖了社会治理、公共服务、经济发展等诸多领域,这些信息的安全性至关重要。
信息安全不仅关系到政府部门的正常运转,更关系到国家的安全、社会的稳定以及公民的权益。
因此,明确政府部门信息安全管理的基本要求,是保障信息安全的关键所在。
首先,政府部门应建立完善的信息安全管理体系。
这一体系应当包括明确的信息安全策略和方针,为信息安全管理工作提供总体的指导和方向。
信息安全策略应根据政府部门的职能、业务特点以及面临的风险来制定,确保具有针对性和可操作性。
同时,要明确信息安全管理的组织架构和职责分工,确定各个部门和岗位在信息安全管理中的职责和权限,避免出现职责不清、推诿扯皮的情况。
在人员管理方面,政府部门的工作人员是信息安全管理的重要环节。
要对工作人员进行信息安全意识的培训和教育,使其充分认识到信息安全的重要性,了解常见的信息安全威胁和防范措施。
对于涉及敏感信息处理的人员,要进行严格的背景审查和资质认定,并签订保密协议,明确其在信息安全方面的责任和义务。
此外,还应建立人员离职时的信息安全交接制度,确保人员离职不会导致信息泄露。
在技术层面,政府部门应采取一系列的信息安全技术措施。
比如,部署防火墙、入侵检测系统、防病毒软件等网络安全设备,防止外部的网络攻击和恶意软件的入侵。
对重要的信息系统进行定期的漏洞扫描和安全评估,及时发现和修复可能存在的安全隐患。
同时,要加强对数据的保护,采用加密技术对敏感数据进行加密存储和传输,确保数据的保密性和完整性。
另外,建立数据备份和恢复机制,以应对可能出现的数据丢失或损坏情况。
访问控制是信息安全管理的重要手段之一。
政府部门应建立严格的访问控制制度,根据人员的职责和工作需要,授予其相应的访问权限。
对于敏感信息和关键系统,要采用多因素认证等强认证方式,确保只有合法的人员能够访问。
信息安全等级保护管理办法
信息安全等级保护管理办法信息安全等级保护管理办法第一章总则为切实保护国家重要信息基础设施、重要信息系统和重要信息的安全,加强对信息安全等级保护的管理,优化信息安全等级保护体系,促进信息安全发展,根据《中华人民共和国网络安全法》等法律、法规,制定本办法。
第二章信息安全等级及保护对象第一条信息安全等级分为一级、二级、三级和四级,分别对应于国家重要信息基础设施、重要信息系统、一般信息系统以及不需要进行等级保护的信息系统。
第二条本办法所称重要信息基础设施,是指具有国家安全、人民群众生命财产安全、重要国计民生等方面的重要意义,其安全事故或者破坏会导致严重的社会影响和安全后果的信息基础设施。
第三条本办法所称重要信息系统,是指对国家安全、国民经济、人民生命财产安全等方面起到重要作用,其安全事故或者破坏会导致严重的社会影响和安全后果的信息系统。
第四条本办法所称一般信息系统,是指除重要信息系统和不需要进行等级保护的信息系统以外的信息系统。
第五条本办法所称等级保护对象,是指应当依照本办法的规定进行等级保护的信息基础设施、信息系统和重要信息。
第三章等级保护分类和标准第六条重要信息基础设施根据其可能受到的威胁、具体特点和重要程度,分为一级、二级和三级。
第七条重要信息系统根据其威胁程度、重要程度,分为一级、二级、三级和四级。
第八条重要信息根据其保密程度、重要程度,分为一级、二级和三级。
第九条各等级保护对象的基本标准如下:(一)一级:采取最高的信息安全保护措施,经过国家有关部门的安全审查和评估,具有高度的安全可靠性和保密性;(二)二级:采取较高的信息安全保护措施,经过国家有关部门的安全审查和评估,具有较高的安全可靠性和保密性;(三)三级:采取一定的信息安全保护措施,确保信息的安全和保密性,经过国家有关部门的安全认证和鉴定;(四)四级:不需要进行等级保护的信息系统。
第十条各等级保护对象的保护标准如下:(一)一级保护对象的保护标准:应当采取多重、层次化的安全保护措施,包括物理保护、技术保护、管理保护和突发事件应急处理等,经过安全审查和评估后,进行验收。
信息安全相关办法_规定(3篇)
第1篇第一条为了加强信息安全管理工作,保障网络与信息安全,维护国家安全、社会稳定和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合我国实际情况,制定本办法。
第二条本办法所称信息安全,是指保护网络系统、网络设施、网络数据和信息系统免受非法侵入、攻击、破坏、泄露、篡改等危害,确保网络与信息系统安全稳定运行。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:严格遵守国家法律法规,确保信息安全管理的合法性和合规性。
(二)安全发展:坚持安全与发展并重,推动网络安全技术进步和产业创新。
(三)全民参与:提高全民信息安全意识,营造良好的网络安全环境。
(四)分类分级:根据信息安全风险等级,实施分类分级保护。
(五)动态监控:建立健全信息安全监测预警体系,实时监控网络安全状况。
第四条国家建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第二章信息安全管理制度第五条国家网络安全管理部门负责全国信息安全工作的统筹规划、组织协调和监督管理。
第六条信息系统运营、使用单位应当建立健全信息安全管理制度,明确信息安全责任,加强信息安全保障能力建设。
第七条信息安全管理制度应当包括以下内容:(一)信息安全组织架构:明确信息安全管理部门、责任人和职责。
(二)信息安全风险评估:定期对信息系统进行风险评估,制定风险应对措施。
(三)信息安全技术措施:采取必要的技术措施,保障信息系统安全。
(四)信息安全教育培训:加强信息安全教育培训,提高员工信息安全意识。
(五)信息安全事件处理:建立健全信息安全事件处理机制,及时应对和处理信息安全事件。
第八条信息系统运营、使用单位应当对信息系统进行定期安全检查,发现问题及时整改。
第三章信息安全风险评估第九条信息安全风险评估应当遵循以下原则:(一)全面性:对信息系统进行全面风险评估,不留死角。
(二)客观性:以客观事实为依据,确保风险评估的准确性。
政府部门公函关于加强政务信息安全管理的具体通知与方法
政府部门公函关于加强政务信息安全管理的具体通知与方法政府部门公函关于加强政务信息安全管理的具体通知与方法尊敬的各位同仁:为了加强政务信息的安全管理,确保国家和人民的利益不受侵害,我部门特发出本通知,明确相关安全管理事项,并提供具体方法供大家参考和执行。
请各位同仁认真阅读并按照要求积极执行。
一、保护信息系统安全1. 建立信息安全管理制度:各单位需制定并完善信息安全管理制度,确保所有政务信息得到合理保护。
制度应明确责任分工、安全检测、事件报告等具体要求。
2. 加强网络安全:各单位应建立防火墙、入侵检测与防范系统,及时更新和安装安全补丁,确保网络系统能够有效抵御黑客攻击、病毒侵袭等安全威胁。
3. 控制权限管理:合理划分用户权限,实行信息访问控制。
对非工作需要的人员限制权限,并严格执行用户身份核实机制,防止信息泄露和非法操作。
二、加强信息传输和存储安全1. 加密传输技术:在政务信息传输过程中,必须采用安全可靠的加密传输技术,防止信息被窃取或篡改。
各单位应确保传输通道安全,如使用加密协议、VPN等安全机制。
2. 安全存储设备:为确保政务信息的保密性和完整性,各单位应采用专业的安全存储设备,如加密的硬盘、加密的移动存储设备等,以防信息泄露和丢失。
三、加强信息安全意识教育与培训1. 增强安全意识:各单位应定期开展信息安全宣传教育活动,提高全体员工的信息安全意识。
员工在使用计算机、互联网等工具时,应该养成良好的安全习惯,不轻易点击可疑链接或打开来历不明的文件。
2. 培训技术人员:各单位应不断培训技术人员,提高其信息安全技能和知识水平,确保他们能够及时发现和处理安全事件,并能进行应急响应和防范措施。
四、健全安全管理体系1. 审计与监控:建立完善的信息安全审计与监控体系,对信息安全事件进行跟踪和分析,及时发现异常行为并采取相应措施。
例如,监控系统日志、权限管理日志等,加强对敏感信息的关注度。
2. 安全演练与应急响应:定期组织安全演练和应急预案练习,提高应对突发事件的能力。
信息安全技术 政府部门信息安全管理基本要求
ii)应对网络日志进行管理,定期分析,及时发现安全风险。
5
本项要求包括:
jj)应按照GB/T 20984-2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估;
i)应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;
j)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;
k)应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
ww)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;
xx)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;
yy)应加强账户及口令管理,使用具有一定强度的口令并定期更换;
zzz)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;
iii)应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订;
jjj)应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案;
kkk)每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门;
lll)应建立信息安全事件报告和通报机制,提高预防预警能力;
mmm)应明确应急技术支援队伍,做好应急技术支援准备;
信息安全管理的制度法规
第一章总则第一条为加强信息安全管理工作,保障国家信息安全,维护社会稳定,促进信息化建设,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,结合本地区实际情况,制定本制度。
第二条本制度适用于本地区各类组织和个人,包括但不限于政府机关、企事业单位、社会团体、公民等。
第三条信息安全管理工作应当遵循以下原则:(一)依法管理:遵守国家法律法规,严格执行信息安全管理制度。
(二)预防为主:建立健全信息安全防护体系,加强信息安全管理,预防信息安全事件发生。
(三)综合管理:从技术、管理、人员等多方面入手,综合施策,确保信息安全。
(四)责任到人:明确信息安全责任,落实信息安全责任追究制度。
第二章信息安全管理体系第四条建立健全信息安全管理体系,明确信息安全管理组织架构、职责分工、工作流程等。
第五条设立信息安全管理部门,负责信息安全工作的组织、协调、指导和监督。
第六条各级组织应当设立信息安全责任人,负责本组织的信息安全工作。
第七条建立信息安全风险评估制度,定期开展信息安全风险评估,及时发现和消除信息安全风险。
第八条建立信息安全事件报告和处理制度,确保信息安全事件得到及时报告、处理和调查。
第三章信息安全管理制度第九条建立信息安全管理制度,包括但不限于以下内容:(一)网络安全管理制度:明确网络安全防护措施,规范网络使用行为。
(二)数据安全管理制度:加强数据安全管理,确保数据安全。
(三)信息系统安全管理制度:加强信息系统安全管理,确保信息系统安全稳定运行。
(四)信息安全培训制度:定期开展信息安全培训,提高信息安全意识。
(五)信息安全审计制度:对信息安全工作进行审计,确保信息安全制度得到有效执行。
第十条严格执行信息安全管理制度,确保信息安全制度得到有效落实。
第四章信息安全技术措施第十一条加强信息安全技术防护,包括但不限于以下措施:(一)网络边界防护:加强网络边界防护,防止恶意攻击和非法访问。
(二)入侵检测与防御:部署入侵检测与防御系统,及时发现和阻止入侵行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理办法目录1 信息安全组织管理 (1)2 日常信息安全管理 (1)4.1 基本要求 (1)4.2 人员管理 (1)4.3 资产管理 (2)4.4 采购管理 (2)4.5 外包管理 (2)4.6 经费保障 (2)3 信息安全防护管理 (3)5.1 基本要求 (3)5.2 网络边界防护管理 (3)5.3 信息系统防护管理 (3)5.4 门户网站防护管理 (3)5.5 电子邮件防护管理 (3)5.6 终端计算机防护管理 (4)5.7 存储介质防护管理 (4)4 信息安全应急管理 (4)5 信息安全教育培训 (4)6 信息安全检查 (5)1 信息安全组织管理本项要求包括:a)应加强领导,落实责任,完善措施,建立健全信息安全责任制和工作机制;b)应明确一名主管领导,负责本单位信息安全管理工作,根据国家法律法规有关要求,结合实际组织制定信息安全管理制度,完善技术防护措施,协调处理重大信息安全事件;c)应指定一个机构,具体承担信息安全管理工作,负责组织落实信息安全管理制度和信息安全技术防护措施,开展信息安全教育培训和监督检查等;d)各内设机构应指定一名专职或兼职信息安全员,负责日常信息安全督促、检查、指导工作。
信息安全员应当具备较强的信息安全意识和工作责任心,掌握基本的信息安全知识和技能。
2 日常信息安全管理2.1 基本要求本项要求包括:a)应制定信息安全工作的总体方针和目标,明确信息安全工作的主要任务和原则;b)应建立健全信息安全相关管理制度;c)应加强对人员、资产、采购、外包等的安全管理,并保证信息安全工作经费投入。
2.2 人员管理本项要求包括:a)应建立健全岗位信息安全责任制度,明确岗位及人员的信息安全责任。
重点岗位的计算机使用人员应签订信息安全与保密协议,明确信息安全与保密要求和责任;b)应制定并严格执行人员离岗离职信息安全管理规定,人员离岗离职时应终止信息系统访问权限,收回各种软硬件设备及身份证件、门禁卡等,并签署安全保密承诺书;c)应建立外部人员访问机房等重要区域审批制度,外部人员须经审批后方可进入,并安排本单位工作人员现场陪同,对访问活动进行记录并留存;d)应对信息安全责任事故进行查处,对违反信息安全管理规定的人员给予严肃处理,对造成信息安全事故的依法追究当事人和有关负责人的责任,并以适当方式通报。
2.3 资产管理本项要求包括:a)应建立并严格执行资产管理制度;b)应指定专人负责资产管理;c)应建立资产台账(清单),统一编号、统一标识、统一发放;d)应及时记录资产状态和使用情况,保证账物相符;e)应建立并严格执行设备维修维护和报废管理制度。
2.4 采购管理本项要求包括:a)应采购安全可控的信息技术产品和服务。
采购基于新型技术的产品和服务或者国外产品和服务时,应进行必要性和安全性评估;b)办公用计算机、服务器等设备的更新换代中,应采购配备安全可控CPU、操作系统等的关键软硬件;c)公文处理软件、信息安全产品等应采购国产产品,信息安全产品应经过国家统一认证;d)接受捐赠的信息技术产品,使用前应进行安全测评,并与捐赠方签订信息安全与保密协议;e)不得采购社会第三方认证机构提供的信息安全管理体系认证服务;f)信息系统数据中心、灾备中心不得设立在境外。
2.5 外包管理本项要求包括:a)应建立并严格执行信息技术外包服务安全管理制度;b)应与信息技术外包服务提供商签订服务合同和信息安全与保密协议,明确信息安全与保密责任,要求服务提供商不得将服务转包,不得泄露、扩散、转让服务过程中获知的敏感信息,不得占有服务过程中产生的任何资产,不得以服务为由强制要求委托方购买、使用指定产品;c)信息技术外包服务人员应为中国公民,现场服务过程中应安排专人陪同,并详细记录服务过程;d)外包开发的系统、软件上线应用前应进行安全测评,要求开发方及时提供系统、软件的升级、漏洞等信息和相应服务;e)信息系统运维外包不得采用远程在线运维服务方式;f)应将信息技术外包服务安全管理纳入年度信息安全检查范围。
2.6 经费保障本项要求包括:a)应将信息安全设施运行维护、日常信息安全管理、信息安全教育培训、信息安全检查、信息安全风险评估、信息系统等级测评、信息安全应急处置等费用纳入部门年度预算;b)应严格落实信息安全经费预算,保证信息安全经费投入。
3 信息安全防护管理3.1 基本要求开展信息化建设应按照同步规划、同步建设、同步运行的原则,同步规划、设计、建设、运行、管理信息安全设施,建立健全信息安全防护体系。
3.2 网络边界防护管理本项要求包括:a)非涉密信息系统与互联网及其他公共信息网络应实行逻辑隔离,涉密信息系统与互联网及其他公共信息网络应实行物理隔离;b)建立互联网接入审批和登记制度,严格控制互联网接入口数量,加强互联网接入口安全管理和安全防护。
c)应采取访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等措施,进行网络边界防护;d)应根据承载业务的重要性对网络进行分区分域管理,采取必要的技术措施对不同网络分区进行防护、对不同安全域之间实施访问控制;e)应对网络日志进行管理,定期分析,及时发现安全风险。
3.3 信息系统防护管理本项要求包括:a)应按照GB/T 20984-2007的要求,定期对信息系统面临的安全风险和威胁、薄弱环节以及防护措施的有效性等进行分析评估;b)应综合考虑信息系统的重要性、涉密程度和面临的信息安全风险等因素,按照国家信息安全等级保护相关政策和技术标准规范,对信息系统实施相应等级的安全管理;c)应按照GB/T 22240-2008的要求,确定信息系统安全保护等级;d)应按照GB/T 22239-2008的要求;对信息系统实施相应等级的安全建设和整改;e)应按照信息系统安全等级保护测评相关要求,对信息系统进行等级测评。
3.4 门户网站防护管理本项要求包括:a)应使用“”、“政务.cn”或“政务”域名;b)网站开通前,应组织专业技术机构进行安全测评,对新增应用要进行安全评估;c)应定期对网站链接进行安全性和有效性检查;d)应采取必要的技术措施,提高网站防篡改、防攻击能力,加强网站敏感信息保护。
e)应建立完善网站信息发布审核制度,明确审核程序,严格审核流程。
3.5 电子邮件防护管理本项要求包括:a)应加强电子邮箱系统安全防护,采取反垃圾邮件等技术措施;b)应规范电子邮箱注册管理,原则上只限于本部门工作人员注册使用;c)应严格邮箱账户及口令管理,采取技术和管理措施确保口令具有一定强度并定期更换。
3.6 终端计算机防护管理本项要求包括:a)应采用集中统一管理方式对终端计算机进行管理,统一软件下发,统一安装系统补丁,统一实施病毒库升级和病毒查杀,统一进行漏洞扫描;b)应规范软硬件使用,不得擅自更改软硬件配置,不得擅自安装软件;c)应加强账户及口令管理,使用具有一定强度的口令并定期更换;d)应对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等;e)应定期对终端计算机进行安全审计;f)非涉密计算机不得存储和处理国家秘密信息。
3.7 存储介质防护管理本项要求包括:a)应严格存储阵列、磁带库等大容量存储介质的管理,采取技术措施防范外联风险,确保存储数据安全;b)应对移动存储介质进行集中统一管理,记录介质领用、交回、维修、报废、销毁等情况;c)非涉密移动存储介质不得存储涉及国家秘密信息,不得在涉密计算机上使用;d)移动存储介质在接入本部门计算机和信息系统前,应当查杀病毒、木马等恶意代码;e)应配备必要的电子信息消除和销毁设备,对转作他用的存储介质要消除信息,对废弃的存储介质要进行销毁。
4 信息安全应急管理本项要求包括:a)应建立健全信息安全应急工作机制,提高应对信息安全事件的能力,预防和减少信息安全事件造成的损失和危害;b)应制定信息安全事件应急预案,原则上每年评估一次,并根据实际情况适时修订;c)应组织开展应急预案的宣贯培训,确保相关人员熟悉应急预案;d)每年应开展信息安全应急演练,检验应急预案的可操作性,并将演练情况报信息安全主管部门;e)应建立信息安全事件报告和通报机制,提高预防预警能力;f)应明确应急技术支援队伍,做好应急技术支援准备;g)应做好信息安全应急物资保障,确保必要的备机、备件等资源到位;h)应根据业务实际需要对重要数据和业务系统进行备份。
5 信息安全教育培训本项要求包括:a)应加强信息安全宣传和教育培训工作,提高信息安全意识,增强信息安全基本防护技能;b)应建立信息安全教育培训制度,把信息安全教育作为工作人员上岗、干部培训、业务学习的重要内容;c)应定期开展对信息安全管理人员和技术人员专业技能培训,提高信息安全工作能力和水平;d)应把信息安全防护基本技能纳入工作考核范围,并作为干部任用的重要条件;e)应记录并保存信息安全教育培训、考核情况和结果。
6 信息安全检查本项要求包括:a)应认真组织开展信息安全检查工作,掌握信息安全总体状况和面临的威胁,查找安全隐患,堵塞安全漏洞,完善安全措施,减少安全风险,提高安全防护能力;b)应每年进行一次全面的信息安全检查,重点检查办公系统、业务系统、门户网站的安全防护情况;c)应加强检查工作组织领导,建立检查工作责任制,制定检查工作方案并认真落实;d)应重视安全技术检测,采取必要的技术检测手段对门户网站、服务器、终端计算机等进行安全检测。
可根据需要委托符合要求的检测机构进行技术检测;e)应加强安全检查过程中的保密管理和风险控制,严格检查人员、有关文档和数据的安全保密管理,制定安全检查应急预案,确保被检查信息系统的正常运行;f)应对安全检查中发现的问题进行分析研判,制定整改措施并及时整改;g)应对年度安全检查情况进行全面总结,按照要求如实完成检查报告并报信息安全主管部门。