信息安全管理手册范本
(完整版)信息安全手册.doc
(完整版)信息安全手册.docXXXXXXXX有限公司信息安全管理手册文件密级:内部公开目录1 目的 (5)2 范围 (5)3 总体安全目标 (5)4 信息安全 (5)5 信息安全组织 (5)5.1 信息安全组织 (5)5.2 信息安全职责 (6)5.3 信息安全操作流程 (7)6 信息资产分类与控制 (8)6.1 信息资产所有人责任 (8)6.1.1 信息资产分类 (8)6.1.2 信息资产密级 (9)6.2 信息资产的标识和处理 (9)7 人员的安全管理 (10)7.1 聘用条款和保密协议 (10)7.1.1 聘用条款中员工的信息安全责任 (10) 7.1.2 商业秘密 (11)7.2 人员背景审查 (12)7.2.1 审查流程 (13)7.2.2 员工背景调查表 (13)7.3 员工培训 (14)7.3.1 培训周期 (14)7.3.2 培训效果检查 (14)7.4 人员离职 (15)7.4.1 离职人员信息交接流程 (15)7.5 违规处理 (15)7.5.1 信息安全违规级别 (15)7.5.2 信息安全违规处理流程 (16)7.5.3 违规事件处理流程图 (17)8 物理安全策略 (17)8.1 场地安全 (17)8.1.1 FBI 受控区域的划分 (18)8.1.1.1 受控区域级别划分 (18)8.1.1.2 重要区域及受控区域管理责任划分 (18) 8.1.1.3 物理隔离 (18)8.1.2 出入控制 (19)8.1.3 名词解释 (19)8.1.4 人员管理 (19)8.1.4.1 人员进出管理流程 (19)8.1.4.1.1 公司员工 (19)8.1.4.1.2 来访人员 (20)8.1.5 卡证管理规定 (23)文件密级:内部公开8.1.5.1 卡证分类 (23)8.1.5.2 卡证申请 (23)8.1.5.3 卡证权限管理 (24)8.2 设备安全 (24)8.2.1 设备安全规定 (24)8.2.2 设备进出管理流程 (26)8.2.2.1 设备进场 (26)8.2.2.2 设备出场 (27)8.2.3BBB 办公设备进出管理流程 (28)8.2.3.1 设备进场 (28)8.2.3.2 设备出场 (29)8.2.4 特殊存储设备介质管理规定 (30)8.2.5 FBI 场地设备加封规定 (31)8.2.6 FBI 场地设备报修处理流程 (31)9 IT 安全管理 (31)9.1 网络安全管理规定 (31)9.2 系统安全管理规定 (32)9.3 病毒处理管理流程 (32)9.4 权限管理 (33)9.4.1 权限管理规定 (33)9.4.2 配置管理规定 (33)9.4.3 员工权限矩阵图 (35)9.5 数据传输规定 (36)9.6 业务连续性 (36)9.7 FBI 机房、实验室管理 (37)9.7.1 门禁系统管理规定 (37)9.7.2 服务器管理规定 (37)9.7.3 网络管理规定 (38)9.7.4 监控管理规定 (38)9.7.5 其它管理规定 (38)10 信息安全事件和风险处理 (39)10.1 信息安全事件调查流程 (39)10.1.1 信息安全事件的分类 (39)10.1.2 信息安全事件的分级 (39)10.1.3 安全事件调查流程 (40)10.1.3.1 一级安全事件处理流程 (40)10.1.3.2 二级安全事件处理流程 (41)10.1.3.3 三级安全事件处理流程 (42)10.1.4 信息安全事件的统计分析和审计 (42)11 检查、监控和审计 (43)11.1 检查规定 (43)11.2 监控 (43)11.2.1 视频监控 (43)11.2.2 系统、网络监控 (44)文件密级:内部公开11.3 审计 (46)11.3.1 审计规定 (46)11.3.2 审计内容 (46)12 奖励与处罚 (46)12.1 奖励 (46)12.1.1 奖励等级 (47)12.2 处罚 (47)12.2.1 处罚等级 (47)一级处罚 (47)常见一级处罚 (47)二级处罚 (48)常见二级处罚 (48)三级处罚 (48)常见三级处罚 (48)四级处罚 (49)常见四级处罚 (49)1目的为了规范和明确XXXXXXXX有限公司业务发展的信息安全管理方面的总体要求,特制定本规定。
信息安全保护管理手册
信息安全保护管理手册随着现代社会信息化的快速发展,信息安全问题日益凸显。
各类网络攻击、泄密事件频频发生,给个人、企业乃至国家的利益带来了严重威胁。
为了有效防范信息安全风险,建立健全的信息安全管理体系至关重要。
本手册将详细介绍信息安全保护的基本原则、措施以及应对措施,为广大信息系统管理员提供全面的安全防范方案。
第一章前言1.1 信息安全保护意义信息安全是信息时代的重要组成部分,直接关系到国家安全、经济发展和人民生活。
合理有效地保护信息资源,对于维护国家安全、保障经济运行、提升社会信任是至关重要的。
第二章信息安全保护原则2.1 保密性原则信息的保密性是信息安全保护的首要原则。
明确信息的机密性等级,明确信息的使用范围和权限,采取有效的技术手段和管理措施,防止未经授权的个人或组织获取敏感信息。
2.2 完整性原则信息的完整性是指信息在传输、存储、处理过程中不被非法篡改。
确保信息的真实性、一致性和可靠性,防止篡改、伪造信息等不良行为。
2.3 可用性原则信息的可用性是指信息在需要使用时能够及时、可靠地被授权人获取。
通过合理的备份策略和容灾机制,确保信息在各种意外情况下能够继续可用。
2.4 可追溯性原则信息安全管理要求能够追溯信息的所有活动,包括访问记录、操作记录和事件记录等。
通过完善的日志记录和审计机制,及时发现异常活动,防止内外部人员滥用权限。
第三章信息安全管理措施3.1 风险管理建立完善的风险管理体系,包括风险评估、风险分析、风险处理和风险监控等环节。
针对不同的风险等级,采取相应的安全措施,确保信息系统的安全可靠运行。
3.2 身份认证与访问控制建立有效的身份认证和访问控制机制,确保只有授权人员才能访问敏感信息。
包括使用强密码、多因素认证、访问权限管理等。
3.3 加密技术采用合适的加密算法和加密技术,对敏感信息进行保护。
包括数据加密、通信加密和存储加密等,提高信息传输和存储的安全性。
3.4 应急响应与恢复建立应急响应与恢复机制,及时应对各类安全事件和威胁。
信息安全管理制度的手册
第一章总则第一条目的为保障公司信息资源的安全,防止信息泄露、篡改、破坏,确保公司业务连续性,特制定本信息安全管理制度。
第二条适用范围本制度适用于公司所有员工、合作伙伴以及任何接触公司信息资源的个人或单位。
第三条责任与义务1. 公司领导层负责制定信息安全战略,审批信息安全管理制度,监督信息安全工作的实施。
2. 各部门负责人负责本部门信息安全工作的组织实施,确保信息安全管理制度在本部门得到有效执行。
3. 所有员工有义务遵守本制度,提高信息安全意识,积极参与信息安全工作。
第二章信息安全管理制度第一节计算机设备管理制度1. 环境要求:计算机设备使用部门要保持清洁、安全、良好的工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害物品。
2. 维修与维护:非本单位技术人员对公司设备、系统等进行维修、维护时,必须由公司相关技术人员现场全程监督。
计算机设备送外维修,须经有关部门负责人批准。
3. 操作规程:严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。
任何人不允许带电插拔计算机外部设备接口,计算机出现故障时应及时向IT部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
第二节操作员安全管理制度1. 操作代码管理:- 操作代码分为系统管理代码和一般操作代码。
- 系统管理操作代码必须经过经营管理者授权取得。
- 系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成。
2. 权限控制:- 根据不同应用系统的要求及岗位职责,设置相应的操作权限。
- 严格限制操作权限的变更,需经相关部门审批。
第三节网络安全管理制度1. 网络安全防护:- 定期对网络设备、系统进行安全检查和漏洞扫描。
- 及时安装和更新操作系统、应用软件的安全补丁。
- 加强网络访问控制,防止非法访问和恶意攻击。
2. 数据传输安全:- 使用加密技术保障数据传输过程中的安全。
- 对敏感数据进行脱密处理,防止数据泄露。
信息安全管理制度的手册
第一章总则第一条为确保公司信息系统的安全稳定运行,保护公司信息和用户隐私,根据国家相关法律法规,结合公司实际情况,特制定本手册。
第二条本手册适用于公司所有员工、合作伙伴及与公司业务相关的第三方。
第三条信息安全工作实行“预防为主、综合治理”的原则,坚持全员参与、全面覆盖、全程管理。
第二章信息安全组织与职责第四条公司成立信息安全领导小组,负责统筹规划、组织协调和监督实施信息安全工作。
第五条信息安全领导小组下设信息安全办公室,负责日常信息安全管理工作。
第六条各部门负责人为本部门信息安全第一责任人,负责本部门信息安全工作的组织实施。
第七条员工应自觉遵守信息安全规定,履行信息安全职责。
第三章信息安全管理制度第一节信息系统安全第八条信息系统应采用符合国家标准的安全技术措施,确保信息系统安全稳定运行。
第九条信息系统应定期进行安全检查和漏洞扫描,及时修复漏洞,消除安全隐患。
第十条信息系统应设置访问控制机制,限制非法访问和未授权访问。
第十一条信息系统应实施日志审计,记录用户操作行为,便于追踪和追溯。
第二节网络安全第十二条网络应采用防火墙、入侵检测系统等安全设备,防止网络攻击和入侵。
第十三条网络传输数据应采用加密技术,确保数据传输安全。
第十四条网络应设置访问控制机制,限制非法访问和未授权访问。
第十五条网络设备应定期进行安全检查和维护,确保网络设备安全稳定运行。
第三节数据安全第十六条数据应分类分级管理,根据数据敏感性、重要性等因素确定数据安全等级。
第十七条数据存储设备应采用安全措施,防止数据泄露、篡改和丢失。
第十八条数据传输应采用加密技术,确保数据传输安全。
第十九条数据备份应定期进行,确保数据可恢复。
第四节用户安全第二十条员工应使用强密码,并定期更换密码。
第二十一条员工应遵守信息安全规定,不泄露公司信息和用户隐私。
第二十二条员工应定期接受信息安全培训,提高信息安全意识。
第四章信息安全事件处理第二十三条信息安全事件分为一般事件、较大事件、重大事件和特别重大事件。
ISO27001信息安全管理手册
1) 将实施行动整合到信息安全管理体系流程中;
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c)为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2) 识别风险的属主;
d) 分析信息安全风险:
1) 评估在信息安全风险评估中识别的风险产生的潜在后果;
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性;
3) 确定风险的等级;
e) 评价信息安全风险:
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较;
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
ISO27001信息安全管理手册模板
信息安全管理手册版本信息注:文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。
文档版本小于1.0 时,表示该版本文档为草案,仅可作为参照资料之目的。
文档编号保密级别内部分发范围修订历史生效日期 版本号 版本说明 制作 复审 批准目录1.1. 前言1.2. XXX公司概述1.3. 信息安全管理方针/目标1.4. 公司组织机构1.5. 公司信息安全组织结构图第2章信息安全组织职责2.1. 信息安全决策委员会2.2. 信息安全管控委员会2.3. 信息安全执行工作组第3章职责和权限3.1. 信息管理部3.2. 经营管理部3.3. 财务管理部3.4. 人力资源及行政中心3.5. 营销中心1.1. 前言1.1.1. 批准页本信息安全管理手册是依据信息安全管理体系的要求,结合本公司的实际制定的,是公司信息安全管理的纲领性文件。
信息安全管理手册包括:XXX公司的信息安全管理方针和信息安全管理目标;组织结构的描述。
本手册的规定及其所引出的程序文件和管理性文件从批准之日起生效实施,要求公司全体员工在日常工作中认真执行,严格遵守和贯彻执行本手册的各项规定和要求,确保信息安全管理体系的要求和方针与目标的实现。
总经理:年月日1.1.2. 管理者代表任命书为了建立信息安全管理体系并确保体系的有效运行和持续改进,特任命为管理者代表,行使其规定的职责和权限,直接负责与信息安全管理相关的事务及外部联络,兹自签发之日起生效。
总经理年月日1.1.3. 手册应用范围与管理1.1.3.1. 应用范围1.1.3.1.1.本手册采用信息安全部分适用于ISO27001-2005除去电子商务部分的所有内容。
1.1.3.1.2.本手册适用于公司从软件的计划、设计、开发、应用、管理、业务流程,以及持续改善的所有过程控制。
1.1.3.2. 手册的编写与核准1.1.3.2.1.本手册应由管理代表或指定人员起草编写1.1.3.2.2.本手册的审查应由管理代表完成,确定其适用性及有效性;1.1.3.2.3.本手册的核准发行权由总经理决定;1.1.3.3. 《信息安全管理手册》之管理1.1.3.3.1.《信息安全管理手册》的发行由信息管理部负责,并进行发行、编号;1.1.3.3.2.手册如有破损、遗失、增发参照《文件控制程序》作业1.1.3.3.3.任何持有者离开公司必须交回手册;1.1.3.3.4.信息安全管理手册的持有者不得自行对信息安全管理手册进行删改、撕页、涂改,要保持信息安全管理手册的完整、清洁,注意保管,慎防遗失,未经总经理或管理者代表批准不得复制,向外提供。
企业信息安全管理操作手册
企业信息安全管理操作手册第1章企业信息安全概述 (4)1.1 信息安全的重要性 (4)1.2 企业信息安全管理体系 (4)1.3 信息安全法律法规与标准 (5)第2章信息安全组织与管理 (5)2.1 信息安全组织架构 (5)2.1.1 组织架构概述 (5)2.1.2 决策层 (5)2.1.3 管理层 (5)2.1.4 执行层 (5)2.1.5 监督层 (6)2.2 信息安全政策与策略 (6)2.2.1 信息安全政策 (6)2.2.2 信息安全策略 (6)2.2.3 信息安全规章制度 (6)2.3 信息安全风险管理 (6)2.3.1 风险管理概述 (6)2.3.2 风险识别 (6)2.3.3 风险评估 (6)2.3.4 风险处理 (6)2.3.5 风险监控 (7)第3章物理与环境保护 (7)3.1 物理安全防护措施 (7)3.1.1 建立健全的物理安全防护体系,保证企业信息系统硬件设备、数据和员工人身安全。
(7)3.1.2 设立专门的物理安全管理部门,负责制定、实施和监督物理安全防护措施的落实。
(7)3.1.3 加强企业内部及外部围墙、大门、通道等出入口的管理,实行严格的出入管理制度。
(7)3.1.4 对重要区域实行门禁系统管理,保证无关人员无法随意进入。
(7)3.1.5 对企业重要部位安装监控设备,进行实时监控,保证及时发觉并处理安全隐患。
(7)3.1.6 定期检查企业消防设施,保证消防设施的正常运行,降低火灾风险。
(7)3.2 信息系统硬件设备保护 (7)3.2.1 对硬件设备进行分类管理,根据设备重要性制定相应的保护措施。
(7)3.2.2 设备采购时,选择具有较高安全功能的产品,保证设备质量。
(7)3.2.3 对硬件设备进行定期检查和维护,保证设备正常运行,降低故障风险。
(7)3.2.4 重要硬件设备应实行冗余配置,提高系统可靠性。
(7)3.2.5 对设备进行标签化管理,明确设备责任人,保证设备安全。
信息安全管理手册
信息安全管理手册1.引言在当今数字化时代,信息安全已成为各个组织和个人面临的重要挑战。
为了保护信息资产的机密性、完整性和可用性,有效的信息安全管理是必不可少的。
本手册旨在为组织内的员工提供信息安全管理的准则和要求,以确保信息系统和数据得到适当的保护。
2.信息安全政策2.1 信息安全政策的目的本政策的目的是确保组织内的信息系统和数据得到适当的保护和管理,以满足合规性要求和防范内外部威胁。
2.2 信息安全政策的适用范围本政策适用于组织内所有的信息系统、数据和相关员工。
2.3 信息安全政策的要求2.3.1 组织内所有员工都应了解并遵守信息安全政策。
2.3.2 信息安全责任应明确分配给特定的个人或团队。
2.3.3 对信息资产进行分类,并为每个类别制定适当的保护措施。
2.3.4 限制对敏感信息的访问和使用,并对违反相关规定的行为采取纪律处分。
2.3.5 定期对信息安全政策进行评估和审查,以确保其有效性和适用性。
3.风险管理3.1 风险管理的目的风险管理旨在识别、评估和处理组织内的各类信息安全风险,以减少潜在的损害和不良后果。
3.2 风险管理的步骤3.2.1 识别潜在的信息安全风险,包括内外部威胁和漏洞。
3.2.2 评估风险的概率和影响程度,并确定其优先级。
3.2.3 制定适当的风险处理策略,包括接受、转移、减轻或避免风险。
3.2.4 实施风险处理方案,并监控其有效性。
4.访问控制4.1 访问控制的目的访问控制旨在确保只有授权的人员能够访问和使用组织内的信息系统和数据,防止未经授权的访问和滥用。
4.2 访问控制的原则4.2.1 最小权限原则:每个用户只能获得完成其工作所需的最低权限。
4.2.2 分层管理:通过不同层次的访问控制和身份验证来区分敏感信息的访问权限。
4.2.3 多因素认证:通过结合多个因素,如密码、指纹或令牌,来确认用户身份。
4.2.4 审计日志记录:记录和监控对敏感信息的访问和更改,并定期进行审计。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理手册(一)发布说明为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。
信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
XXXX局长 _________________年月日(二)授权书为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:✓负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系;✓负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础;✓负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;✓负责XXXX信息安全管理体系对外联络工作。
(三)信息安全要求1.具体阐述如下:(1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX建立可持续改进的信息安全管理体系。
(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
(3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。
(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
(5)贯彻风险管理的理念,定期对“门户”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
(6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。
2.信息安全总体要求(1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
(2)“门户”信息系统,按照等级保护要求进行建设和运维。
各单位自建的网络、和信息系统参照执行。
(3)编制完成XXXX网络和信息安全事件总体应急预案,并组织应急演练。
各单位自建的网络、和信息系统参照执行。
(4)按需开展XXXX信息安全风险评估,由第三方机构对”门户”开展外部评估,各单位以自评估为主。
(5)每年开展1次全区围的信息系统安全检查(自查)。
(6)每年组织2次全区围的信息安全管理制度宣传。
(培训人数比例80%以上)。
(四)信息安全管理体系组织机构图(五)主要安全策略(1)建立XXXX信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
(2)对XXXX信息安全管理体系进行定期地审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
(3)对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。
定期对XXXX信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。
风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。
(4)XXXX电子政务信息系统分等级保护。
按照国家等级保护有关要求,对XXXX信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。
(5)规XXXX信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
(6)加强所有人员(包括XX市各单位部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署协议。
(7)通过正式的信息安全培训,以及、简报、会议、讲座等各种形式的信息安全教育活动,不断加强XXXX各单位人员的信息安全意识,提高他们的信息安全技能。
(8)保障机房物理与环境安全。
实施包括门禁、视频监控、报警等安全防措施,确保机房物理安全。
部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。
严格对机房人员和设备的出入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。
(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。
通过审批、访问控制、监控、签署协议等措施,加强外部方访问电子政务信息系统的管理,防止外部方危害信息系统安全。
(10)对XX市各单位重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
(11)在XX市电子政务外网上统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防恶意代码、木马等恶意代码对电子政务信息系统的影响。
通过强化恶意代码防的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高电子政务信息系统对恶意代码的防能力。
(12)对XX市各单位重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
(13)采用技术和管理两方面的控制措施,加强对XX市电子政务外网的安全控制,不断提高网络的安全性和稳定性。
XX市电子政务外网与互联网进行逻辑隔离。
通过实施网络访问控制等技术防措施,对接入进行严格审批,加强使用安全管理,加强对各单位网络使用的安全培训和教育,确保XX市电子政务外网的安全。
(14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合XXXX信息安全策略和制度要求。
(15)按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
(16)进一步重视软件开发安全。
在XXXX各电子政务信息系统立项和审批过程中,同步考虑信息安全需求和目标。
应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。
(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。
(18)重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对电子政务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给XXXX电子政务信息系统所带来的影响。
(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对XXXX各单位信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。
(六)适用围本手册按照ISO/IEC 27001:2005 《信息安全管理体系要求》,结合XXXX 政府信息系统的实际编制而成,符合ISO/IEC 27001:2005 标准的全部要求。
本管理制度适用于XXXX的电子政务应用管理。
(七)引用标准下列文件和标准通过本手册的引用,均为本手册的条文。
本手册使用时所示文件和标准均为有效版本。
当引用文件和标准被修订时,使用其最新版本: ✓ISO/IEC 27001:2005《信息安全管理体系要求》✓ISO/IEC 17799:2005《信息安全管理实用规则》✓GB/T 22239-2008《信息系统安全等级保护基本要求》(八)信息安全管理体系(ISMS)1.总体要求XXXX依据ISO/IEC 27001:2005 《信息安全管理体系要求》,建立信息安全管理体系,并形成相关的信息安全管理体系文件,由科信局局长批准发布后在XXXX围实施并保持,利用部审核、管理评审、纠正和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。
2.建立和管理信息安全管理体系(1).建立信息安全管理体系⏹ISMS围根据XXXX业务特点、组织机构、物理位置的不同,确定XXXX信息安全管理体系的围为:✓XXXX的所有部门和正式工作人员;✓XXXX主要负责XXXX政府信息化建设工作,负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。
✓与XXXX业务活动相关的应用系统及其包含的全部信息资产,其中应用系统包括:”门户”等;信息资产包括:与上述业务应用系统相关的数据、硬件、软件、服务及文档等。
✓XXXX的办公场所和上述业务应用系统所处机房,其中机房包括XXXX政府机房。
⏹ISMS方针根据信息安全管理的需求,确定XXXX的信息安全方针和主要信息安全策略。
信息安全方针为:✓全员参与✓明确责任✓预防为主✓快速响应✓风险管控✓持续改进⏹风险评估在体系建立过程中,XXXX确定信息安全风险评估方法,对XXXX电子政务信息系统实施风险评估,识别电子政务信息系统所面临的风险。
⏹风险处置在风险评估后,XXXX根据风险评估的结果,确定风险处置的策略,包括:✓采用风险控制措施,以降低面临的信息安全风险;✓在满足信息安全方针和风险接受准则的前提下,有意识地、客观地接受风险;✓避免风险;✓转移相关业务风险到其他方面,如:购买产品维保,运维服务外包等;XXXX根据风险处置策略,制定风险控制措施,对已识别出的风险进行分类处理,并对残余风险进行了批准。