《公司政府信息安全管理手册模版》由会员分享,可在线阅读,更多相关《公司政府信息安全管理手册模版(15页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理手册(一) 发布说明为了落实国家与广州市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高广州市科信局信息安全管理水平,维护广州市科信局电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC27:2005信息安全管理体系要求、SO/IE7799:005信息安全管理实用规则,以及GB/T23-008信息系统安全等级保护基本要求,编制完成了广州市x科信局信息安全管理体系文件,现予以批准颁布实施。信息安全管理手册是纲领性文件,是指导广州市xx科信局等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。信息安全管理手册于发布
2、之日起正式实施。 广州市xxx科信局局长 _年 月 日(二) 授权书为了贯彻执行SO/IEC 27001:2005信息安全管理体系要求、IO/IC79:200信息安全管理实用规则,以及GB/2239-208信息系统安全等级保护基本要求,加强对信息安全管理体系运作的管理和控制,特授权广州市x科信局管理广州市xx区政府政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责: 负责建立、修改、完善、持续改进和实施广州市xx科信局政务信息安全管理体系; 负责向广州市x科信局主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; 负责向广州市
3、xx区政府各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; 负责广州市x科信局信息安全管理体系对外联络工作。(三) 信息安全要求1. 具体阐述如下:(1)在广州市xx科信局安全协调小组的领导下,全面贯彻国家和广州市关于信息安全工作的相关指导性文件精神,在广州市x科信局内建立可持续改进的信息安全管理体系。(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。(3)通过定期地信息安全宣传、教育与培训,不断提高广州市x科信局所有人员的信息安全意识及能力。(4)推行预防为主的信息安全积极防
4、御理念,同时对所发生的信息安全事件进行快速、有序地响应。(5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。(6)按照PCA精神,持续改进广州市科信局信息安全各项工作,保障广州市xx科信局电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为广州市区政府所有企业和社会公众提供安全可靠的电子政务服务。2. 信息安全总体要求(1)建立广州市科信局信息化资产(软件、硬件、数据库等)目录。(2)“门户网站”等重要信息系统信息系统,按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。(3)编制完成广州市xx科信
5、局网络和信息安全事件总体应急预案,并组织应急演练。各单位自建的网络、网站和信息系统参照执行。()按需开展广州市x科信局信息安全风险评估,由第三方机构对”门户网站”等重要信息系统开展外部评估,各单位以自评估为主。(5)每年开展1次全区范围的信息系统安全检查(自查)。(6)每年组织2次全区范围的信息安全管理制度宣传。(培训人数比例%以上)。局网络与信息安全协调小组(四) 信息安全管理体系组织机构图局网络与信息安全协调小组办公室XXXX处(信息化委员会)主机管理员应用管理员网络管理员安全管理员机房管理员外包服务公司 (五) 主要安全策略()建立广州市x科信局信息安全管理组织机构,明确各安全管理员、机
6、房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。(2)对广州市xx科信局信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。(3)对广州市x科信局信息系统中所存在的安全风险进行有计划的评估和管理。定期对广州市x科信局信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。()广州市xx科信局电子
7、政务信息系统分等级保护。按照国家等级保护有关要求,对广州市xx科信局信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。()规范广州市xx科信局信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。(6)加强所有人员(包括广州市x区政府各单位内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。()通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的信息安全
8、教育活动,不断加强广州市xx区政府各单位人员的信息安全意识,提高他们的信息安全技能。(8)保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。部署机房专用空调、PS等环境保障设施,对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理, 进出需登记,外来人员需由相关管理人员陪同方能访问机房。(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问电子政务信息系统的管理,防止外部方危害信息系统安全。(10)对广州市x区政府各单位重要信息系统(
9、包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。(1)在广州市xx科信局电子政务外网上统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对电子政务信息系统的影响。通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高电子政务信息系统对恶意代码的防范能力。(1)对广州市xx区政府各单位重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保
10、证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。(1)采用技术和管理两方面的控制措施,加强对广州市xx科信局电子政务外网的安全控制,不断提高网络的安全性和稳定性。广州市xx科信局电子政务外网与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对各单位网络使用的安全培训和教育,确保广州市x科信局电子政务外网的安全。(4)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合广州市xx科信局信息安全策略和制度要求。(5)按照“仅知
11、”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。(16)进一步重视软件开发安全。在广州市x科信局各电子政务信息系统立项和审批过程中,同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使
12、用的安全性。(1)重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对电子政务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给广州市xx区政府电子政务信息系统所带来的影响。(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对广州市x区政府各单位信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。(六) 适用范围本手册按照SO/IEC 27001:205信息安全管理体系要求,结合广州市xx
13、科信局信息系统的实际编制而成,符合IOIC 27001:205 标准的全部要求。本管理制度适用于广州市xx科信局的电子政务应用管理。(七) 引用标准下列文件和标准通过本手册的引用,均为本手册的条文。本手册使用时所示文件和标准均为有效版本。当引用文件和标准被修订时,使用其最新版本: ISO/IEC27001:2005信息安全管理体系要求 IO/IEC1779:2005信息安全管理实用规则 GB/T 2239-2008信息系统安全等级保护基本要求(八) 信息安全管理体系(ISMS)1. 总体要求广州市x科信局依据ISOI 701:2005 信息安全管理体系要求,建立信息安全管理体系,并形成相关的信
14、息安全管理体系文件,由广州市xx科信局批准发布后在广州市xx科信局范围内实施并保持,利用内部审核、管理评审、纠正和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。2. 建立和管理信息安全管理体系(1). 建立信息安全管理体系n ISS范围根据广州市xx科信局业务特点、组织机构、物理位置的不同,确定广州市x科信局信息安全管理体系的范围为: 广州市xx区政府的所有部门和正式工作人员; 广州市xx科信局主要负责广州市x区政府信息化建设工作,负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。 与广州市x科信局业务活动相关的应用系统及其包含的全部信息资产,其中
15、应用系统包括:”门户网站”等;信息资产包括:与上述业务应用系统相关的数据、硬件、软件、服务及文档等。 广州市xx科信局的办公场所和上述业务应用系统所处机房,其中机房包括广州市xx科信局政府机房。n SMS方针根据信息安全管理的需求,确定广州市xx科信局的信息安全方针和主要信息安全策略。信息安全方针为: 全员参与 明确责任 预防为主 快速响应 风险管控 持续改进n 风险评估在体系建立过程中,广州市x科信局确定信息安全风险评估方法,对广州xx区科信局电子政务信息系统实施风险评估,识别电子政务信息系统所面临的风险。n 风险处置在风险评估后,广州市x科信局根据风险评估的结果,确定风险处置的策略,包括: 采用风险控制措施,以降低面临的信息安全风险; 在满足信息安全方针和风险接受准则的前提下,有意识地、客观地接受风险; 避免风险; 转移相关业务风险到其他方面,如:购买产品
