信息安全管理手册(同名18160)VIP专享VIP免费

信息安全管理手册(一)发布说明为了落实国家与XX市网络信息安全与等级保护的相关政策，贯彻信息安全管理体系标准，提高XXXX信息安全管理水平，维护XXXX电子政务信息系统安全稳定可控，实现业务信息和系统服务的安全保护等级，按照ISO/IEC27001：2005《信息安全管理体系要求》、ISO/IEC17799：2005《信息安全管理实用规则》，以及GB/T22239-2008《信息系统安全等级保护基本要求》，编制完成了XXXX信息安全管理体系文件，现予以批准颁布实施。信息安全管理手册是纲领性文件，是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则，全体人员必须遵照执行。信息安全管理手册于发布之日起正式实施。XXXX局长_________________年月日(二)授权书为了贯彻执行ISO/IEC27001：2005《信息安全管理体系要求》、ISO/IEC17799：2005《信息安全管理实用规则》，以及GB/T22239-2008《信息系统安全等级保护基本要求》，加强对信息安全管理体系运作的管理和控制，特授权XXXX管理XX市政务信息安全工作，并保证信息安全管理职责的独立性，履行以下职责：负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系；负责向XXXX主任报告信息安全管理体系的实施情况，提出信息安全管理体系改进建议，作为管理评审和信息安全管理体系改进的基础；负责向XXXX各级政府部门全体人员宣传信息安全的重要性，负责信息安全教育、培训，不断提高全体人员的信息安全意识；负责XXXX信息安全管理体系对外联络工作。(三)信息安全要求1.具体阐述如下：（1）在XXXX信息安全协调小组的领导下，全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神，在XXXX内建立可持续改进的信息安全管理体系。（2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和完善各项信息安全管理制度，使得信息安全管理有章可循。（3）通过定期地信息安全宣传、教育与培训，不断提高XXXX所有人员的信息安全意识及能力。（4）推行预防为主的信息安全积极防御理念，同时对所发生的信息安全事件进行快速、有序地响应。（5）贯彻风险管理的理念，定期对“门户网站”等重要信息系统进行风险评估和控制，将信息安全风险控制在可接受的水平。（6）按照PDCA精神，持续改进XXXX信息安全各项工作，保障XXXX电子政务外网安全畅通与可控，保障所开发和维护信息系统的安全稳定，为XXXX所有企业和社会公众提供安全可靠的电子政务服务。2.信息安全总体要求（1）建立XXXX信息化资产（软件、硬件、数据库等）目录。（2）“门户网站”信息系统，按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。（3）编制完成XXXX网络和信息安全事件总体应急预案，并组织应急演练。各单位自建的网络、网站和信息系统参照执行。（4）按需开展XXXX信息安全风险评估，由第三方机构对”门户网站”开展外部评估，各单位以自评估为主。（5）每年开展1次全区范围的信息系统安全检查（自查）。（6）每年组织2次全区范围的信息安全管理制度宣传。（培训人数比例80％以上）。(四)信息安全管理体系组织机构图(五)主要安全策略（1）建立XXXX信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。（2）对XXXX信息安全管理体系进行定期地内审和管理评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。（3）对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。定期对XXXX信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和控制措施，将安全风险控制在可接受的水平。风险评估至少每年一次，在信息系统发生重大改变后，也应进行风险评估。局网络与信息安全协调小组局网络与信息安全协调小组办公室XXXX处（信息化委员会）安全管理员机房管理员网络管理员应用管理员主机管理员外包服务公司（4）XXXX电子政务信息系统分等级保护。按照国家等级保护有关要求，对XXXX信息系统及信息确定安全等级，并...