資源描述:
《【9A文】信息安全管理手冊》由會員上傳分享�����,免費在線閱讀��,更多相關內(nèi)容在應用文檔-天天文庫�����。
1�、【MeiWei_81重點借鑒文檔】信息安全管理手冊(一)發(fā)布說明為了落實國家與RR市網(wǎng)絡信息安全與等級保護的相關政策,貫徹信息安全管理體系標準��,提高RRRR信息安全管理水平���,維護RRRR電子政務信息系統(tǒng)安全穩(wěn)定可控��,實現(xiàn)業(yè)務信息和系統(tǒng)服務的安全保護等級���,按照ISO/IEC27001:20RR《信息安全管理體系要求》、ISO/IEC17799:20RR《信息安全管理實用規(guī)則》�,以及GB/T22239-20RR《信息系統(tǒng)安全等級保護基本要求》����,編制完成了RRRR信息安全管理體系文件�����,現(xiàn)予以批準頒布實施�。信息安全管理手冊是綱領性文件,是指導RRRR等各級政府部門建立并實
2��、施信息安全管理體系的行動準則��,全體人員必須遵照執(zhí)行���。信息安全管理手冊于發(fā)布之日起正式實施�����。RRRR局長_________________年月日(二)授權(quán)書為了貫徹執(zhí)行ISO/IEC27001:20RR《信息安全管理體系要求》����、ISO/IEC17799:20RR《信息安全管理實用規(guī)則》�����,以及GB/T22239-20RR《信息系統(tǒng)安全等級保護基本要求》��,加強對信息安全管理體系運作的管理和控制��,特授權(quán)RRRR管理RR市政務信息安全工作����,并保證信息安全管理職責的獨立性,履行以下職責:ü負責建立��、修改�����、完善���、持續(xù)改進和實施RR市政務信息安全管理體系����;ü負責向RRRR主任報告
3�、信息安全管理體系的實施情況,提出信息安全管理體系改進建議�,作為管理評審和信息安全管理體系改進的基礎;ü負責向RRRR各級政府部門全體人員宣傳信息安全的重要性��,負責信息安全教育、培訓����,不斷提高全體人員的信息安全意識;ü負責RRRR信息安全管理體系對外聯(lián)絡工作�。【MeiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】(一)信息安全要求1.具體闡述如下:(1)在RRRR信息安全協(xié)調(diào)小組的領導下��,全面貫徹國家和RR市關于信息安全工作的相關指導性文件精神����,在RRRR內(nèi)建立可持續(xù)改進的信息安全管理體系。(2)全員參與信息安全管理體系建設�,落實信息安全管理責任制,建
4����、立和完善各項信息安全管理制度,使得信息安全管理有章可循���。(3)通過定期地信息安全宣傳�、教育與培訓��,不斷提高RRRR所有人員的信息安全意識及能力。(4)推行預防為主的信息安全積極防御理念�����,同時對所發(fā)生的信息安全事件進行快速��、有序地響應���。(5)貫徹風險管理的理念,定期對“門戶網(wǎng)站”等重要信息系統(tǒng)進行風險評估和控制�����,將信息安全風險控制在可接受的水平�����。(6)按照PDCA精神���,持續(xù)改進RRRR信息安全各項工作����,保障RRRR電子政務外網(wǎng)安全暢通與可控��,保障所開發(fā)和維護信息系統(tǒng)的安全穩(wěn)定,為RRRR所有企業(yè)和社會公眾提供安全可靠的電子政務服務����。2.信息安全總體要求(1)建立RR
5、RR信息化資產(chǎn)(軟件�、硬件、數(shù)據(jù)庫等)目錄����。(2)“門戶網(wǎng)站”信息系統(tǒng),按照等級保護要求進行建設和運維�����。各單位自建的網(wǎng)絡����、網(wǎng)站和信息系統(tǒng)參照執(zhí)行。(3)編制完成RRRR網(wǎng)絡和信息安全事件總體應急預案���,并組織應急演練�。各單位自建的網(wǎng)絡����、網(wǎng)站和信息系統(tǒng)參照執(zhí)行�����。(4)按需開展RRRR信息安全風險評估����,由第三方機構(gòu)對”門戶網(wǎng)站”開展外部評估��,各單位以自評估為主�。(5)每年開展1次全區(qū)范圍的信息系統(tǒng)安全檢查(自查)�����?����!綧eiWei_81重點借鑒文檔】【MeiWei_81重點借鑒文檔】(6)每年組織2次全區(qū)范圍的信息安全管理制度宣傳��。(培訓人數(shù)比例80%以上)��。局網(wǎng)絡與信息
6�、安全協(xié)調(diào)小組(一)信息安全管理體系組織機構(gòu)圖局網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室RRRR處(信息化委員會)網(wǎng)絡管理員機房管理員安全管理員主機管理員應用管理員外包服務公司(二)主要安全策略(1)建立RRRR信息安全管理組織機構(gòu),明確各安全管理員����、機房管理員�����、網(wǎng)絡管理員�、應用管理員����、主機管理員等安全管理相關崗位及職責,建立健全信息安全管理責任制��,使得信息安全各項職責落實到人�。(2)對RRRR信息安全管理體系進行定期地內(nèi)審和管理評審,對各項安全控制措施實施后的有效性進行測量�,并實施相應的糾正和預防措施,以保證信息安全管理體系持續(xù)的充分性�、適宜性、有效性���。(3)對RRRR信息系
7�����、統(tǒng)中所存在的安全風險進行有計劃的評估和管理��。定期對RRRR信息系統(tǒng)實施信息安全風險評估�����,根據(jù)評估結(jié)果選擇適當?shù)陌踩呗院涂刂拼胧?���,將安全風險控制在可接受的水平。風險評估至少每年一次�����,在信息系統(tǒng)發(fā)生重大改變后�,也應進行風險評估�����。(4)RRRR電子政務信息系統(tǒng)分等級保護�。按照國家等級保護有關要求,對RRRR信息系統(tǒng)及信息確定安全等級��,并根據(jù)不同的安全等級實施分等級保護���。(5)規(guī)范RRRR信息資產(chǎn)(包括硬件�����、軟件�����、服務等)管理流程���,建立信息資產(chǎn)管理臺帳��,明確資產(chǎn)所有者�����、使用者與維護者�,對所有信息資產(chǎn)進行標記����,實現(xiàn)對信息資產(chǎn)購買、使用����、變更、報廢整個周期的安全管理���。(6)
8��、加強所有人
