《信息安全管理手册全解.doc》由会员分享,可在线阅读,更多相关《信息安全管理手册全解.doc(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全管理手册发布说明)一(市收集信息安全与等级爱护的相关政策,贯彻信息安全XX为了落实国家与电子政务信息系统安全XXXX爱护信息安全管理水平,XXXX提高管理系统标准,依照完成业务信息跟系统效力的安全爱护等级,动摇可控,2005:27001ISO/IEC,信息安全管理有效规那么2005:ISO/IEC17799、信息安全管理系统恳求信XXXX,编制完成了信息系统安全等级爱护全然恳求22239-2008GB/T以及息安全管理系统文件,现予以赞同发布实施。等各级政府部分树破并实施XXXX信息安全管理手册是大纲性文件,是指导信息安全管理系统的举措准那么,全体人员必需依照执行。信息安全管理手册于发
2、布之日起正式实施。XXXX_局长日月年授权书)二(ISO/IEC27001为了贯彻履行ISO/IEC、信息安全管理系统恳求2005:信息系统安全22239-2008GB/T,以及信息安全管理有效规那么2005:17799XXXX,加强对信息安全管理系统运作的管理跟控制,特授权等级爱护全然恳求市政务信息安全任务,并保证信息安全管理职责的独破性,履行以下职XX管理责:市政务信息安全管理系统;XX担负树破、修改、完善、接着改进跟实施提出信息安全管理报告信息安全管理系统的实施情况,主任XXXX担负向系统改进建议,作为管理评审跟信息安全管理系统改进的基础;担负信息安各级政府部分全体人员鼓吹信息安全的重要
3、性,XXXX担负向全教诲、培训,不断提高全体人员的信息安全看法;担负信息安全管理系统对外联络任务。XXXX信息安全恳求)三(具体阐述如下:1.市关于信息XX信息安全调跟小组的指导下,单方面贯彻国家跟XXXX在1内树破可接着改进的信息安全管理体XXXX安全任务的相关指导性文件精神,在系。全员参与信息安全管理系统树破,落实信息安全管理任务制,树破跟2完满各项信息安全管理制度,使得信息安全管理有章可循。所有人员的信XXXX不断提高教诲与培训,通度日期地信息安全鼓吹、3息安全看法及才干。履行防范为主的信息安全积极防范理念,同时对所发生的信息安全事4件停顿快速、有序地照应。贯彻风险管理的理念,活期对“派
4、别网站等要紧信息系统停顿风险5评估跟把持,将信息安全风险把持在可接受的水平。6电子政XXXX保证信息安全各项任务,XXXX持续改进精神,PDCA依照所有XXXX务外网安全疏浚与可控,保证所开拓跟维护信息系统的安全动摇,为企业跟社会大年夜众供应安全可靠的电子政务效力。信息安全总体恳求2.信息化资产软件、硬件、数据库等目录。XXXX树破1“派别网站信息系统,依照等级爱护恳求停顿树破跟运维。各单位自2建的收集、网站跟信息系统参照履行。收集跟信息安全状况总体应急预案,并结构应急演练。XXXX编制完成3各单位自建的收集、网站跟信息系统参照履行。信息安全风险评估,由第三方机构对派别网站开展XXXX按需开展
5、4内部评估,各单位以自评估为主。次全区范围的信息系统安全检查自查1每年开展52每年结构680培训人数比例次全区范围的信息安全管理制度鼓吹。以上信息安全管理系统结构机构图)四(局收集与信息安全调跟小组局收集与信息安全调跟小组办公室处信息化委员会XXXX外主应网机安包机用络房全服管管管管管理务理理理理公员员员员员司要紧安全策略)五(信息安全管理结构机构,清楚安全管理员、机房管理员、各XXXX树破1树破健全信等安全管理相关岗位及职责,用管理员、收集管理员、主机管理员应息安全管理任务制,使得信息安全各项职责落实到人。对各项安全控信息安全管理系统停顿活期地内审跟管理评审,XXXX对2以保证信息安并实施呼
6、应的矫正跟防范办法,制办法实施后的无效性停顿测量,全管理系统接着的充分性、合适性、无效性。活期信息系统中所存在的安全风险停顿无计划的评估跟管理。XXXX对3对信息系统实施信息安全风险评估,依照评估结果选择适当的安全策略跟XXXX在信息系风险评估至少每年一次,将安全风险把持在可接受的水平。把持办法,统发生严峻修改后,也应停顿风险评估。电子政务信息系统分等级爱护。依照国家等级爱护有关恳求,对XXXX4信息系统及信息判定安全等级,并依照差其他安全等级实施分等级爱护。XXXXXXXX标准5信息资产包括硬件、软件、效力等管理流程,树破信息资产管理台帐,清楚资产所有者、应用者与爱护者,对所有信息资产停顿标
7、记,完成对信息资产置办、应用、变更、报废全体周期的安全管理。市各单位内部人员,以及各种外来人员的安XX加强所有人员包括6全管理,清楚岗位安全职责,制定针对违规的惩戒措施,落实人员延聘、在岗跟离岗时的安全把持,与敏感岗位人员签署保密协议。通过正式的信息安全培训,以及网站、简报、会议、讲座等各种办法7各单位人员的信息安全看法,提高他们的XXXX的信息安全教诲活动,不断加强信息安全技能。保证机房物理与状况安全。实施包括门禁、视频监控、报警等安全防8等状况保证配备,对机房UPS范办法,确保机房物理安全。布置机房公用空调、进出配备运转状况停顿活期巡检跟爱护。严峻对机房人员跟配备的进出管理,需登记,外来人
8、员需由相关管理人员陪同方能访征询机房。加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署9的效力协议中,对信息系统安全加以恳求。通过审批、访征询把持、监控、签署保防止内部方虐待信息加强内部方访征询电子政务信息系统的管理,密协议等办法,系统安全。市各单位要紧信息系统包括基础配备、收集跟效力器配备、XX对10使得各个相关人员可以采用标准应有文档化的把持跟爱护规程,应用等系统、化的办法对系统停顿把持,落低跟防止因误把持所引发信息安全状况的可以性。市电子政务外网上不合布置收集防恶意代码软件,并停顿恶意XX在11木马等恶意代码对电子政务信息系统的阻碍。防范恶意代码、代码库的不合更新,严禁擅自安
9、装软件,如加强介质管理,通过强化恶意代码防范的管理办法,加强提高电子政务信息系统对恶意代活期停顿恶意代码检测等,人员安全看法教诲,码的防范才干。市各单位要紧的信息跟信息系统停顿备份,并对备份介质停顿XX对12保证各种备份信息的保密以及对备份数据活期停顿备份测试验证,安全地保管,灾祸后及其他确保所有要紧信息系统跟要紧数据在故障、残缺性跟可用性,性、特定恳求下停顿可靠的恢复。13市电子政务外网的安XX采用技能跟管理两方面的把持办法,加强对市电子政务外网与互联网停顿逻XX全把持,不断提高收集的安全性跟动摇性。加强使对接入停顿严峻审批,通过实施收集访征询把持等技能防范办法,辑隔绝。市电子政务外XX用安
10、全管理,加强对各单位收集使用的安全培训跟教诲,确保网的安全。加强信息安全一样往常管理,包括系统口令管理、无人值守配备管理、屏14信息安全策略跟制XXXX幕爱护、便携机管理等,促使每位人员的一样往常任务符合度恳求。依照“仅知原那么,通过功能跟技能设置,对要紧信息系统、数据等15并落实以及安全的授权管理制度,进一步履行数字证书的应用,实施访征询把持。授权任务人。对系统特不权限跟系统有效货色的应用停顿严峻的审批跟监禁。各电子政务信息系统破项跟审批XXXX进一步重视软件开拓安全。在16过程中,同步考虑信息安全需求跟目标。应保证系统设计、开拓过程的安全,重应与效力供应商签署保属于外包软件开拓的,点加强对
11、软件代码安全性的管理。密协议。系统开拓完成后,应恳求通过第三方安全机构对软件安全性的测评。公正应用密码技能跟密码设在符合国家密码管理相关规则的条件下,17保证密码技能应用的安全性。保管等方面的安全管理,分发、严峻密钥生成、备,效力连续性的管理,树破对各种信息安全状况的预防、预IT重视对18警、照应、处置、恢复机制,编写针对电子政务外网等要紧系统的应急预案,并有序地停顿应急能矫捷、在信息系统发生缺陷或事故时,活期停顿测试跟练习练习,电子政务信息系XXXX处置,最大年夜限度地落低因信息系统突发状况或意外灾祸给统所带来的阻碍。19记录跟更新,对所有效的国家信息安全相关法律法则停顿活期的识不、各单位信
12、息安全管理现状与法律法则的符合性停顿检查,确保各项信XXXX并对息安全任务符合国家信息安全相关法律法则恳求。有效范围)六(XXXX,结合信息安全管理系统恳求2005:ISO/IEC27001本手册依照。标准的全体恳求。2005:ISO/IEC27001政府信息系统的实际编制而成,符合本管理制度有效于的电子政务应用管理。XXXX引用标准)七(本手册应用时所示均为本手册的条那么。以下文件跟标准通过本手册的引用,:文件跟标准均为无效版本。当引用文件跟标准被修订时,应用其最新版本信息安全管理系统恳求2005:信息安全管理有效规那么2005:信息系统安全等级爱护全然恳求GB/T22239-ISMS信息安
13、全管理系统)八(总体恳求1.,树破信息安全信息安全管理系统恳求2005:27001ISO/IEC依照XXXX局长赞同发布后在科信局管理系统,并形成相关的信息安全管理系统文件,由范围内实施并保持,使用内部考察、管理评审、矫正跟防范办法以及接着XXXX改进的伎俩,确保信息安全管理系统的无效性。树破跟管理信息安全管理系统2.破信息安全管理系统建(1).范围物理位置的差异,结构机构、业务特征、XXXX依照信息安全管理XXXX判定系统的范围为:的所有部分跟正式任务人员;政府信息化树破任务,担负运转、爱护跟管理掩饰XXXX要紧担负全区的电子政务专网、资源平台跟多个要紧电子政务业务应用系统。业务活动相关的应
14、用系统及其包括的全体信息资产,XXXX与其中应用系派别网站等;信息资产包括:与上述业务应用系统相关的统包括:数据、硬件、软件、效力及文档等。政XXXX的办公场所跟上述业务应用系统所处机房,其中机房包括府机房。目标的信息安全目标跟要紧信息安全策略。XXXX判定根据信息安全管理的需求,信息安全目标为:全员参与清楚任务防范为主快速照应风险管控接着改进风险评估电子政XXXX判定信息安全风险评估办法,对XXXX在系统树破过程中,务信息系统实施风险评估,识不电子政务信息系统所面临的风险。风险处置在风险评估后,依照风险评估的结果,判定风险处置的策略,包括:XXXX采用风险把持办法,以落低面临的信息安全风险;
15、在称心信息安全目标跟风险接受准那么的条件下,有意识地、客不雅观地接受风险;防止风险;转移相关业务风险到其他方面,如:置办产品维保,运维效力外包等;依照风险处置策略,制定风险把持办法,对已识不出的风险停顿分XXXX类处置,并对残余风险停顿了赞同。有效性声明从以下几多方面准备了系统有效性声明:XXXX在风险处置活动实施后,给出的把持目标跟把持办法,以及选择A标准中附录ISO/IEC27001从的因由;当前实施的把持目标跟把持办法;中任何把持目标跟把持办法的删减,以及删减的公正性说明。A对附录实施跟运转信息安全管理系统(2).在实施跟运转信息安全管理系统中所开展的任务包括:XXXX通过风险管理办法来
16、把持电子政务信息系统中存在的信息安全风险,配置资源、清楚职责跟优先级不,实施适当的管理措施;实施各信息安全管理系统文件中包括的把持办法,以抵达各把持目标;测量各信息安全管理系统文件中把持办法实施的无效性,清楚对测量结果的分析跟评估准那么,并作为接着改进的输入;实施培训跟看法教诲计划;的资源;ISMS管理实施能矫捷检测安全状况跟照应安全事故的次序,具体恳求拜会信息。安全状况管理办法监视跟评审信息安全管理系统(3).将对信息安全管理系统停顿监视,并活期或不活期的停顿内审跟管XXXX理评审,包括:履行监视跟评审次序以及其他相关办法,以抵达:矫捷检测信息安全管理系统运转过程中的缺陷跟弱点;矫捷识不埋伏
17、的跟已发生的信息安全违规跟事故;确保管理者分配给各人员的信息安全活动或通过信息技能实施的信息安全活动能如期履行;判定信息安全办法的无效性。在内审结果、信息安全事故、无效性测量结果、所有相关方的建议跟反响的基础上,活期停顿信息安全管理评审,以揣摸信息安全管理系统的无效性。以及对残余风险跟已判定的可接受的风活期停顿信息安全风险评估的评审,险级不停顿评审,评审时应考虑以下方面的变更:结构机构的变更;信息安全相关结构结构的变更;信息技能跟信息安全技能的开展跟变更;业务目标跟过程的变更;已识不出的信息安全挟制的开展跟变更;已实施信息安全把持办法的无效性;内部信息安全状况,如信息安全相关法律法则的变更、公
18、约中信息安全任务的变更跟全体社会信息安全态势的变更。每年两次对信息安全管理系统停顿内部考察。每年一次对信息安全管理系统停顿管理评审。依照监视跟评审活动的结果,对信息安全管理系统进行修改跟完满。记录可以阻碍信息安全管理系统无效性或履行状况的办法跟状况。保持跟改进信息安全管理系统(4).将依照已识不的信息安全管理系统的改进需求,选择适当的矫正办法XXXX并向所有相关方一样讯息安全保持跟接着改进信息安全管理系统,跟防范办法,办法跟改进需求,并采用测量、追踪跟验证办法,确保改进抵达预期的目标。具。体内容拜会防范与不符合矫正把持次序文件恳求3.总那么1)信息安全管理系统文件包括如下内容:信息安全管理手册
19、与有效性声明;支持性次序文件;各部分依照次序文件制定的把持规程、标准跟作业指导书;信息安全管理活动相关的各种记录。文件把持2)文件是指信息及其承载媒体,媒体可以是纸张、打算机光盘或其他电子媒体或它们的组合。记录模板、标准、次序文件、手册、图样、报告或标准均属于文件。信息安全管理系统文件由文档管理员停顿管理把持;由文档管理员不合结构修订跟发布。各系统的信息安全技能文档由各系统管理员自行控。制,并交文档管理员处存档。文件把持拜会文件把持次序记录把持3)记录是指说明所获得的结果或供应所完成活动的证据的信息安全文件,其感染是为信息安全管理系统运作供应证据。为了称心过程的可追溯性恳求跟供应信息安全管理体
20、系无效运转的客不雅观证据,除信息安全管理系统标准中恳求必需树破的记录外,在各信息安全次序文件中对该当发生的记录做了说明跟规则。对信息安全记录的标识、储存、防护、检索、保管期限跟处置办法停顿把持。填写、各管理员担负其职责范围内信息安全管理相关记录的编制、收集、保管跟归档。信息安全管理相关记录的把持拜会记录把持程序管理职责4.管理许愿1)收集与信息安全调跟小组指导下,XXXX在通过以下几多方面树破、XXXX实施、运转、监视、评审管理系统并接着改进其无效性:制定信息安全目标;制定信息安全恳求;内树破信息安全管理任务制;信息中心确保在向全体人员传达称心信息安全目标、信息安全恳求、履行法律任务跟持续改进
21、的要紧性,使全体人员能精确理解并细心履行信息安全管理体系;供应充分资源,以树破、实施、运转、监视、评审跟改进信息安全管理系统;树破优良的内部协谐跟一样机制;与上级政府部分及相关单位保持适当的联络;决定接受风险的准那么跟风险的可接受级不;确保信息安全管理系统内审的履行;确保信息安全管理评审的履行。管理职责2);任务人的职责拜会授权书ISMS信息安全管理系统担负制定信息安全目标跟目标,担负信息安全管理重大年夜征询任务人ISMS题的决定任务。担负信息安全策略的开拓,担负开展内部信息安全维护的日安全管理员常任务,担负活期开展信息安全风险评估跟风险处置,担负协助上级部门的信息安全测评跟检查等。担负机房硬
22、件配备的爱护。担负机房的物理与状况安全管理,机房管理员担负电子政务外网及局域网的安全管理跟爱护;收集管理员担负各业务系统包括把持系统、中间件、应用系统的安系统管理员全管理跟爱护;相关文档的归档跟发布管理;ISMS担负文档管理员所拥有信息资产的归口管理;XXXX担负资产管理员依照恳求编制内部考察信息安全内部考察,XXXX负责履行系统考察员实施计划,结构编制考察报告,并对考察中觉察的不符合项跟踪验证。内部协谐跟一样3)确保在差异层次机构、天性性能部分之间,就信息安全管理系统的过程,包括信息安全目标、信息安全目标及实现状况,以及实施的无效性,停顿一样,做到相互理解、互置信任,抵达全员参与的效果。系统
23、、OA可采用各种办法如与信息安全管理系统有关的各种信息一样,各种聚会、传达等办法来完成。内部联络4)通过与上级信息安全主管部分,以及其他政府部分保持联络,以支持:XXXX信息安全事故管理中的照应、取证、调跟等任务;及时理解信息安全相关法律法则、政策的变更,并保持符合性。通过与国家有关信息安全机构,以及其他信息安全组织保持适当的联XXXX系,以便:增进对最精确实际跟最新相关安全信息的理解;确保单方面理解当前的信息安全态势;及时收集跟发布关于攻击跟脆弱性的预警、建议跟补丁;获得信息安全专家的建议;分享跟交换关于新技能、产品、挟制或脆弱性的信息;供应处置信息安全事故时适当的联络点。资源管理5.1)资
24、源供应判定并供应以下活动所需资源:ISMS将为XXXX树破、实施、运转、监视、评审、保持跟改进信息安全管理系统;确保信息安全次序称心业务的需求;履行法律法则恳求、以及公约中的安全任务;精确实施所有必需的信息安全把持办法。培训、看法跟才干2)将通过开展各种办法的信息安全培训跟教诲活动,确保所有分配有XXXX职责的人员存在肯定的信息安全看法,以及履行所要求任务的才干。ISMS内部考察ISMS3)任务人批ISMS报的信息安全年度考察计划,XXXX由系统考察员编制准后实施,一般状况下内部考察每年非常多于次。2任务人担负信息安全管理系统内部考察的结构跟调跟任务,系统考察员担负具体实施,各部调独特。每次考
25、察前编制信息安全考察日程计划及检查表,作为现场考察依照。不考察自己部分的信息安全管理任务。系统考察员。内部考察拜会信息安全考察管理次序内部考察报告及矫正办法实施状况,应提交考察。ISMS任务人的管理评审ISMS4)信息安全管理系统停顿评审,每年至少一次,通XXXX任务人应活期对ISMS的信息安全管理系统发生严峻变更跟XXXX当月内进行。21常在内审终了后的出现严峻信息安全事故时可以追加临时管理评审。结构各依照内部考察的结果以及其他各项信息安全管理的恳求,系统考察员部分准备管理评审的材料,要紧包括:内审的结果;信息安全目标、信息安全目标、风险把持办法的实施状况;信息安全事故调查处置状况;改进办法
26、实施状况;/信息安全整改相关方信息安全方面的赞赏、建议及其恳求;信息安全法则及其他恳求符合性报告;信息安全管理系统总体运转状况的报告;来自各天性性能XXXXISMS关于部分关于部分无效性的报告;可以引起信息安全管理系统变更的结构内外部要素,如法律、法则的变架构的变更等;IT化、机构人员的调解,其他信息安全改进建议。评审结果要紧包括:5)信息安全管理系统的合适性、充分性跟无效性的结论;XXXX对信息安全管理结构机构是否需求调解,信息安全管理系统及其要素是否需求改进;信息安全管理系统文件需求停顿的修改;资源需求;信息安全目标、目标跟把持办法的合适性,需求停顿的修改;改进办法恳求。/呼应的信息安全整改改进ISMS6)管理矫正跟防范办法、数据分析、担负依照信息安全内部考察、系统考察员停顿一样往常的信判定需求改进的方面,积极寻寻接着改进的机遇,评审等的结果,息安全改进跟严峻改进任务;对信息安全防范跟矫正办法实施状况停顿统计分。析,并纳入管理评审。具体的改进内容拜会防范与不符合矫正把持次序矫正办法6.关于出现的信息安全不合格项,由系统考察员填写防范跟矫正办法处理单中呼应内容,判定任务部分;由任务部分填写“缘故分析栏,制定矫正办法并实施。系统考察员担负跟踪验证信息安全矫正办法的无效性,确认活动按计划实施且抵达预期结果。对无效办法有权恳求采用新的矫正办法,直至效果清楚为止。