1、信息安全管理手冊(cè)（一）發(fā)布說明為了落實(shí)國家與XX市網(wǎng)絡(luò)信息安全與等級(jí)保護(hù)的相關(guān)政策，貫徹信息安全 管理體系標(biāo)準(zhǔn)，提高xxxX言息安全管理水平，維護(hù)XXXX電子政務(wù)信息系統(tǒng)安全 穩(wěn)定可控，實(shí)現(xiàn)業(yè)務(wù)信息和系統(tǒng)服務(wù)的安全保護(hù)等級(jí)，按照ISO/IEC 27001: 2005信息安全管理體系要求、ISO/IEC 17799 : 2005信息安全管理實(shí)用規(guī)則， 以及GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求，編制完成了 XXXX言 息安全管理體系文件，現(xiàn)予以批準(zhǔn)頒布實(shí)施。信息安全管理手冊(cè)是綱領(lǐng)性文件，是指導(dǎo) XXXX等各級(jí)政府部門建立并實(shí)施 信息安全管理體系的行動(dòng)準(zhǔn)則，全體人員必須遵照?qǐng)?zhí)行

2、。信息安全管理手冊(cè)于發(fā)布之日起正式實(shí)施。XXXX局長年 月 日（二）授權(quán)書為了貫徹執(zhí)行ISO/IEC 27001 : 2005信息安全管理體系要求、ISO/IEC 17799： 2005信息安全管理實(shí)用規(guī)則，以及GB/T 22239-2008信息系統(tǒng)安全 等級(jí)保護(hù)基本要求，加強(qiáng)對(duì)信息安全管理體系運(yùn)作的管理和控制，特授權(quán) XXXX 管理XX市政務(wù)信息安全工作，并保證信息安全管理職責(zé)的獨(dú)立性，履行以下職 責(zé)：?負(fù)責(zé)建立、修改、完善、持續(xù)改進(jìn)和實(shí)施 XX市政務(wù)信息安全管理體系;?負(fù)責(zé)向XXXX主任報(bào)告信息安全管理體系的實(shí)施情況，提出信息安全管理 體系改進(jìn)建議，作為管理評(píng)審和信息安全管理體系改進(jìn)的基礎(chǔ)

3、；?負(fù)責(zé)向XXXX各級(jí)政府部門全體人員宣傳信息安全的重要性，負(fù)責(zé)信息安 全教育、培訓(xùn)，不斷提高全體人員的信息安全意識(shí)；?負(fù)責(zé)XXXX信息安全管理體系對(duì)外聯(lián)絡(luò)工作。（三）信息安全要求1.具體闡述如下：（1）在XXXX信息安全協(xié)調(diào)小組的領(lǐng)導(dǎo)下，全面貫徹國家和 XX市關(guān)于信息 安全工作的相關(guān)指導(dǎo)性文件精神，在 XXXX內(nèi)建立可持續(xù)改進(jìn)的信息安全管理體 系。（2）全員參與信息安全管理體系建設(shè)，落實(shí)信息安全管理責(zé)任制，建立和 完善各項(xiàng)信息安全管理制度，使得信息安全管理有章可循。（3）通過定期地信息安全宣傳、教育與培訓(xùn)，不斷提高XXXX所有人員的信 息安全意識(shí)及能力。（4）推行預(yù)防為主的信息安全積極防御理

4、念，同時(shí)對(duì)所發(fā)生的信息安全事 件進(jìn)行快速、有序地響應(yīng)。（5）貫徹風(fēng)險(xiǎn)管理的理念，定期對(duì)“門戶網(wǎng)站”等重要信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn) 評(píng)估和控制，將信息安全風(fēng)險(xiǎn)控制在可接受的水平。（6）按照PDCA精神，持續(xù)改進(jìn)XXXX信息安全各項(xiàng)工作，保障XXXX電子政 務(wù)外網(wǎng)安全暢通與可控，保障所開發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn)定，為 XXXX所有 企業(yè)和社會(huì)公眾提供安全可靠的電子政務(wù)服務(wù)。2信息安全總體要求（1）建立XXXX信息化資產(chǎn)（軟件、硬件、數(shù)據(jù)庫等）目錄（2）“門戶網(wǎng)站”信息系統(tǒng)，按照等級(jí)保護(hù)要求進(jìn)行建設(shè)和運(yùn)維。各單位自 建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。（3）編制完成XXXX網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案，并組

5、織應(yīng)急演練。 各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。（4）按需開展XXXX信息安全風(fēng)險(xiǎn)評(píng)估，由第三方機(jī)構(gòu)對(duì)”門戶網(wǎng)站”開展 外部評(píng)估，各單位以自評(píng)估為主。（5）每年開展1次全區(qū)范圍的信息系統(tǒng)安全檢查（自查）。（6）每年組織2次全區(qū)范圍的信息安全管理制度宣傳。（培訓(xùn)人數(shù)比例80% 以上）。（四）信息安全管理體系組織機(jī)構(gòu)圖r局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組豐1局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室-、XXXX處（信息化委員會(huì)）1安 全 管 理 員機(jī)房管理員Lj 網(wǎng)絡(luò)管理員廠 L應(yīng) 用 管 理 員主機(jī)管理員L 丿外 包 服 務(wù) 公 司（五）主要安全策略（1）建立XXXX信息安全管理組織機(jī)構(gòu)，明確各 安全管理員、

6、機(jī)房管理員、 網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理相關(guān)崗位及職責(zé)，建立健全信 息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)落實(shí)到人。（2）對(duì)XXXX言息安全管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審， 對(duì)各項(xiàng)安全控 制措施實(shí)施后的有效性進(jìn)行測(cè)量，并實(shí)施相應(yīng)的糾正和預(yù)防措施，以保證信息安 全管理體系持續(xù)的充分性、適宜性、有效性。（3） 對(duì)XXXX信息系統(tǒng)中所存在的安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)估和管理。定期 對(duì)XXXX信息系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果選擇適當(dāng)?shù)陌踩呗院?控制措施，將安全風(fēng)險(xiǎn)控制在可接受的水平。 風(fēng)險(xiǎn)評(píng)估至少每年一次，在信息系 統(tǒng)發(fā)生重大改變后，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。（4）XXXX電子政務(wù)

7、信息系統(tǒng)分等級(jí)保護(hù)。按照國家等級(jí)保護(hù)有關(guān)要求，對(duì) XXXXW息系統(tǒng)及信息確定安全等級(jí)，并根據(jù)不同的安全等級(jí)實(shí)施分等級(jí)保護(hù)。（5）規(guī)范XXXX言息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程，建立信息 資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記， 實(shí)現(xiàn)對(duì)信息資產(chǎn)購買、使用、變更、報(bào)廢整個(gè)周期的安全管理。（6）加強(qiáng)所有人員（包括XX市各單位內(nèi)部人員，以及各類外來人員）的安 全管理，明確崗位安全職責(zé)，制定針對(duì)違規(guī)的懲戒措施，落實(shí)人員聘用、在崗和 離崗時(shí)的安全控制，與敏感崗位人員簽署保密協(xié)議。（7）通過正式的信息安全培訓(xùn)，以及網(wǎng)站、簡報(bào)、會(huì)議、講座等各種形式 的信息安全教育活動(dòng)，不

8、斷加強(qiáng) XXXX各單位人員的信息安全意識(shí)，提高他們的 信息安全技能。（8）保障機(jī)房物理與環(huán)境安全。實(shí)施包括門禁、視頻監(jiān)控、報(bào)警等安全防范措施，確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理，進(jìn)出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機(jī)房。（9）加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署 的服務(wù)協(xié)議中，對(duì)信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問電子政務(wù)信息系統(tǒng)的管理， 防止外部方危害信息 系統(tǒng)安全。（10）對(duì)XX市各單位重要信息系統(tǒng)（包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)

9、和服務(wù)器設(shè)備、 系統(tǒng)、應(yīng)用等）應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得各個(gè)相關(guān)人員能夠采用規(guī)范 化的形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。（11）在XX市電子政務(wù)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意 代碼庫的統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對(duì)電子政務(wù)信息系統(tǒng)的影響。通過強(qiáng)化惡意代碼防范的管理措施， 如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅自安裝軟件，加強(qiáng) 人員安全意識(shí)教育，定期進(jìn)行惡意代碼檢測(cè)等，提高電子政務(wù)信息系統(tǒng)對(duì)惡意代 碼的防范能力。（12）對(duì)XX市各單位重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)行 安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證， 保證各種備份信息的保

10、密 性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它 特定要求下進(jìn)行可靠的恢復(fù)。（13）采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對(duì) XX市電子政務(wù)外網(wǎng)的安全控制，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。XX市電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)進(jìn)行邏 輯隔離。通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防范措施， 對(duì)接入進(jìn)行嚴(yán)格審批，加強(qiáng)使 用安全管理，加強(qiáng)對(duì)各單位網(wǎng)絡(luò)使用的安全培訓(xùn)和教育，確保XX市電子政務(wù)外網(wǎng)的安全。（14）加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合XXXX信息安全策略和制度要求。（15）按照“僅知”原則，通過功能和技術(shù)配置，對(duì)重要信

11、息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問控制。進(jìn)一步推廣數(shù)字證書的使用，以及安全的授權(quán)管理制度，并落實(shí) 授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管。（16）進(jìn)一步重視軟件開發(fā)安全。在 XXXX各電子政務(wù)信息系統(tǒng)立項(xiàng)和審批 過程中，同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開發(fā)過程的安全，重 點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保 密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)。（17）在符合國家密碼管理相關(guān)規(guī)定的條件下， 合理使用密碼技術(shù)和密碼設(shè) 備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。（18）重視對(duì)I

12、T服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù) 警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫針對(duì)電子政務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行測(cè)試和演練，在信息系統(tǒng)發(fā)生故障或事故時(shí)，能迅速、有序地進(jìn)行應(yīng)急 處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給 XXXX電子政務(wù)信息系 統(tǒng)所帶來的影響。（19） 對(duì)所適用的國家信息安全相關(guān)法律法規(guī)進(jìn)行定期的識(shí)別、記錄和更新， 并對(duì)XXXX各單位信息安全管理現(xiàn)狀與法律法規(guī)的符合性進(jìn)行檢查，確保各項(xiàng)信息安全工作符合國家信息安全相關(guān)法律法規(guī)要求。（六）適用范圍本手冊(cè)按照ISO/IEC 27001 : 2005信息安全管理體系要求，結(jié)合XXXX 政府信息系統(tǒng)的實(shí)際編制

13、而成，符合ISO/IEC 27001 : 2005標(biāo)準(zhǔn)的全部要求。 本管理制度適用于XXXX的電子政務(wù)應(yīng)用管理。（七）引用標(biāo)準(zhǔn)下列文件和標(biāo)準(zhǔn)通過本手冊(cè)的引用，均為本手冊(cè)的條文。本手冊(cè)使用時(shí)所示 文件和標(biāo)準(zhǔn)均為有效版本。當(dāng)引用文件和標(biāo)準(zhǔn)被修訂時(shí)，使用其最新版本：? ISO/IEC 27001 : 2005信息安全管理體系要求? ISO/IEC 17799 : 2005信息安全管理實(shí)用規(guī)則? GB/T 22239-2008信息系統(tǒng)安全等級(jí)保護(hù)基本要求（八）信息安全管理體系（ISMS）1. 總體要求XXXX依據(jù) ISO/IEC 27001： 2005信息安全管理體系要求，建立信息安全 管理體系，并形

14、成相關(guān)的信息安全管理體系文件，由科信局局長批準(zhǔn)發(fā)布后在XXXX范圍內(nèi)實(shí)施并保持，利用內(nèi)部審核、管理評(píng)審、糾正和預(yù)防措施以及持續(xù) 改進(jìn)的手段，確保信息安全管理體系的有效性。2. 建立和管理信息安全管理體系(1) .建立信息安全管理體系ISMS范圍根據(jù)XXXX業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置的不同，確定XXXX信息安全管理 體系的范圍為：? XXXX的所有部門和正式工作人員；? XXXX主要負(fù)責(zé)XXXX政府信息化建設(shè)工作，負(fù)責(zé)運(yùn)行、維護(hù)和管理覆蓋 全區(qū)的電子政務(wù)專網(wǎng)、資源平臺(tái)和多個(gè)重要電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)。?與XXXX業(yè)務(wù)活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包括：”門戶網(wǎng)站”等；信息

15、資產(chǎn)包括：與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的 數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。? XXXX的辦公場(chǎng)所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房包括XXXX政府機(jī)房。ISMS方針根據(jù)信息安全管理的需求，確定XXXX的信息安全方針和主要信息安全策略。 信息安全方針為：?全員參與?明確責(zé)任?預(yù)防為主?快速響應(yīng)?風(fēng)險(xiǎn)管控?持續(xù)改進(jìn)風(fēng)險(xiǎn)評(píng)估在體系建立過程中，XXXX確定信息安全風(fēng)險(xiǎn)評(píng)估方法，對(duì) XXXX電子政 務(wù)信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估，識(shí)別電子政務(wù)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處置在風(fēng)險(xiǎn)評(píng)估后，XXXX根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，確定風(fēng)險(xiǎn)處置的策略，包括：?采用風(fēng)險(xiǎn)控制措施，以降低面臨的信息安全風(fēng)險(xiǎn)；?在滿足信息安全方針和風(fēng)險(xiǎn)接受準(zhǔn)

16、則的前提下，有意識(shí)地、客觀地接受 風(fēng)險(xiǎn)；?避免風(fēng)險(xiǎn)；?轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面，如：購買產(chǎn)品維保，運(yùn)維服務(wù)外包等；XXXX根據(jù)風(fēng)險(xiǎn)處置策略，制定風(fēng)險(xiǎn)控制措施，對(duì)已識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分 類處理，并對(duì)殘余風(fēng)險(xiǎn)進(jìn)行了批準(zhǔn)。適用性聲明在風(fēng)險(xiǎn)處置活動(dòng)實(shí)施后，XXX)從以下幾方面準(zhǔn)備了體系適用性聲明：?從ISO/IEC 27001標(biāo)準(zhǔn)中附錄A給出的控制目標(biāo)和控制措施，以及選擇 的理由；?當(dāng)前實(shí)施的控制目標(biāo)和控制措施；?對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。(2) .實(shí)施和運(yùn)行信息安全管理體系XXXX在實(shí)施和運(yùn)行信息安全管理體系中所開展的工作包括:?通過風(fēng)險(xiǎn)管理方法來控制電子政務(wù)信息

17、系統(tǒng)中存在的信息安全風(fēng)險(xiǎn)，配 置資源、明確職責(zé)和優(yōu)先級(jí)別，實(shí)施適當(dāng)?shù)墓芾泶胧?實(shí)施各信息安全管理體系文件中包括的控制措施，以達(dá)到各控制目標(biāo)；?測(cè)量各信息安全管理體系文件中控制措施實(shí)施的有效性，明確對(duì)測(cè)量結(jié) 果的分析和評(píng)估準(zhǔn)則，并作為持續(xù)改進(jìn)的輸入；?實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃；?管理ISMS的資源；?實(shí)施能迅速檢測(cè)安全事件和響應(yīng)安全事故的程序，具體要求參見信息 安全事件管理辦法。(3) .監(jiān)視和評(píng)審信息安全管理體系XXXX將對(duì)信息安全管理體系進(jìn)行監(jiān)視，并定期或不定期的進(jìn)行內(nèi)審和管 理評(píng)審，包括：執(zhí)行監(jiān)視和評(píng)審程序以及其它相關(guān)措施，以達(dá)到：?迅速檢測(cè)信息安全管理體系運(yùn)行過程中的缺陷和弱點(diǎn)；?迅速識(shí)

18、別潛在的和已發(fā)生的信息安全違規(guī)和事故；?確保管理者分配給各人員的信息安全活動(dòng)或通過信息技術(shù)實(shí)施的信息安 全活動(dòng)能如期執(zhí)行；?確定信息安全措施的有效性。在內(nèi)審結(jié)果、信息安全事故、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的 基礎(chǔ)上，定期進(jìn)行信息安全管理評(píng)審，以判斷信息安全管理體系的有效性。定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)審， 以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng) 險(xiǎn)級(jí)別進(jìn)行評(píng)審，評(píng)審時(shí)應(yīng)考慮以下方面的變化：?組織機(jī)構(gòu)的變化;?信息安全相關(guān)組織結(jié)構(gòu)的變化;?信息技術(shù)和信息安全技術(shù)的發(fā)展和變化；?業(yè)務(wù)目標(biāo)和過程的變化；?已識(shí)別出的信息安全威脅的發(fā)展和變化；?已實(shí)施信息安全控制措施的有效性；?夕卜部信息安全事件

19、，如信息安全相關(guān)法律法規(guī)的變更、合同中信息安全 義務(wù)的變更和整體社會(huì)信息安全態(tài)勢(shì)的變更。每年兩次對(duì)信息安全管理體系進(jìn)行內(nèi)部審核。每年一次對(duì)信息安全管理體系進(jìn)行管理評(píng)審。依據(jù)監(jiān)視和評(píng)審活動(dòng)的結(jié)果，對(duì)信息安全管理體系進(jìn)行修改和完善。記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。(4) .保持和改進(jìn)信息安全管理體系XXXX將根據(jù)已識(shí)別的信息安全管理體系的改進(jìn)需求，選擇適當(dāng)?shù)募m正措施 和預(yù)防措施，保持和持續(xù)改進(jìn)信息安全管理體系，并向所有相關(guān)方溝通信息安全 措施和改進(jìn)需求，并采取測(cè)量、追蹤和驗(yàn)證措施，確保改進(jìn)達(dá)到預(yù)期的目標(biāo)。具 體內(nèi)容參見預(yù)防與不符合糾正控制程序。3. 文件要求1) 總則信息

20、安全管理體系文件包括如下內(nèi)容：?信息安全管理手冊(cè)與適用性聲明；?支持性程序文件；?各部門依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書;?信息安全管理活動(dòng)相關(guān)的各種記錄。2）文件控制?文件是指信息及其承載媒體，媒體可以是紙張、計(jì)算機(jī)光盤或其它電子 媒體或它們的組合。記錄模板、規(guī)范、程序文件、手冊(cè)、圖樣、報(bào)告或 標(biāo)準(zhǔn)均屬于文件。?信息安全管理體系文件由文檔管理員進(jìn)行管理控制；由文檔管理員統(tǒng)一 組織修訂和發(fā)布。各系統(tǒng)的信息安全技術(shù)文檔由各系統(tǒng)管理員自行控 制，并交文檔管理員處存檔。文件控制參見文件控制程序 。3）記錄控制?記錄是指闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的信息安全文件， 其作用是為信息

21、安全管理體系運(yùn)作提供證據(jù)。?為了滿足過程的可追溯性要求和提供信息安全管理體系有效運(yùn)行的客觀 證據(jù)，除信息安全管理體系標(biāo)準(zhǔn)中要求必須建立的記錄外，在各信息安 全程序文件中對(duì)應(yīng)該產(chǎn)生的記錄做了說明和規(guī)定。?對(duì)信息安全記錄的標(biāo)識(shí)、儲(chǔ)存、防護(hù)、檢索、保存期限和處置辦法進(jìn)行 控制。各管理員負(fù)責(zé)其職責(zé)范圍內(nèi)信息安全管理相關(guān)記錄的編制、填寫、收集、保存和歸檔。?信息安全管理相關(guān)記錄的控制參見記錄控制程序。4. 管理職責(zé)1）管理承諾在XXXX網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下，XXXX通過以下幾方面建立、 實(shí)施、運(yùn)行、監(jiān)視、評(píng)審管理體系并持續(xù)改進(jìn)其有效性：?制定信息安全方針；?制定信息安全要求；?確保在信息中心內(nèi)建

22、立信息安全管理責(zé)任制；?向全體人員傳達(dá)滿足信息安全方針、信息安全要求、履行法律責(zé)任和持 續(xù)改進(jìn)的重要性，使全體人員能正確理解并認(rèn)真執(zhí)行信息安全管理體 系；? 提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審和改進(jìn)信息安全管理 體系；? 建立良好的內(nèi)部協(xié)調(diào)和溝通機(jī)制；?與上級(jí)政府部門及相關(guān)單位保持適當(dāng)?shù)穆?lián)系；? 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；?確保信息安全管理體系內(nèi)審的執(zhí)行；?確保信息安全管理評(píng)審的執(zhí)行。2）管理職責(zé)?信息安全管理體系（ISMS）責(zé)任人的職責(zé)（參見授權(quán)書）；? ISMS責(zé)任人負(fù)責(zé)制定信息安全方針和目標(biāo)，負(fù)責(zé)信息安全管理重大問 題的決策工作。?安全管理員負(fù)責(zé)信息安全策略的開發(fā)，

23、負(fù)責(zé)開展內(nèi)部信息安全維護(hù)的日 常工作，負(fù)責(zé)定期開展信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置，負(fù)責(zé)協(xié)助上級(jí)部 門的信息安全測(cè)評(píng)和檢查等。?機(jī)房管理員負(fù)責(zé)機(jī)房的物理與環(huán)境安全管理，負(fù)責(zé)機(jī)房硬件設(shè)備的維護(hù)。?網(wǎng)絡(luò)管理員負(fù)責(zé)電子政務(wù)外網(wǎng)及局域網(wǎng)的安全管理和維護(hù)；?系統(tǒng)管理員負(fù)責(zé)各業(yè)務(wù)系統(tǒng)（包括操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)）的安 全管理和維護(hù)；?文檔管理員負(fù)責(zé)ISMS相關(guān)文檔的歸檔和發(fā)布管理；?資產(chǎn)管理員負(fù)責(zé)XXXX所擁有信息資產(chǎn)的歸口管理；?體系審核員負(fù)責(zé)執(zhí)行XXXX信息安全內(nèi)部審核，根據(jù)要求編制內(nèi)部審核 實(shí)施計(jì)劃，組織編制審核報(bào)告，并對(duì)審核中發(fā)現(xiàn)的不符合項(xiàng)跟蹤驗(yàn)證。3）內(nèi)部協(xié)調(diào)和溝通?確保在不同層次機(jī)構(gòu)、職能部門之

24、間，就信息安全管理體系的過程，包括信息安全方針、信息安全目標(biāo)及完成情況，以及實(shí)施的有效性，進(jìn)行 溝通，做到相互理解、相互信任，達(dá)到全員參與的效果。?與信息安全管理體系有關(guān)的各種信息溝通，可采用各種方式如0A系統(tǒng)、 各種會(huì)議、通報(bào)等形式來實(shí)現(xiàn)。4）外部聯(lián)系XXXX通過與上級(jí)信息安全主管部門，以及其它政府部門保持聯(lián)系，以支持：?信息安全事故管理中的響應(yīng)、取證、協(xié)調(diào)等工作；?及時(shí)了解信息安全相關(guān)法律法規(guī)、政策的變化，并保持符合性。XXXX通過與國家有關(guān)信息安全機(jī)構(gòu)，以及其他信息安全組織保持適當(dāng)?shù)穆?lián) 系，以便：?增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解；?確保全面了解當(dāng)前的信息安全態(tài)勢(shì)；?及時(shí)收集和發(fā)布

25、關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)??；?獲得信息安全專家的建議；?分享和交換關(guān)于新技術(shù)、產(chǎn)品、威脅或脆弱性的信息；?提供處理信息安全事故時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)。5. 資源管理1）資源提供XXXX將為ISMS確定并提供以下活動(dòng)所需資源：? 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；?確保信息安全程序滿足業(yè)務(wù)的需求；?履行法律法規(guī)要求、以及合同中的安全義務(wù)；?正確實(shí)施所有必需的信息安全控制措施2) 培訓(xùn)、意識(shí)和能力XXXX將通過開展各種形式的信息安全培訓(xùn)和教育活動(dòng)，確保所有分配有 ISMS職責(zé)的人員具有一定的信息安全意識(shí)，以及執(zhí)行所要求任務(wù)的能力。3) ISMS內(nèi)部審核?由體系審核員編制XX

26、XX的信息安全年度審核計(jì)劃，報(bào)ISMS責(zé)任人批 準(zhǔn)后實(shí)施，一般情況下內(nèi)部審核每年不少于 2次。? ISMS責(zé)任人負(fù)責(zé)信息安全管理體系內(nèi)部審核的組織和協(xié)調(diào)工作，體系 審核員負(fù)責(zé)具體實(shí)施，各部門配合。?每次審核前編制信息安全審核日程計(jì)劃及檢查表，作為現(xiàn)場(chǎng)審核依據(jù)。?體系審核員不審核自己部門的信息安全管理工作。? ISMS內(nèi)部審核參見信息安全審核管理程序。?內(nèi)部審核報(bào)告及糾正措施實(shí)施情況，應(yīng)提交 ISMS責(zé)任人審核。4) ISMS的管理評(píng)審ISMS責(zé)任人應(yīng)定期對(duì)XXXX言息安全管理體系進(jìn)行評(píng)審，每年至少一次，通 常在內(nèi)審結(jié)束后的1 2月內(nèi)進(jìn)行。當(dāng)XXXX的信息安全管理體系發(fā)生重大變更和 出現(xiàn)重大信息

27、安全事故時(shí)可以追加臨時(shí)管理評(píng)審。體系審核員根據(jù)內(nèi)部審核的結(jié)果以及其它各項(xiàng)信息安全管理的要求，組織各 部門準(zhǔn)備管理評(píng)審的材料，主要包括：?內(nèi)審的結(jié)果；?信息安全方針、信息安全目標(biāo)、風(fēng)險(xiǎn)控制措施的實(shí)施情況；?信息安全事故調(diào)查處理情況；?信息安全整改/改進(jìn)措施實(shí)施情況；?相關(guān)方信息安全方面的投訴、建議及其要求；?信息安全法規(guī)及其他要求符合性報(bào)告;?關(guān)于XXXXISMS信息安全管理體系總體運(yùn)行情況的報(bào)告；來自各職能 部門關(guān)于局部有效性的報(bào)告；?可能引起信息安全管理體系變化的組織內(nèi)外部要素，如法律、法規(guī)的變化、機(jī)構(gòu)人員的調(diào)整，IT架構(gòu)的變化等；?其它信息安全改進(jìn)建議。5) 評(píng)審結(jié)果主要包括：? 對(duì)XXX

28、X信息安全管理體系的適宜性、充分性和有效性的結(jié)論；?信息安全管理組織機(jī)構(gòu)是否需要調(diào)整，信息安全管理體系及其要素是否需要改進(jìn)；?信息安全管理體系文件需要進(jìn)行的修改；?資源需求；?信息安全方針、目標(biāo)和控制措施的適宜性，需要進(jìn)行的修改；?相應(yīng)的信息安全整改/改進(jìn)措施要求。6) ISMS改進(jìn)體系審核員負(fù)責(zé)根據(jù)信息安全內(nèi)部審核、數(shù)據(jù)分析、糾正和預(yù)防措施、管理 評(píng)審等的結(jié)果，積極尋找持續(xù)改進(jìn)的機(jī)會(huì)，確定需要改進(jìn)的方面，進(jìn)行日常的信 息安全改進(jìn)和重大改進(jìn)工作；對(duì)信息安全預(yù)防和糾正措施實(shí)施情況進(jìn)行統(tǒng)計(jì)分 析，并納入管理評(píng)審。具體的改進(jìn)內(nèi)容參見預(yù)防與不符合糾正控制程序。6. 糾正措施?對(duì)于出現(xiàn)的信息安全不合格項(xiàng)

29、，由體系審核員填寫預(yù)防和糾正措施處 理單中相應(yīng)內(nèi)容，確定責(zé)任部門；由責(zé)任部門填寫“原因分析”欄， 制定糾正措施并實(shí)施。?體系審核員負(fù)責(zé)跟蹤驗(yàn)證信息安全糾正措施的有效性，確認(rèn)活動(dòng)按計(jì)劃 實(shí)施且達(dá)到預(yù)期效果。對(duì)無效措施有權(quán)要求采取新的糾正措施，直至效 果明顯為止。7. 預(yù)防與糾正措施?體系審核員負(fù)責(zé)對(duì)XXXX信息安全管理的日常活動(dòng)過程、審核結(jié)果、記 錄、風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全事故等信息，組織統(tǒng)計(jì)分析，發(fā)現(xiàn)潛在不 合格并分析原因，針對(duì)相關(guān)責(zé)任部門提出預(yù)防與糾正措施要求。?體系審核員負(fù)責(zé)組織相關(guān)人員定期分析各種反映 XXXX信息安全發(fā)展 趨勢(shì)的信息，評(píng)價(jià)采取預(yù)防與糾正措施的需求。?體系審核員對(duì)確定的預(yù)防與糾正措施，應(yīng)及時(shí)組織實(shí)施。?預(yù)防與糾正措施由相關(guān)責(zé)任部門負(fù)責(zé)制定并實(shí)施。措施應(yīng)明確其內(nèi)容、 所需資源和職責(zé)等，所采取的預(yù)防與糾正措施需報(bào)體系審核員審核批 準(zhǔn)。?體系審核員負(fù)責(zé)組織驗(yàn)證預(yù)防與糾正措施的有效性。