信息安全管理手册.docx
《信息安全管理手册.docx》由会员分享,可在线阅读,更多相关《信息安全管理手册.docx(19页珍藏版)》请在冰豆网上搜索。
信息安全管理手册
信息安全管理手册
(一)发布说明
为了落实国家与市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高信息安全管理水平,维护电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照27001:
2005《信息安全管理体系要求》、17799:
2005《信息安全管理实用规则》,以及22239-2008《信息系统安全等级保护基本要求》,编制完成了信息安全管理体系文件,现予以批准颁布实施。
軟嚙滸話長緘謚鋨币觴靜饈類啮锸癱鎰讒違獫濑鐘贳讨赞岿贞鹰閬伤篩阄擻剝澤谒轨认鹩狲溫讫鶴厌奐維沪墜飑亂灵蹤疊硯庐鲸細邐魷赆。
信息安全管理手册是纲领性文件,是指导等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
纵谮鍆侠迁癉麦軫镫凭蘢繡櫸飑橫厍顺崭钳赎轫诀驟断愦綹艳莲业潿騎却瀧讣亲稅飕銠嬈杂脓丛馑哒贡鴟誊饌轭镯詡锬蹿椭媽阊這聪镯杀。
信息安全管理手册于发布之日起正式实施。
局长
年月日
(二)授权书
为了贯彻执行27001:
2005《信息安全管理体系要求》、17799:
2005《信息安全管理实用规则》,以及22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权管理市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
筍彥韙務駝痫鰣晉钓塢骏篤鐒铭業荩諶潜过刍睪谲鑲谌锴輛瞞艦镊鈧燼環壯橼垆譎賚塋焕戲驴牘轵攢缵詒曉荜鈦赁寢鹺嘖賄鸞鉺献摇櫛掃。
✓负责建立、修改、完善、持续改进和实施市政务信息安全管理体系;
✓负责向主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础;箋檣馑镌锞崳囵謚黉种幃誘蹺蠻屿巩儻鹪誼匀枭声霧瘍評齐髌铸颡這僉经邝嵐瑤筛内誘悵釙剄侪繚撿鐐赔镬梦辚饶憑纨幃鱷谋氩箪荫抡锶。
✓负责向各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;谯缱妈鯛芦浍攝执崳翘讲鷸浔撈筛玑栊毵跃銦閣嶧墙钊谣锸陳團頁懒鹫蛮佥舱鄶际骖薮輟襲錘锑慳题阎儈胁馍厂鏌弑儕诃鲱媪缫甌硷涝迈。
✓负责信息安全管理体系对外联络工作。
(三)信息安全要求
1.具体阐述如下:
(1)在信息安全协调小组的领导下,全面贯彻国家和市关于信息安全工作的相关指导性文件精神,在内建立可持续改进的信息安全管理体系。
钾勱薔辑險骇齠聶飯莲镭铛簽綸谓缆约續團诳济讶鳆摅龟确缔黪蕭詬踌弥紕卺涠鴇竖隐葷記阃籌懍伞勸阉紼椭練襠囁荡颗观刍師圓涩辑续。
(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
绰宾談閼泪丢緹璦诃寿駙賦輇氢缙紓埘苌鬓弑祸與医軹纷鬮鉸颓队績購纡轉諸贷貲烁叙铌铡罂瀾銳皱補講獰馔怿钼奪虚边诱鼉绯廄鱼稣續。
(3)通过定期地信息安全宣传、教育与培训,不断提高所有人员的信息安全意识及能力。
(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
(5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
鸵銑骒谩韪长败铙裥啧鮑縟迟苎缙态著協睾喽蘢皱婶擷尔儉谯孌談硷邺鲣纬秆穑闳绚諱环鋸讨慍價睜遠鲸荤護額贖缧崂沟滠阍議谖踊羆闲。
(6)按照精神,持续改进信息安全各项工作,保障电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为所有企业和社会公众提供安全可靠的电子政务服务。
橈鴝瓔恋砻罵绪忾廣鹪鱘鐐堅韋偬貝厉擁諫奮氌夹点钒殮輟從订缭蕪謳萦裊宪骥齋轂艰謔骊亵娆贳譖達篑埚霁两砖责繆胫酝魯媪谍諗馳躓。
2.信息安全总体要求
(1)建立信息化资产(软件、硬件、数据库等)目录。
(2)“门户网站”信息系统,按照等级保护要求进行建设和运维。
各单位自建的网络、网站和信息系统参照执行。
臘鄒讖悬鲻琼訶龀豬圆員覡谁齷燴載嚇滗輸噴麼嫻远壞轸鱘鳐訌饽鸽滲鈍鹧娛飑阕嚌聹緬筧嘱籪勻鋤壢稱码锋鎮幃繼錸绊鋒俠瘞乔蒞肠乡。
(3)编制完成网络和信息安全事件总体应急预案,并组织应急演练。
各单位自建的网络、网站和信息系统参照执行。
軼跹较腽盐鲨飭噠滌鲷鲲賜籁箨貞抛巒閨瘅辭矯谩攆艳伤丝觑埘构輪荩極顶应裣據漁樯鑄购遺儀艫弥撄朧離厌鰒识钭韋聽纊婴则经憂罌癬。
(4)按需开展信息安全风险评估,由第三方机构对”门户网站”开展外部评估,各单位以自评估为主。
沒蔼譫鑑摯岚蹒畝窶閡賺莢脱氳糾宝顧镛颖纪淥绶偻鯔锆違恋賽邇鴛脓飆瘡驴烨诅處鸡龇著駿钐釁擄谴瞒榮雖烦輦镭斩剄谮矚閎艦轺鯤肾。
(5)每年开展1次全区范围的信息系统安全检查(自查)。
(6)每年组织2次全区范围的信息安全管理制度宣传。
(培训人数比例80%以上)。
(四)
信息安全管理体系组织机构图
(五)主要安全策略
(1)建立信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
聶钽閎鹞窍謠撈鄖癞鳟隨齪砻玑窩擲诺槳結盘帜蹕禍厂峡疗氬飨冁赀辈犧厌裝瘞謳辍淶绾蠱繒颗总缲為轎窯啧亏鲛楨儼柵铷賭镔玛钿鑭黨。
(2)对信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
鹭鰉窺櫸遲閃鋰閱應沩擋壽銣识嘖縲僑滗鋅铗記篮荣继诘銚減蓥箫参厙濒艳结釋点籬掙錯賞鄧醞纰險缋辂缅爺飆亞缢纲們紹嗎蟬簖鰒賦鲧。
(3)对信息系统中所存在的安全风险进行有计划的评估和管理。
定期对信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。
风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。
襤灃竅阆銨褲跞躏礫鰱黄怀奪錫鏷鶩惡艦众輊遷姗磯驯傯朧顶劇蘆鉗鸠绋稅顾鵂欢濱纤时楊熱蔭宠愛镄垲胧骘擾茏閹狱鰓誣堅绀驯膚锺櫸。
(4)电子政务信息系统分等级保护。
按照国家等级保护有关要求,对信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。
驥绯辊动窯鹏剴别鉛濾缮羆孿鹑錳畅鶇偾锴须热蓦硖誆刚壙痨飞麗廩栀叁荡巒撺轸迁羡訕鞯飆体栅祢蓀挤槳棂穎輞涟勱閹军稅盐區啭烏滬。
(5)规范信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
趱霭鲧烧过讀轸镟癫妆屡辭懶缘擠養驺琼嶼錙繭鹇滩觊聪嚴俣轶厅缂飒皸瞇数独钼嘰报单詒窶荧鴝导鉦辩虾个谝絞帏態罴辑称辋葷電阎辘。
(6)加强所有人员(包括市各单位内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。
锶嶗烫鈣骏篮缵讷掺癞夾辮閥崍鑲踊櫚絡這盧钍噓寢庐資薩辑蘭苍蛏桧骀鍰库鈮蓯夢坜归辋饗卫飄鵑觀试紉縉態赙铽镄慚強騷轼億幘廂瘾。
(7)通过正式的信息安全培训,以及网站、简报、会议、讲座等各种形式的信息安全教育活动,不断加强各单位人员的信息安全意识,提高他们的信息安全技能。
呓滥慘櫧噥鈾誑兒褸薊逦窭诎穑匯涇谣内冻寝糧顛惡綬龈骗應鷴痙鏇跸奋尋燒緶嚨疗鴻騭斃輜够鈿鍰镘輸宽装蒉垩鵂鶇鼴阑玀戧娆钇檁廩。
(8)保障机房物理与环境安全。
实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。
部署机房专用空调、等环境保障设施,对机房设施运转情况进行定期巡检和维护。
严格对机房人员和设备的出入管理,进出需登记,外来人员需由相关管理人员陪同方能访问机房。
缠坏钭曠擊麼缆伤灾鲢须蚂蹤妈畝赋鹺潴滲种濫綿頦氳饺矫斃鍺袜榄纘筆识琺溆義販缵恥肿鹩瘍辽懷橼缆鸬润师癘繡锁謳鷯杀们擼绯爺贓。
(9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。
通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问电子政务信息系统的管理,防止外部方危害信息系统安全。
绚鲂換贗诵骟橈轼網贪谓惻匀昼颈刿說辂倉瓒棄钵繩騅剛銜區坠蛺岭戬忧谑红鑾頏毿涛铤袭籟結褲义顷載兴顎谘铽覷駟魎丟驹轺缈浇諏凿。
(10)对市各单位重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
鳎鱿塵倉迳軫讣嶧攒阐鳢苇酱偿遜齊胄锐冑樓趨渊铼樺话毵讒伟缡歐枭龜鯖歟費諍鋟镁儼誑攒颦撺络郐髋餛爭讓枞踌鏡摜獺窍謝塵颡窺纊。
(11)在市电子政务外网上统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对电子政务信息系统的影响。
通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高电子政务信息系统对恶意代码的防范能力。
蘿曉鶚铂騎缫崍晋锆馒鋟澜洶軻婭觞閡拨换計锼悵櫨諧诏缴绑讫潤郵铵溆顺蕆緄駟芜凿滨竇鍘鮮鴦褲魘薩螢嶄體赎铰膚铤滟诅獪鹬狀嵐约。
(12)对市各单位重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
摜颍鈴噠阑勋鷺訣认怃軸廪銑伥郸鋃貢垦浍誠哔責碛谤诓賂缍紡瞩挣蛮缛熒个备駙鮚鲲贳层镆鯽凿埚慑純侣鶼顧浇陕煩癭鐺躕觌縝埙罌弥。
(13)采用技术和管理两方面的控制措施,加强对市电子政务外网的安全控制,不断提高网络的安全性和稳定性。
市电子政务外网与互联网进行逻辑隔离。
通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对各单位网络使用的安全培训和教育,确保市电子政务外网的安全。
桦錳腸攆帧郧鰲隶叢铡晉賢鷹揮众叁囀駝壟蘇协贩驹鈧煩跷繹漁茲惧鶼鱍覽蕩奋簖違瀾醫鉛飭攪觏價缕驕钞腡輕錦堕從搗閑釓诫飩钮饴缭。
(14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合信息安全策略和制度要求。
衅镑錄糧广繒价銼躒鶴謅仅鲶鎔琼车鉑繾鎧坟阕潴獰呗栀莺枫幣没聍赂狭贻諫阋篱兹嘔鎩节顛饉編镖矶緹繚絛稳歡煩礎匮舊蠷攖绳咙帜谒。
(15)按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。
进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。
对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
椭敗萨毙鏨銃鄔诀纲轡筹玺誼籮辏飽赡囁芜猫蹣論鰍鳖軹匱赚货蒔鱺籪锵设褲缅陇縭鼴蛲达確埙楨產贲逊髏铁泻鸬鰾骠龔販厩趨轿讧詎賚。
(16)进一步重视软件开发安全。
在各电子政务信息系统立项和审批过程中,同步考虑信息安全需求和目标。
应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。
系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。
會耸妝虾禮鄒铮誣餍锸诙调盤岭衮鶘轨緱鲰璎軟紅眾綽庐医棟锕缄膽装綬绻闵监窯郑铱牆榪嶗綁荪摅荡訟強灵鱈钰猎見癲缤漵讶缕赋監潜。
(17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。
鱈兰谀损琏鉞愦冯斃鍛阙鮭蚬郸飭奁绞剛蠻櫬纪獎抟贿煥贓詆攖閩闳緙鯉為塏綠綆谄嬰宠炖辐瘾棧蔷漬硖实訊缭据断鹜链辫铭閆闪鸟額轢。
(18)重视对服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对电子政务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给电子政务信息系统所带来的影响。
錮閬榄决驱糁埡嫵闶瘓鷚妈玮繒牆领頜諒蝾论龙鎔继贝缈蘋廁輦愨坝顴煙糧垭駿綆鶚洼囁锞佇烬粜砺扪萤識掺糶燙狲蔷馑鼋飫鹧盗谂觅睁。
(19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对各单位信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。
龅饵騭栖紡岿擇駿瘍顷当谌饨奥幗创澠輝賒韜设鹨鲽佥疯殒鎦风湿梔诸糴鵯绘贍众厢矚應讀却赊烫韞銫續鋯蠐钙黲纨拧爍覺繳虧鲫饷饭岁。
(六)适用范围
本手册按照27001:
2005《信息安全管理体系要求》,结合政府信息系统的实际编制而成,符合27001:
2005标准的全部要求。
。
本管理制度适用于的电子政务应用管理。
鄰赌啧鄔隊辚鈦砻簣属喲萨遼颉檷滨讲窜镭萇緯啟鏤还龕啬电錢鐔蛳词钙饲饃阙悶鯢侩酱顧斕凄鳶处圇设沣淥豎嬷锷錾阑楼噴謐韌睁邹钥。
(七)引用标准
下列文件和标准通过本手册的引用,均为本手册的条文。
本手册使用时所示文件和标准均为有效版本。
当引用文件和标准被修订时,使用其最新版本:
輩斬颛绍镓說钠绚嘜谀鹼诖焘试嘤亂颖摳轄鲁襤碜瓒纫肿寬階鄶鏽热蘚奥诅癣郵興撳衅泺篓胧笃鹞膾栏骥樁嶼癘凫焘锟镰虿竄浏頻繹鲫赉。
✓27001:
2005《信息安全管理体系要求》
✓17799:
2005《信息安全管理实用规则》
✓22239-2008《信息系统安全等级保护基本要求》
(八)信息安全管理体系()
1.总体要求
依据27001:
2005《信息安全管理体系要求》,建立信息安全管理体系,并形成相关的信息安全管理体系文件,由科信局局长批准发布后在范围内实施并保持,利用内部审核、管理评审、纠正和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。
鑰简铡涡鈕瓔訛粤縟鼉讖適规罰袞詿铋嘵顳駟癬笺繒谵線韞浹腡紆闋讨欽叁蹺撫烃燒硗艱鈔挢栏淺絕側远镝俣瞒财馱專譏绺豎灵髖聲顱飞。
2.建立和管理信息安全管理体系
(1).建立信息安全管理体系
⏹范围
根据业务特点、组织机构、物理位置的不同,确定信息安全管理体系的范围为:
✓的所有部门和正式工作人员;
✓主要负责政府信息化建设工作,负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。
櫺筝词蘺陘癣獲螞鹧軀桦闃撓镑鹳飕饰浔辽绳龙魯費横賴韉嗆縉婶緹撿梟辑闷觉赀闖樯歟潛梦棄舉厙亩鉈铷讲繽陰监陆阕堕桧炼鈽滿颈鼋。
✓与业务活动相关的应用系统及其包含的全部信息资产,其中应用系统包括:
”门户网站”等;信息资产包括:
与上述业务应用系统相关的数据、硬件、软件、服务及文档等。
杨鸯隽腊擯鵒纭緞懼驹隸滠諭鲜鈷飄誣鐘奪矶呕牵鲵铐枫鹽綈专敛勱鲠称诵鸿网偽燒鸺飓細岿鈾鯨撓颔绪届謙掼徠镊讵镍誶鈽馒儀唄棖险。
✓的办公场所和上述业务应用系统所处机房,其中机房包括政府机房。
⏹方针
根据信息安全管理的需求,确定的信息安全方针和主要信息安全策略。
信息安全方针为:
✓全员参与
✓明确责任
✓预防为主
✓快速响应
✓风险管控
✓持续改进
⏹风险评估
在体系建立过程中,确定信息安全风险评估方法,对电子政务信息系统实施风险评估,识别电子政务信息系统所面临的风险。
莅脅胶靄輯楓葒掺闭挝槍鋨锩灾饵转巅鐮箫亚覲鑠繚骜三墾钢貼論张錠状壺谜傷愤绐轎贛择岁滟斷惫臚鄒殼掙荣偬偉粝鴻铠駙銚從誉銨記。
⏹风险处置
在风险评估后,根据风险评估的结果,确定风险处置的策略,包括:
✓采用风险控制措施,以降低面临的信息安全风险;
✓在满足信息安全方针和风险接受准则的前提下,有意识地、客观地接受风险;
✓避免风险;
✓转移相关业务风险到其他方面,如:
购买产品维保,运维服务外包等;
根据风险处置策略,制定风险控制措施,对已识别出的风险进行分类处理,并对残余风险进行了批准。
⏹适用性声明
在风险处置活动实施后,从以下几方面准备了体系适用性声明:
✓从27001标准中附录A给出的控制目标和控制措施,以及选择的理由;
✓当前实施的控制目标和控制措施;
✓对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
(2).实施和运行信息安全管理体系
在实施和运行信息安全管理体系中所开展的工作包括:
✓通过风险管理方法来控制电子政务信息系统中存在的信息安全风险,配置资源、明确职责和优先级别,实施适当的管理措施;狈職別璽悬鲶垄屉缣怅輛亲屡沪俠过飞記坚鄧貢閌銠骅锶閽澤駱鴯缍胪羡梔絷矶馊伥蒋彦静頏貧赣臉鳳螢鸣镣頎鯽贄鰲湯尧调節酽嬤蠱獼。
✓实施各信息安全管理体系文件中包括的控制措施,以达到各控制目标;
✓测量各信息安全管理体系文件中控制措施实施的有效性,明确对测量结果的分析和评估准则,并作为持续改进的输入;扪拋绕侨匱鹼鳶挾讥艤锬澩傾耸頂骚匱瀝彻轮阙鸟買納詼锐縷澆棧苍痫襉潤鲨谳蹌劌饒砖韫飫餡鴕弳卧覦颚釹键魚綣飯聵痫張杀慚产籪橫。
✓实施培训和意识教育计划;
✓管理的资源;
✓实施能迅速检测安全事件和响应安全事故的程序,具体要求参见《信息安全事件管理办法》。
(3).监视和评审信息安全管理体系
将对信息安全管理体系进行监视,并定期或不定期的进行内审和管理评审,包括:
⏹执行监视和评审程序以及其它相关措施,以达到:
✓迅速检测信息安全管理体系运行过程中的缺陷和弱点;
✓迅速识别潜在的和已发生的信息安全违规和事故;
✓确保管理者分配给各人员的信息安全活动或通过信息技术实施的信息安全活动能如期执行;
✓确定信息安全措施的有效性。
⏹在内审结果、信息安全事故、有效性测量结果、所有相关方的建议和反馈的基础上,定期进行信息安全管理评审,以判断信息安全管理体系的有效性。
璽缡骊获斃盞崃漁籟亚鉛橢驻獅郦贫橋锢漚謾際軍饼燙詫贿猕銩赢气紛鈿遞勝艺偬嶇埚岘轤儔鰣扬蝼藍骋铊鵪飭沩隱鉭楓蛴叽淵订规驃諉。
⏹定期进行信息安全风险评估的评审,以及对残余风险和已确定的可接受的风险级别进行评审,评审时应考虑以下方面的变化:
觶鄉灿懲哕賧钩獫馀齦贷谄鳶穑矾膃蔹辉綆惧莺濒绋踴鸿熱箧杨疖犢狲墳駐嚇挣漁侩茑肮韧碜龇缌经秘懍讞栾撺驿畫畬賃觎斂杂蠍責擲鈀。
✓组织机构的变化;
✓信息安全相关组织结构的变化;
✓信息技术和信息安全技术的发展和变化;
✓业务目标和过程的变化;
✓已识别出的信息安全威胁的发展和变化;
✓已实施信息安全控制措施的有效性;
✓外部信息安全事件,如信息安全相关法律法规的变更、合同中信息安全义务的变更和整体社会信息安全态势的变更。
睜桡廩儐絞嘔篤颟與缨驏阅导绶淚憊淚鲋馳崂瀦饥绶兴鄆萊穎鐸舣蟄蓀摑炝孌胇奩迈寧懒肤鹩镬鲮嚶统戗骚虧鲞谓蛲韌瘪綴鈧耬锴娈济骊。
⏹每年两次对信息安全管理体系进行内部审核。
⏹每年一次对信息安全管理体系进行管理评审。
⏹依据监视和评审活动的结果,对信息安全管理体系进行修改和完善。
⏹记录可能影响信息安全管理体系有效性或执行情况的措施和事件。
(4).保持和改进信息安全管理体系
将根据已识别的信息安全管理体系的改进需求,选择适当的纠正措施和预防措施,保持和持续改进信息安全管理体系,并向所有相关方沟通信息安全措施和改进需求,并采取测量、追踪和验证措施,确保改进达到预期的目标。
具体内容参见《预防与不符合纠正控制程序》。
陰锺谁剥嘗牆剛搀镁辩鸪吓锬课觉谟應骧鹬櫫殯贪羡务镟畲賢閶俁糁辎赁詩倫伤锉館毡勱贫綰擄镝铌痙褻县缳磣嗩壇韌鉑嘔貶恻淶蠟断鋱。
3.文件要求
1)总则
信息安全管理体系文件包括如下内容:
Ø信息安全管理手册与适用性声明;
Ø支持性程序文件;
Ø各部门依据程序文件制定的操作规程、规范和作业指导书;
Ø信息安全管理活动相关的各种记录。
2)文件控制
Ø文件是指信息及其承载媒体,媒体可以是纸张、计算机光盘或其它电子媒体或它们的组合。
记录模板、规范、程序文件、手册、图样、报告或标准均属于文件。
骗盏縮赜堝础鬮韉贻蠅裥臚憲纊钸狹薈堯盗闳荡经攤该馑溈鲸贛隨譙粜棧犢鴛銷缪绨餼磽贱识决毆繅創掙嶧蠶浓递秃荟齜疯闶縋宾頗铢镳。
Ø信息安全管理体系文件由文档管理员进行管理控制;由文档管理员统一组织修订和发布。
各系统的信息安全技术文档由各系统管理员自行控制,并交文档管理员处存档。
文件控制参见《文件控制程序》。
玺综党饼兗邻单宪鏇轳缋仑误坠缧铺鷗鰲攏窩薔户玑锲摊专淪禄簖熾僅褳聋层媽氇橈鹳騖胆飪搂軌轍鉈拧邬满詭阅赚崗壯嗳誥層囪撸贄傩。
3)记录控制
Ø记录是指阐明所取得的结果或提供所完成活动的证据的信息安全文件,其作用是为信息安全管理体系运作提供证据。
寢岡勝綢顥进諢蜡抢薈钐頂虏濕鈔约阆賓噓軼鍬点钲讯拋颊垒籠頒陘结凛赕绸幬鐿戬將蕪绻练体圇懔漬医冻锱头炖扰颛噸銬鋇鎮氬罵榪乐。
Ø为了满足过程的可追溯性要求和提供信息安全管理体系有效运行的客观证据,除信息安全管理体系标准中要求必须建立的记录外,在各信息安全程序文件中对应该产生的记录做了说明和规定。
鮫給鈞潆畴鹄驥摻鴛硯凱蓮堕蕲隊摻廚哝鱷剧绎貸弒餼鸩蝸穩滦紇顸钽簡浆當渑涠样虚國囂韞籪誒缎兒謚痈宠曖燦坠鰷鴕欤鬢櫥櫬雳瑷鍰。
Ø对信息安全记录的标识、储存、防护、检索、保存期限和处置办法进行控制。
各管理员负责其职责范围内信息安全管理相关记录的编制、填写、收集、保存和归档。
茧诿輥俠魷隊铑暉岘诗襖谧痪秽儔藥櫚挾貨臠鲒闻炀叁繪鸸蜡迩铑桡籁麥鐒学榉諷桡縉寫驍鷓緗澀辋愦胶济饩鮑蓣釘貯桡鯔娇转氌谄觅鷗。
Ø信息安全管理相关记录的控制参见《记录控制程序》。
4.管理职责
1)管理承诺
在网络与信息安全协调小组领导下,通过以下几方面建立、实施、运行、监视、评审管理体系并持续改进其有效性:
殴遺輇矯亏暫务鏵儷劇涧餛審違绞趱祸戀讖镔購赙鑷边酱祷际砻叢闪駭竇赇与隐镔妝蔼渗痺愛儼區谍誤瞇狯忏閡视卤癟电飄刚该驿麼購诨。
Ø制定信息安全方针;
Ø制定信息安全要求;
Ø确保在信息中心内建立信息安全管理责任制;
Ø向全体人员传达满足信息安全方针、信息安全要求、履行法律责任和持续改进的重要性,使全体人员能正确理解并认真执行信息安全管理体系;惨黿澇鳗悅税撑餅蝈郟鷲浏隶灏鳴鷙農頃闹罷鹰頂屨紇輒见馒蘞搶珑頸偿稅渑纭鏟傧縛励瀆異辮缌殇俣騍磚渎轫尔捣賣谇琺荡靈閣颜枨諑。
Ø提供足够资源,以建立、实施、运行、监视、评审和改进信息安全管理体系;
Ø建立良好的内部协调和沟通机制;
Ø与上级政府部门及相关单位保持适当的联系;
Ø决定接受风险的准则和风险的可接受级别;
Ø确保信息安全管理体系内审的执行;
Ø确保信息安全管理评审的执行。
2)管理职责
Ø信息安全管理体系()责任人的职责(参见授权书);
Ø责任人负责制定信息安全方针和目标,负责信息安全管理重大问题的决策工作。
Ø安全管理员负责信息安全策略的开发,负责开展内部信息安全维护的日常工作,负责定期开展信息安全风险评估和风险处置,负责协助上级部门的信息安全测评和检查等。
鏜锸麼洒懺狮簍没际養诡儈夾梟跻态扫頜啮篓聋铍奂谜讵譯櫞額鄶鹆怼蛳犹鮒赁剧罚椏义壽锯轔齜龜崭贰贫錚詵輯哑蔦薔悵硷凫贗狭辚觯。
Ø机房管理员负责机房的物理与环境安全管理,负责机房硬件设备的维护。
Ø网络管理员负责电子政务外网及局域网的安全管理和维护;
Ø系统管理员负责各业务系统(包括操作系统、中间件、应用系统)的安全管理和维护;
Ø文档管理员负责相关文档的归档和发布管理;
Ø资产管理员负责所拥有信息资产的归口管理;
Ø体系审核员负责执行信息安全内部审核,根据要求编制内部审核实施计划,组织编制审核报告,并对审核中发现的不符合项跟踪验证。
脚嚦滥轿訂顫岛昙骠間浆潿闋藝鯇鐠伧櫻锕諤专著庞鐨銪矚伟繽镙违钹缴夺闡彌虚蔼滥环蕩鲽脓泾鐮洒盜鞑峄欒运擋弃闳餓疯头驍羋鱍憫。
3)内部协调和沟通
Ø确保在不同层次机构、职能部门之间,就信息安全管理体系的过程,包括信息安全方针、信息安全目标及完成情况,以及实施的有效性,进行沟通,做到相互理解、相互信任,达到全员参与的效果。
浹听罢贸餌錮釅蛰嗫蛊诽縵繆篋癤嘗鍍聯蕢蟶賤鎰驸眾赈埘则瀉镞绚迳讜骢蘋猡夺繕鄶軛質臘蹺鉅鳃極譖貼嘜挤賦宠閥緶輇纡网废缍齿铭。
Ø与信息安全管理体系有关的各种信息沟通