(一) 发布说明。
为了落实国家与xx市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高xxxx信息安全管理水平,维护xxxx电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照iso/iec 27001:2005《信息安全管理体系要求》、iso/iec 17799:2005《信息安全管理实用规则》,以及gb/t 22239-2008《信息系统安全等级保护基本要求》,编制完成了xxxx信息安全管理体系文件,现予以批准颁布实施。
信息安全管理手册是纲领性文件,是指导xxxx等各级**部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
xxxx局长。
年月日。二) 授权书。
为了贯彻执行iso/iec 27001:2005《信息安全管理体系要求》、iso/iec 17799:2005《信息安全管理实用规则》,以及gb/t 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权xxxx管理xx市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
负责建立、修改、完善、持续改进和实施xx市政务信息安全管理体系;
负责向xxxx主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础;
负责向xxxx各级**部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;
负责xxxx信息安全管理体系对外联络工作。
三) 信息安全要求。
1. 具体阐述如下:
1)在xxxx信息安全协调小组的领导下,全面贯彻国家和xx市关于信息安全工作的相关指导性文件精神,在xxxx内建立可持续改进的信息安全管理体系。
2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。
3)通过定期地信息安全宣传、教育与培训,不断提高xxxx所有人员的信息安全意识及能力。
4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。
5)贯彻风险管理的理念,定期对“门户**”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。
6)按照pdca精神,持续改进xxxx信息安全各项工作,保障xxxx电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为xxxx所有企业和社会公众提供安全可靠的电子政务服务。
2. 信息安全总体要求。
1)建立xxxx信息化资产(软件、硬件、数据库等)目录。
2)“门户**”信息系统,按照等级保护要求进行建设和运维。各单位自建的网络、**和信息系统参照执行。
3)编制完成xxxx网络和信息安全事件总体应急预案,并组织应急演练。各单位自建的网络、**和信息系统参照执行。
4)按需开展xxxx信息安全风险评估,由第三方机构对”门户**”开展外部评估,各单位以自评估为主。
5)每年开展1次全区范围的信息系统安全检查(自查)。
6)每年组织2次全区范围的信息安全管理制度宣传。(培训人数比例80%以上)。
四) 信息安全管理体系组织机构图。
五) 主要安全策略。
1)建立xxxx信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人。
2)对xxxx信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
3)对xxxx信息系统中所存在的安全风险进行有计划的评估和管理。定期对xxxx信息系统实施信息安全风险评估,根据评估结果选择适当的安全策略和控制措施,将安全风险控制在可接受的水平。风险评估至少每年一次,在信息系统发生重大改变后,也应进行风险评估。
4)xxxx电子政务信息系统分等级保护。按照国家等级保护有关要求,对xxxx信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护。
5)规范xxxx信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理。
6)加强所有人员(包括xx市各单位内部人员,以及各类外来人员)的安全管理,明确岗位安全职责,制定针对违规的惩戒措施,落实人员聘用、在岗和离岗时的安全控制,与敏感岗位人员签署保密协议。
7)通过正式的信息安全培训,以及**、简报、会议、讲座等各种形式的信息安全教育活动,不断加强xxxx各单位人员的信息安全意识,提高他们的信息安全技能。
8)保障机房物理与环境安全。实施包括门禁、**监控、报警等安全防范措施,确保机房物理安全。部署机房专用空调、ups等环境保障设施,对机房设施运转情况进行定期巡检和维护。
严格对机房人员和设备的出入管理, 进出需登记,外来人员需由相关管理人员陪同方能访问机房。
9)加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问电子政务信息系统的管理,防止外部方危害信息系统安全。
10)对xx市各单位重要信息系统(包括基础设施、网络和服务器设备、系统、应用等)应有文档化的操作和维护规程,使得各个相关人员能够采用规范化的形式对系统进行操作,降低和避免因误操作所引发信息安全事件的可能性。
11)在xx市电子政务外网上统一部署网络防恶意**软件,并进行恶意**库的统一更新,防范恶意**、木马等恶意**对电子政务信息系统的影响。通过强化恶意**防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意**检测等,提高电子政务信息系统对恶意**的防范能力。
12)对xx市各单位重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复。
13)采用技术和管理两方面的控制措施,加强对xx市电子政务外网的安全控制,不断提高网络的安全性和稳定性。xx市电子政务外网与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对各单位网络使用的安全培训和教育,确保xx市电子政务外网的安全。
14)加强信息安全日常管理,包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等,促使每位人员的日常工作符合xxxx信息安全策略和制度要求。
15)按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。
16)进一步重视软件开发安全。在xxxx各电子政务信息系统立项和审批过程中,同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全,重点加强对软件**安全性的管理。
属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评。
17)在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性。
18)重视对it服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对电子政务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给xxxx电子政务信息系统所带来的影响。
19)对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对xxxx各单位信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。
六) 适用范围。
本手册按照iso/iec 27001:2005 《信息安全管理体系要求》,结合xxxx**信息系统的实际编制而成,符合iso/iec 27001:2005 标准的全部要求。。
本管理制度适用于xxxx的电子政务应用管理。
七) 引用标准。
下列文件和标准通过本手册的引用,均为本手册的条文。本手册使用时所示文件和标准均为有效版本。当引用文件和标准被修订时,使用其最新版本:
iso/iec 27001:2005《信息安全管理体系要求》
iso/iec 17799:2005《信息安全管理实用规则》
gb/t 22239-2008《信息系统安全等级保护基本要求》
八) 信息安全管理体系(isms)
1. 总体要求。
xxxx依据iso/iec 27001:2005 《信息安全管理体系要求》,建立信息安全管理体系,并形成相关的信息安全管理体系文件,由科信局局长批准发布后在xxxx范围内实施并保持,利用内部审核、管理评审、纠正和预防措施以及持续改进的手段,确保信息安全管理体系的有效性。
2. 建立和管理信息安全管理体系。
1). 建立信息安全管理体系。
isms范围。
根据xxxx业务特点、组织机构、物理位置的不同,确定xxxx信息安全管理体系的范围为:
xxxx的所有部门和正式工作人员;
xxxx主要负责xxxx**信息化建设工作,负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。
与xxxx业务活动相关的应用系统及其包含的全部信息资产,其中应用系统包括:”门户**”等;信息资产包括:与上述业务应用系统相关的数据、硬件、软件、服务及文档等。
xxxx的办公场所和上述业务应用系统所处机房,其中机房包括xxxx**机房。
isms方针。
根据信息安全管理的需求,确定xxxx的信息安全方针和主要信息安全策略。信息安全方针为:
全员参与。明确责任。
预防为主。快速响应。
风险管控。持续改进。
风险评估。在体系建立过程中,xxxx确定信息安全风险评估方法,对xxxx电子政务信息系统实施风险评估,识别电子政务信息系统所面临的风险。
IT服务与信息安全管理手册
山东瀚高科技 管理体系。管理手册。山东瀚高科技 文档发布信息。修订记录。注1 修订类别分为 a 新建 增加 m 修订 d 删除。颁布令 i任命书 ii 管理方针和目标 1 山东瀚高 简介 2 山东瀚高 组织结构图 3 1目的和范围 3 1.1 目的 3 1.2 范围 3 2 引用标准 4 3 术语和...
安全管理手册
单位 年度 项目经理 项目安全员 株洲市宏达工程 生产技术部制定。目录。1 安全教育台账。2 特种作业人员变换登记表。3 机械设备管理台帐。4 工伤保险购买情况登记表。5 违章情况整改考核登记表。6 安全隐患整改登记表。7 项目安全交底登记表。8 安全检查细则。备注 每个月最少检查1次,根据检查情况...
安全管理手册
唐山市德龙钢铁 唐山市德龙钢铁 安全生产委员会编。总编审主任 刘国旗。副总编审主任 王辉 张纪星 包建华 王飞。编审人员 刘作恩 田志刚 刘志勇 张存生 商志敏 尚宏超 崔龙。张国全 柯建营 赵值璋 王磊 徐灯亮 赵树军 梁立棉 伦武成 常树德 李树金 吴志刚 苗建会 冯启超 李海涛。孙秀梅 魏文奎...
安全管理手册
cmscl整车物流部。2016年3月第二版。目录。一 安全管理目标 4 1.安全目标 4 2.安全架构与职责 5 2.1安全组织架构 5 2.2安全职责 5 二 安全隐患及风险等级识别 7 1.目的 7 2.定义 7 3.内容 7 3.1人员 7 3.2设备 8 3.3场地 9 3.4高危操作类 1...
安全管理手册
目录。总则 2安全管理职能机构与人员 2 安全生产管理体制 2 基本岗位人员安全生产职责 2 职能部门安全生产职责 2 安全管理基本职能工作与制度 2 安全制度建设 2 安全教育 2 安全技术措施计划工作 2 安全生产检查 2 安全事故管理 2 事故隐患管理 2 安全工作例会 2 安全统计 档案管理...
安全管理手册
布尔津星振矿业有限责任公司企业标准。qb xz bzh a01 2012 编制 审核 批准 2012 06 15发布2010 06 15实施。布尔津星振矿业有限责任公司发布。目录。安全标准化管理手册发布令 0 安全管理者代表任命书 1 布尔津星振矿业有限责任公司组织结构图 2 安全生产管理体系职能分...
安全管理手册
前言。安全是干部的第一责任 安全是职工的第一需求,始终坚持以人为本 牢固树立 安全生命线 价值观,扎扎实实地做好安全工作是 创建和谐炉料 的重要内容和头等大事。为适应公司高效多赢的战略要求,进一步提高安全管理工作的针对性和效率水平,在更高层次上发挥其保障作用,在公司领导的主持下,根据公司的安全管理现...
安全管理手册
体系文件修订委员会。主任 周胜贵赵铁根 副主任 阎炳章牛刚伟池成贤李春伟翟铁群沈五名。郭东方焦群领。成员 卢国靖樊保团王江伟李志勇冯跃峰杨耀峰。张志刚崔新奇韩进京杨帅领曹长现龙银 董伟琳刘玉英王怀敬姚创杰张电强吴文学。杨中现常曙光王矿法张辉王利云路国端。沈彦中王现伟王国红潘红民郭二谦杨宏亮。王政举卢...