信息安全管理手冊

1、信息安全管理手冊（ 一 ） 發(fā)布說明 為了落實國家與市網絡信息安全與等級保護的相關政策， 貫 徹信息安全管理體系標準， 提高信息安全管理水平， 維護電子政 務信息系統(tǒng)安全穩(wěn)定可控， 實現(xiàn)業(yè)務信息和系統(tǒng)服務的安全保護 等級，按照 27001 ：2005信息安全管理體系要求 、 17799 ： 2005信息安全管理實用規(guī)則 ，以及 22239-2008 信息系統(tǒng)安 全等級保護基本要求 ，編制完成了信息安全管理體系文件，現(xiàn) 予以批準頒布實施。信息安全管理手冊是綱領性文件， 是指導等各級政府部門建 立并實施信息安全管理體系的行動準則，全體人員必須遵照執(zhí) 行。信息安全管理手冊于發(fā)布之日起正式實施。局長（

2、 二 ） 授權書為了貫徹執(zhí)行 27001 ： 2005信息安全管理體系要求 、 17799： 2005信息安全管理實用規(guī)則 ，以及 22239-2008 信 息系統(tǒng)安全等級保護基本要求 ，加強對信息安全管理體系運作 的管理和控制， 特授權管理市政務信息安全工作， 并保證信息安 全管理職責的獨立性，履行以下職責：? 負責建立、修改、完善、持續(xù)改進和實施市政務信息安全 管理體系；? 負責向主任報告信息安全管理體系的實施情況，提出信息 安全管理體系改進建議， 作為管理評審和信息安全管理體 系改進的基礎；? 負責向各級政府部門全體人員宣傳信息安全的重要性，負 責信息安全教育、 培訓， 不斷提高全體人員

3、的信息安全意 識；? 負責信息安全管理體系對外聯(lián)絡工作。（ 三 ） 信息安全要求1. 具體闡述如下：（1）在信息安全協(xié)調小組的領導下，全面貫徹國家和市關 于信息安全工作的相關指導性文件精神， 在內建立可持續(xù)改進的 信息安全管理體系。（2）全員參與信息安全管理體系建設，落實信息安全管理 責任制， 建立和完善各項信息安全管理制度， 使得信息安全管理 有章可循。（3）通過定期地信息安全宣傳、教育與培訓，不斷提高所 有人員的信息安全意識及能力。（4）推行預防為主的信息安全積極防御理念，同時對所發(fā) 生的信息安全事件進行快速、有序地響應。（5）貫徹風險管理的理念，定期對“門戶網站”等重要信 息系統(tǒng)進行風險

4、評估和控制， 將信息安全風險控制在可接受的水 平。（6）按照精神，持續(xù)改進信息安全各項工作，保障電子政 務外網安全暢通與可控，保障所開發(fā)和維護信息系統(tǒng)的安全穩(wěn) 定，為所有企業(yè)和社會公眾提供安全可靠的電子政務服務。2. 信息安全總體要求（1）建立信息化資產（軟件、硬件、數(shù)據(jù)庫等）目錄。（2）“門戶網站”信息系統(tǒng)，按照等級保護要求進行建設和 運維。各單位自建的網絡、網站和信息系統(tǒng)參照執(zhí)行。（3 ）編制完成網絡和信息安全事件總體應急預案，并組織 應急演練。各單位自建的網絡、網站和信息系統(tǒng)參照執(zhí)行。（4）按需開展信息安全風險評估，由第三方機構對”門戶 網站”開展外部評估，各單位以自評估為主。O（培（5

5、）每年開展1次全區(qū)范圍的信息系統(tǒng)安全檢查（自查）（6）每年組織2次全區(qū)范圍的信息安全管理制度宣傳。 訓人數(shù)比例80%以上）。（四）信息安全管理體系組織機構圖局網絡與信息安全協(xié)調小組局網絡與信息安全協(xié)調?。ㄎ澹┲饕踩呗裕?）建立信息安全管理組織機構，明確各安全管理員、機 房管理員、網絡管理員、應用管理員、主機管理員等安全管理相 關崗位及職責， 建立健全信息安全管理責任制， 使得信息安全各 項職責落實到人。（2）對信息安全管理體系進行定期地內審和管理評審，對 各項安全控制措施實施后的有效性進行測量， 并實施相應的糾正 和預防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、 有效性。（3）對信

6、息系統(tǒng)中所存在的安全風險進行有計劃的評估和 管理。 定期對信息系統(tǒng)實施信息安全風險評估， 根據(jù)評估結果選 擇適當?shù)陌踩呗院涂刂拼胧?，將安全風險控制在可接受的水 平。風險評估至少每年一次，在信息系統(tǒng)發(fā)生重大改變后，也應 進行風險評估。（4）電子政務信息系統(tǒng)分等級保護。按照國家等級保護有 關要求， 對信息系統(tǒng)及信息確定安全等級， 并根據(jù)不同的安全等 級實施分等級保護。（5）規(guī)范信息資產（包括硬件、軟件、服務等）管理流程， 建立信息資產管理臺帳，明確資產所有者、使用者與維護者，對 所有信息資產進行標記，實現(xiàn)對信息資產購買、使用、變更、報 廢整個周期的安全管理。（6）加強所有人員（包括市各單位內部人

7、員，以及各類外 來人員）的安全管理，明確崗位安全職責，制定針對違規(guī)的懲戒 措施，落實人員聘用、在崗和離崗時的安全控制，與敏感崗位人 員簽署保密協(xié)議。（7）通過正式的信息安全培訓，以及網站、簡報、會議、 講座等各種形式的信息安全教育活動， 不斷加強各單位人員的信 息安全意識，提高他們的信息安全技能。（8）保障機房物理與環(huán)境安全。實施包括門禁、視頻監(jiān)控、 報警等安全防范措施，確保機房物理安全。部署機房專用空調、 等環(huán)境保障設施， 對機房設施運轉情況進行定期巡檢和維護。 嚴 格對機房人員和設備的出入管理， 進出需登記，外來人員需由 相關管理人員陪同方能訪問機房。（9）加強對信息系統(tǒng)外包業(yè)務與外包方的

8、管理，在與信息 系統(tǒng)外包方簽署的服務協(xié)議中， 對信息系統(tǒng)安全加以要求。 通過 審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問 電子政務信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全。（10）對市各單位重要信息系統(tǒng)（包括基礎設施、網絡和服 務器設備、系統(tǒng)、應用等）應有文檔化的操作和維護規(guī)程，使得 各個相關人員能夠采用規(guī)范化的形式對系統(tǒng)進行操作， 降低和避 免因誤操作所引發(fā)信息安全事件的可能性。（11）在市電子政務外網上統(tǒng)一部署網絡防惡意代碼軟件， 并進行惡意代碼庫的統(tǒng)一更新， 防范惡意代碼、 木馬等惡意代碼 對電子政務信息系統(tǒng)的影響。通過強化惡意代碼防范的管理措 施，如加強介質管理，嚴禁擅

9、自安裝軟件，加強人員安全意識教 育，定期進行惡意代碼檢測等， 提高電子政務信息系統(tǒng)對惡意代 碼的防范能力。（12）對市各單位重要的信息和信息系統(tǒng)進行備份， 并對備 份介質進行安全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗 證，保證各種備份信息的保密性、完整性和可用性，確保所有重 要信息系統(tǒng)和重要數(shù)據(jù)在故障、 災難后及其它特定要求下進行可 靠的恢復。（13）采用技術和管理兩方面的控制措施， 加強對市電子政 務外網的安全控制， 不斷提高網絡的安全性和穩(wěn)定性。 市電子政 務外網與互聯(lián)網進行邏輯隔離。 通過實施網絡訪問控制等技術防 范措施，對接入進行嚴格審批，加強使用安全管理，加強對各單 位網絡使用的安

10、全培訓和教育，確保市電子政務外網的安全。（14）加強信息安全日常管理，包括系統(tǒng)口令管理、無人值 守設備管理、屏幕保護、便攜機管理等，促使每位人員的日常工 作符合信息安全策略和制度要求。（15）按照“僅知”原則，通過功能和技術配置，對重要信 息系統(tǒng)、數(shù)據(jù)等實施訪問控制。進一步推廣數(shù)字證書的使用，以 及安全的授權管理制度， 并落實授權責任人。 對系統(tǒng)特殊權限和 系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管。（16）進一步重視軟件開發(fā)安全。 在各電子政務信息系統(tǒng)立 項和審批過程中， 同步考慮信息安全需求和目標。 應保證系統(tǒng)設 計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。屬于 外包軟件開發(fā)的， 應與

11、服務提供商簽署保密協(xié)議。 系統(tǒng)開發(fā)完成 后，應要求通過第三方安全機構對軟件安全性的測評。（17）在符合國家密碼管理相關規(guī)定的條件下， 合理使用密 碼技術和密碼設備，嚴格密鑰生成、分發(fā)、保存等方面的安全管 理，保障密碼技術使用的安全性。（18）重視對服務連續(xù)性的管理， 建立對各類信息安全事件 的預防、預警、響應、處置、恢復機制，編寫針對電子政務外網 等重要系統(tǒng)的應急預案， 并定期進行測試和演練， 在信息系統(tǒng)發(fā) 生故障或事故時，能迅速、有序地進行應急處置，最大限度地降 低因信息系統(tǒng)突發(fā)事件或意外災害給電子政務信息系統(tǒng)所帶來 的影響。（19）對所適用的國家信息安全相關法律法規(guī)進行定期的識 別、記錄和

12、更新， 并對各單位信息安全管理現(xiàn)狀與法律法規(guī)的符 合性進行檢查， 確保各項信息安全工作符合國家信息安全相關法 律法規(guī)要求。（ 六 ） 適用范圍本手冊按照 27001 ：2005 信息安全管理體系要求 ，結合 政府信息系統(tǒng)的實際編制而成，符合 27001 ：2005 標準的全部 要求。本管理制度適用于的電子政務應用管理。（ 七 ） 引用標準下列文件和標準通過本手冊的引用， 均為本手冊的條文。 本 手冊使用時所示文件和標準均為有效版本。 當引用文件和標準被 修訂時，使用其最新版本 :? 27001 ： 2005信息安全管理體系要求? 17799 ： 2005信息安全管理實用規(guī)則? 22239-20

13、08 信息系統(tǒng)安全等級保護基本要求（ 八 ） 信息安全管理體系（）1. 總體要求依據(jù) 27001 ：2005 信息安全管理體系要求 ，建立信息安 全管理體系， 并形成相關的信息安全管理體系文件， 由科信局局 長批準發(fā)布后在范圍內實施并保持，利用內部審核、管理評審、 糾正和預防措施以及持續(xù)改進的手段， 確保信息安全管理體系的 有效性。2. 建立和管理信息安全管理體系（1）. 建立信息安全管理體系范圍根據(jù)業(yè)務特點、組織機構、物理位置的不同，確定信息安全管理體系的范圍為：? 的所有部門和正式工作人員；? 主要負責政府信息化建設工作，負責運行、維護和管理覆 蓋全區(qū)的電子政務專網、 資源平臺和多個重要電

14、子政務業(yè) 務應用系統(tǒng)。? 與業(yè)務活動相關的應用系統(tǒng)及其包含的全部信息資產，其 中應用系統(tǒng)包括： ”門戶網站”等；信息資產包括：與上 述業(yè)務應用系統(tǒng)相關的數(shù)據(jù)、 硬件、軟件、服務及文檔等。? 的辦公場所和上述業(yè)務應用系統(tǒng)所處機房，其中機房包括 政府機房。方針根據(jù)信息安全管理的需求， 確定的信息安全方針和主要信息 安全策略。信息安全方針為：? 全員參與? 明確責任? 預防為主? 快速響應? 風險管控? 持續(xù)改進風險評估在體系建立過程中， 確定信息安全風險評估方法， 對電子政 務信息系統(tǒng)實施風險評估，識別電子政務信息系統(tǒng)所面臨的風 險。風險處置在風險評估后， 根據(jù)風險評估的結果， 確定風險處置的策略

15、， 包括：? 采用風險控制措施，以降低面臨的信息安全風險；? 在滿足信息安全方針和風險接受準則的前提下，有意識 地、客觀地接受風險；? 避免風險；? 轉移相關業(yè)務風險到其他方面，如：購買產品維保，運維 服務外包等；根據(jù)風險處置策略， 制定風險控制措施， 對已識別出的風險 進行分類處理，并對殘余風險進行了批準。適用性聲明在風險處置活動實施后， 從以下幾方面準備了體系適用性聲 明：? 從 27001 標準中附錄 A 給出的控制目標和控制措施， 以及 選擇的理由；? 當前實施的控制目標和控制措施；? 對附錄 A 中任何控制目標和控制措施的刪減，以及刪減的 合理性說明。(2) . 實施和運行信息安全管

16、理體系在實施和運行信息安全管理體系中所開展的工作包括：? 通過風險管理方法來控制電子政務信息系統(tǒng)中存在的信 息安全風險，配置資源、明確職責和優(yōu)先級別，實施適當 的管理措施；? 實施各信息安全管理體系文件中包括的控制措施，以達到 各控制目標；? 測量各信息安全管理體系文件中控制措施實施的有效性， 明確對測量結果的分析和評估準則， 并作為持續(xù)改進的輸 入；? 實施培訓和意識教育計劃；? 管理的資源；? 實施能迅速檢測安全事件和響應安全事故的程序，具體要 求參見信息安全事件管理辦法 。(3) . 監(jiān)視和評審信息安全管理體系 將對信息安全管理體系進行監(jiān)視， 并定期或不定期的進行內 審和管理評審，包括：

17、執(zhí)行監(jiān)視和評審程序以及其它相關措施，以達到：? 迅速檢測信息安全管理體系運行過程中的缺陷和弱點；? 迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；? 確保管理者分配給各人員的信息安全活動或通過信息技 術實施的信息安全活動能如期執(zhí)行；? 確定信息安全措施的有效性。在內審結果、信息安全事故、有效性測量結果、所有相關方的建議和反饋的基礎上，定期進行信息安全管理評審，以判 斷信息安全管理體系的有效性。定期進行信息安全風險評估的評審，以及對殘余風險和已確 定的可接受的風險級別進行評審，評審時應考慮以下方面的 變化：? 組織機構的變化；? 信息安全相關組織結構的變化；? 信息技術和信息安全技術的發(fā)展和變化；

18、? 業(yè)務目標和過程的變化；? 已識別出的信息安全威脅的發(fā)展和變化；? 已實施信息安全控制措施的有效性；? 外部信息安全事件，如信息安全相關法律法規(guī)的變更、合 同中信息安全義務的變更和整體社會信息安全態(tài)勢的變 更。每年兩次對信息安全管理體系進行內部審核。每年一次對信息安全管理體系進行管理評審。依據(jù)監(jiān)視和評審活動的結果，對信息安全管理體系進行修改 和完善。記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和 事件。(4) . 保持和改進信息安全管理體系將根據(jù)已識別的信息安全管理體系的改進需求， 選擇適當?shù)?糾正措施和預防措施， 保持和持續(xù)改進信息安全管理體系， 并向 所有相關方溝通信息安全措施和改

19、進需求， 并采取測量、 追蹤和 驗證措施，確保改進達到預期的目標。具體內容參見預防與不 符合糾正控制程序 。3. 文件要求1) 總則信息安全管理體系文件包括如下內容：? 信息安全管理手冊與適用性聲明；? 支持性程序文件；? 各部門依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導書；? 信息安全管理活動相關的各種記錄。2) 文件控制? 文件是指信息及其承載媒體，媒體可以是紙張、計算機光 盤或其它電子媒體或它們的組合。記錄模板、規(guī)范、程序 文件、手冊、圖樣、報告或標準均屬于文件。? 信息安全管理體系文件由文檔管理員進行管理控制； 由文 檔管理員統(tǒng)一組織修訂和發(fā)布。 各系統(tǒng)的信息安全技術文 檔由各系統(tǒng)管理

20、員自行控制，并交文檔管理員處存檔。文 件控制參見文件控制程序 。3) 記錄控制? 記錄是指闡明所取得的結果或提供所完成活動的證據(jù)的 信息安全文件， 其作用是為信息安全管理體系運作提供證 據(jù)。? 為了滿足過程的可追溯性要求和提供信息安全管理體系 有效運行的客觀證據(jù)， 除信息安全管理體系標準中要求必 須建立的記錄外， 在各信息安全程序文件中對應該產生的 記錄做了說明和規(guī)定。? 對信息安全記錄的標識、儲存、防護、檢索、保存期限和 處置辦法進行控制。 各管理員負責其職責范圍內信息安全 管理相關記錄的編制、填寫、收集、保存和歸檔。? 信息安全管理相關記錄的控制參見記錄控制程序 。4. 管理職責1）管理承

21、諾在網絡與信息安全協(xié)調小組領導下，通過以下幾方面建立、實施、運行、監(jiān)視、評審管理體系并持續(xù)改進其有效性：? 制定信息安全方針；? 制定信息安全要求；? 確保在信息中心內建立信息安全管理責任制；? 向全體人員傳達滿足信息安全方針、信息安全要求、履行 法律責任和持續(xù)改進的重要性， 使全體人員能正確理解并 認真執(zhí)行信息安全管理體系；? 提供足夠資源，以建立、實施、運行、監(jiān)視、評審和改進 信息安全管理體系；? 建立良好的內部協(xié)調和溝通機制；? 與上級政府部門及相關單位保持適當?shù)穆?lián)系；? 決定接受風險的準則和風險的可接受級別；? 確保信息安全管理體系內審的執(zhí)行；? 確保信息安全管理評審的執(zhí)行。2）管理職

22、責? 信息安全管理體系（）責任人的職責（參見授權書） ；? 責任人負責制定信息安全方針和目標， 負責信息安全管理 重大問題的決策工作。? 安全管理員負責信息安全策略的開發(fā)， 負責開展內部信息 安全維護的日常工作， 負責定期開展信息安全風險評估和 風險處置，負責協(xié)助上級部門的信息安全測評和檢查等。? 機房管理員負責機房的物理與環(huán)境安全管理， 負責機房硬 件設備的維護。? 網絡管理員負責電子政務外網及局域網的安全管理和維護；? 系統(tǒng)管理員負責各業(yè)務系統(tǒng)（包括操作系統(tǒng)、中間件、應 用系統(tǒng)）的安全管理和維護；? 文檔管理員負責相關文檔的歸檔和發(fā)布管理；? 資產管理員負責所擁有信息資產的歸口管理；? 體

23、系審核員負責執(zhí)行信息安全內部審核， 根據(jù)要求編制內 部審核實施計劃， 組織編制審核報告， 并對審核中發(fā)現(xiàn)的 不符合項跟蹤驗證。3）內部協(xié)調和溝通? 確保在不同層次機構、職能部門之間，就信息安全管理體 系的過程， 包括信息安全方針、 信息安全目標及完成情況， 以及實施的有效性， 進行溝通，做到相互理解、 相互信任， 達到全員參與的效果。? 與信息安全管理體系有關的各種信息溝通， 可采用各種方式如 系統(tǒng)、各種會議、通報等形式來實現(xiàn)。4) 外部聯(lián)系通過與上級信息安全主管部門，以及其它政府部門保持聯(lián)系， 以支持：? 信息安全事故管理中的響應、取證、協(xié)調等工作；? 及時了解信息安全相關法律法規(guī)、政策的變

24、化，并保持符 合性。通過與國家有關信息安全機構，以及其他信息安全組織保持適 當?shù)穆?lián)系，以便：? 增進對最佳實踐和最新相關安全信息的了解；? 確保全面了解當前的信息安全態(tài)勢；? 及時收集和發(fā)布關于攻擊和脆弱性的預警、建議和補?。? 獲得信息安全專家的建議；? 分享和交換關于新技術、產品、威脅或脆弱性的信息；? 提供處理信息安全事故時適當?shù)穆?lián)絡點。5. 資源管理1) 資源提供將為確定并提供以下活動所需資源：? 建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系；? 確保信息安全程序滿足業(yè)務的需求；? 履行法律法規(guī)要求、以及合同中的安全義務；? 正確實施所有必需的信息安全控制措施。2) 培訓、

25、意識和能力 將通過開展各種形式的信息安全培訓和教育活動， 確保所有 分配有職責的人員具有一定的信息安全意識， 以及執(zhí)行所要求任 務的能力。3) 內部審核? 由體系審核員編制的信息安全年度審核計劃， 報責任人批 準后實施，一般情況下內部審核每年不少于 2 次。? 責任人負責信息安全管理體系內部審核的組織和協(xié)調工 作，體系審核員負責具體實施，各部門配合。? 每次審核前編制信息安全審核日程計劃及檢查表， 作為現(xiàn) 場審核依據(jù)。? 體系審核員不審核自己部門的信息安全管理工作。? 內部審核參見信息安全審核管理程序 。? 內部審核報告及糾正措施實施情況，應提交責任人審核。4) 的管理評審責任人應定期對信息安全管理體系進行評審，每年至少一 次，通常在內審結束后的 1 2 月內進行。當?shù)男畔踩芾眢w 系發(fā)生重大變更和出現(xiàn)重大信息安全事故時可以追加臨時管理 評審。體系審核員根據(jù)內部審核的結果以及其它各項信息安全管 理的要求，組織各部門準備管理評審的材料，主要包括：? 內審的結果；? 信息安全方針、 信息安全目標、 風險控制措施的實施情況；? 信息安全事故調查處理情況；? 信息安全整改 / 改進措施實施情況；? 相關方信息安全方面的投訴、建議及其要求；? 信息安全法規(guī)及其他要求符合性報告；? 關于信息安全管理體系