信息安全管理手冊(cè)

1、信息安全管理手冊(cè)（ 一 ） 發(fā)布說明 為了落實(shí)國(guó)家與市網(wǎng)絡(luò)信息安全與等級(jí)保護(hù)的相關(guān)政策， 貫 徹信息安全管理體系標(biāo)準(zhǔn)， 提高信息安全管理水平， 維護(hù)電子政 務(wù)信息系統(tǒng)安全穩(wěn)定可控， 實(shí)現(xiàn)業(yè)務(wù)信息和系統(tǒng)服務(wù)的安全保護(hù) 等級(jí)，按照 27001 ：2005信息安全管理體系要求 、 17799 ： 2005信息安全管理實(shí)用規(guī)則 ，以及 22239-2008 信息系統(tǒng)安 全等級(jí)保護(hù)基本要求 ，編制完成了信息安全管理體系文件，現(xiàn) 予以批準(zhǔn)頒布實(shí)施。信息安全管理手冊(cè)是綱領(lǐng)性文件， 是指導(dǎo)等各級(jí)政府部門建 立并實(shí)施信息安全管理體系的行動(dòng)準(zhǔn)則，全體人員必須遵照?qǐng)?zhí) 行。信息安全管理手冊(cè)于發(fā)布之日起正式實(shí)施。局長(zhǎng)（

2、 二 ） 授權(quán)書為了貫徹執(zhí)行 27001 ： 2005信息安全管理體系要求 、 17799： 2005信息安全管理實(shí)用規(guī)則 ，以及 22239-2008 信 息系統(tǒng)安全等級(jí)保護(hù)基本要求 ，加強(qiáng)對(duì)信息安全管理體系運(yùn)作 的管理和控制， 特授權(quán)管理市政務(wù)信息安全工作， 并保證信息安 全管理職責(zé)的獨(dú)立性，履行以下職責(zé)：? 負(fù)責(zé)建立、修改、完善、持續(xù)改進(jìn)和實(shí)施市政務(wù)信息安全 管理體系；? 負(fù)責(zé)向主任報(bào)告信息安全管理體系的實(shí)施情況，提出信息 安全管理體系改進(jìn)建議， 作為管理評(píng)審和信息安全管理體 系改進(jìn)的基礎(chǔ)；? 負(fù)責(zé)向各級(jí)政府部門全體人員宣傳信息安全的重要性，負(fù) 責(zé)信息安全教育、 培訓(xùn)， 不斷提高全體人員

3、的信息安全意 識(shí)；? 負(fù)責(zé)信息安全管理體系對(duì)外聯(lián)絡(luò)工作。（ 三 ） 信息安全要求1. 具體闡述如下：（1）在信息安全協(xié)調(diào)小組的領(lǐng)導(dǎo)下，全面貫徹國(guó)家和市關(guān) 于信息安全工作的相關(guān)指導(dǎo)性文件精神， 在內(nèi)建立可持續(xù)改進(jìn)的 信息安全管理體系。（2）全員參與信息安全管理體系建設(shè)，落實(shí)信息安全管理 責(zé)任制， 建立和完善各項(xiàng)信息安全管理制度， 使得信息安全管理 有章可循。（3）通過定期地信息安全宣傳、教育與培訓(xùn)，不斷提高所 有人員的信息安全意識(shí)及能力。（4）推行預(yù)防為主的信息安全積極防御理念，同時(shí)對(duì)所發(fā) 生的信息安全事件進(jìn)行快速、有序地響應(yīng)。（5）貫徹風(fēng)險(xiǎn)管理的理念，定期對(duì)“門戶網(wǎng)站”等重要信 息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)

4、評(píng)估和控制， 將信息安全風(fēng)險(xiǎn)控制在可接受的水 平。（6）按照精神，持續(xù)改進(jìn)信息安全各項(xiàng)工作，保障電子政 務(wù)外網(wǎng)安全暢通與可控，保障所開發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn) 定，為所有企業(yè)和社會(huì)公眾提供安全可靠的電子政務(wù)服務(wù)。2. 信息安全總體要求（1）建立信息化資產(chǎn)（軟件、硬件、數(shù)據(jù)庫等）目錄。（2）“門戶網(wǎng)站”信息系統(tǒng)，按照等級(jí)保護(hù)要求進(jìn)行建設(shè)和 運(yùn)維。各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。（3 ）編制完成網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案，并組織 應(yīng)急演練。各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參照?qǐng)?zhí)行。（4）按需開展信息安全風(fēng)險(xiǎn)評(píng)估，由第三方機(jī)構(gòu)對(duì)”門戶 網(wǎng)站”開展外部評(píng)估，各單位以自評(píng)估為主。O（培（5

5、）每年開展1次全區(qū)范圍的信息系統(tǒng)安全檢查（自查）（6）每年組織2次全區(qū)范圍的信息安全管理制度宣傳。 訓(xùn)人數(shù)比例80%以上）。（四）信息安全管理體系組織機(jī)構(gòu)圖局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組局網(wǎng)絡(luò)與信息安全協(xié)調(diào)小（五）主要安全策略（1）建立信息安全管理組織機(jī)構(gòu)，明確各安全管理員、機(jī) 房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理相 關(guān)崗位及職責(zé)， 建立健全信息安全管理責(zé)任制， 使得信息安全各 項(xiàng)職責(zé)落實(shí)到人。（2）對(duì)信息安全管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審，對(duì) 各項(xiàng)安全控制措施實(shí)施后的有效性進(jìn)行測(cè)量， 并實(shí)施相應(yīng)的糾正 和預(yù)防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、 有效性。（3）對(duì)信

6、息系統(tǒng)中所存在的安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)估和 管理。 定期對(duì)信息系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估， 根據(jù)評(píng)估結(jié)果選 擇適當(dāng)?shù)陌踩呗院涂刂拼胧?，將安全風(fēng)險(xiǎn)控制在可接受的水 平。風(fēng)險(xiǎn)評(píng)估至少每年一次，在信息系統(tǒng)發(fā)生重大改變后，也應(yīng) 進(jìn)行風(fēng)險(xiǎn)評(píng)估。（4）電子政務(wù)信息系統(tǒng)分等級(jí)保護(hù)。按照國(guó)家等級(jí)保護(hù)有 關(guān)要求， 對(duì)信息系統(tǒng)及信息確定安全等級(jí)， 并根據(jù)不同的安全等 級(jí)實(shí)施分等級(jí)保護(hù)。（5）規(guī)范信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程， 建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì) 所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息資產(chǎn)購買、使用、變更、報(bào) 廢整個(gè)周期的安全管理。（6）加強(qiáng)所有人員（包括市各單位內(nèi)部人

7、員，以及各類外 來人員）的安全管理，明確崗位安全職責(zé)，制定針對(duì)違規(guī)的懲戒 措施，落實(shí)人員聘用、在崗和離崗時(shí)的安全控制，與敏感崗位人 員簽署保密協(xié)議。（7）通過正式的信息安全培訓(xùn)，以及網(wǎng)站、簡(jiǎn)報(bào)、會(huì)議、 講座等各種形式的信息安全教育活動(dòng)， 不斷加強(qiáng)各單位人員的信 息安全意識(shí)，提高他們的信息安全技能。（8）保障機(jī)房物理與環(huán)境安全。實(shí)施包括門禁、視頻監(jiān)控、 報(bào)警等安全防范措施，確保機(jī)房物理安全。部署機(jī)房專用空調(diào)、 等環(huán)境保障設(shè)施， 對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。 嚴(yán) 格對(duì)機(jī)房人員和設(shè)備的出入管理， 進(jìn)出需登記，外來人員需由 相關(guān)管理人員陪同方能訪問機(jī)房。（9）加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的

8、管理，在與信息 系統(tǒng)外包方簽署的服務(wù)協(xié)議中， 對(duì)信息系統(tǒng)安全加以要求。 通過 審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問 電子政務(wù)信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全。（10）對(duì)市各單位重要信息系統(tǒng)（包括基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服 務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等）應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得 各個(gè)相關(guān)人員能夠采用規(guī)范化的形式對(duì)系統(tǒng)進(jìn)行操作， 降低和避 免因誤操作所引發(fā)信息安全事件的可能性。（11）在市電子政務(wù)外網(wǎng)上統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件， 并進(jìn)行惡意代碼庫的統(tǒng)一更新， 防范惡意代碼、 木馬等惡意代碼 對(duì)電子政務(wù)信息系統(tǒng)的影響。通過強(qiáng)化惡意代碼防范的管理措 施，如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅

9、自安裝軟件，加強(qiáng)人員安全意識(shí)教 育，定期進(jìn)行惡意代碼檢測(cè)等， 提高電子政務(wù)信息系統(tǒng)對(duì)惡意代 碼的防范能力。（12）對(duì)市各單位重要的信息和信息系統(tǒng)進(jìn)行備份， 并對(duì)備 份介質(zhì)進(jìn)行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn) 證，保證各種備份信息的保密性、完整性和可用性，確保所有重 要信息系統(tǒng)和重要數(shù)據(jù)在故障、 災(zāi)難后及其它特定要求下進(jìn)行可 靠的恢復(fù)。（13）采用技術(shù)和管理兩方面的控制措施， 加強(qiáng)對(duì)市電子政 務(wù)外網(wǎng)的安全控制， 不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。 市電子政 務(wù)外網(wǎng)與互聯(lián)網(wǎng)進(jìn)行邏輯隔離。 通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防 范措施，對(duì)接入進(jìn)行嚴(yán)格審批，加強(qiáng)使用安全管理，加強(qiáng)對(duì)各單 位網(wǎng)絡(luò)使用的安

10、全培訓(xùn)和教育，確保市電子政務(wù)外網(wǎng)的安全。（14）加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值 守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工 作符合信息安全策略和制度要求。（15）按照“僅知”原則，通過功能和技術(shù)配置，對(duì)重要信 息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問控制。進(jìn)一步推廣數(shù)字證書的使用，以 及安全的授權(quán)管理制度， 并落實(shí)授權(quán)責(zé)任人。 對(duì)系統(tǒng)特殊權(quán)限和 系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管。（16）進(jìn)一步重視軟件開發(fā)安全。 在各電子政務(wù)信息系統(tǒng)立 項(xiàng)和審批過程中， 同步考慮信息安全需求和目標(biāo)。 應(yīng)保證系統(tǒng)設(shè) 計(jì)、開發(fā)過程的安全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于 外包軟件開發(fā)的， 應(yīng)與

11、服務(wù)提供商簽署保密協(xié)議。 系統(tǒng)開發(fā)完成 后，應(yīng)要求通過第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)。（17）在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下， 合理使用密 碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管 理，保障密碼技術(shù)使用的安全性。（18）重視對(duì)服務(wù)連續(xù)性的管理， 建立對(duì)各類信息安全事件 的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫針對(duì)電子政務(wù)外網(wǎng) 等重要系統(tǒng)的應(yīng)急預(yù)案， 并定期進(jìn)行測(cè)試和演練， 在信息系統(tǒng)發(fā) 生故障或事故時(shí)，能迅速、有序地進(jìn)行應(yīng)急處置，最大限度地降 低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給電子政務(wù)信息系統(tǒng)所帶來 的影響。（19）對(duì)所適用的國(guó)家信息安全相關(guān)法律法規(guī)進(jìn)行定期的識(shí) 別、記錄和

12、更新， 并對(duì)各單位信息安全管理現(xiàn)狀與法律法規(guī)的符 合性進(jìn)行檢查， 確保各項(xiàng)信息安全工作符合國(guó)家信息安全相關(guān)法 律法規(guī)要求。（ 六 ） 適用范圍本手冊(cè)按照 27001 ：2005 信息安全管理體系要求 ，結(jié)合 政府信息系統(tǒng)的實(shí)際編制而成，符合 27001 ：2005 標(biāo)準(zhǔn)的全部 要求。本管理制度適用于的電子政務(wù)應(yīng)用管理。（ 七 ） 引用標(biāo)準(zhǔn)下列文件和標(biāo)準(zhǔn)通過本手冊(cè)的引用， 均為本手冊(cè)的條文。 本 手冊(cè)使用時(shí)所示文件和標(biāo)準(zhǔn)均為有效版本。 當(dāng)引用文件和標(biāo)準(zhǔn)被 修訂時(shí)，使用其最新版本 :? 27001 ： 2005信息安全管理體系要求? 17799 ： 2005信息安全管理實(shí)用規(guī)則? 22239-20

13、08 信息系統(tǒng)安全等級(jí)保護(hù)基本要求（ 八 ） 信息安全管理體系（）1. 總體要求依據(jù) 27001 ：2005 信息安全管理體系要求 ，建立信息安 全管理體系， 并形成相關(guān)的信息安全管理體系文件， 由科信局局 長(zhǎng)批準(zhǔn)發(fā)布后在范圍內(nèi)實(shí)施并保持，利用內(nèi)部審核、管理評(píng)審、 糾正和預(yù)防措施以及持續(xù)改進(jìn)的手段， 確保信息安全管理體系的 有效性。2. 建立和管理信息安全管理體系（1）. 建立信息安全管理體系范圍根據(jù)業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置的不同，確定信息安全管理體系的范圍為：? 的所有部門和正式工作人員；? 主要負(fù)責(zé)政府信息化建設(shè)工作，負(fù)責(zé)運(yùn)行、維護(hù)和管理覆 蓋全區(qū)的電子政務(wù)專網(wǎng)、 資源平臺(tái)和多個(gè)重要電

14、子政務(wù)業(yè) 務(wù)應(yīng)用系統(tǒng)。? 與業(yè)務(wù)活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其 中應(yīng)用系統(tǒng)包括： ”門戶網(wǎng)站”等；信息資產(chǎn)包括：與上 述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、 硬件、軟件、服務(wù)及文檔等。? 的辦公場(chǎng)所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房包括 政府機(jī)房。方針根據(jù)信息安全管理的需求， 確定的信息安全方針和主要信息 安全策略。信息安全方針為：? 全員參與? 明確責(zé)任? 預(yù)防為主? 快速響應(yīng)? 風(fēng)險(xiǎn)管控? 持續(xù)改進(jìn)風(fēng)險(xiǎn)評(píng)估在體系建立過程中， 確定信息安全風(fēng)險(xiǎn)評(píng)估方法， 對(duì)電子政 務(wù)信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估，識(shí)別電子政務(wù)信息系統(tǒng)所面臨的風(fēng) 險(xiǎn)。風(fēng)險(xiǎn)處置在風(fēng)險(xiǎn)評(píng)估后， 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果， 確定風(fēng)險(xiǎn)處置的策略

15、， 包括：? 采用風(fēng)險(xiǎn)控制措施，以降低面臨的信息安全風(fēng)險(xiǎn)；? 在滿足信息安全方針和風(fēng)險(xiǎn)接受準(zhǔn)則的前提下，有意識(shí) 地、客觀地接受風(fēng)險(xiǎn)；? 避免風(fēng)險(xiǎn)；? 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面，如：購買產(chǎn)品維保，運(yùn)維 服務(wù)外包等；根據(jù)風(fēng)險(xiǎn)處置策略， 制定風(fēng)險(xiǎn)控制措施， 對(duì)已識(shí)別出的風(fēng)險(xiǎn) 進(jìn)行分類處理，并對(duì)殘余風(fēng)險(xiǎn)進(jìn)行了批準(zhǔn)。適用性聲明在風(fēng)險(xiǎn)處置活動(dòng)實(shí)施后， 從以下幾方面準(zhǔn)備了體系適用性聲 明：? 從 27001 標(biāo)準(zhǔn)中附錄 A 給出的控制目標(biāo)和控制措施， 以及 選擇的理由；? 當(dāng)前實(shí)施的控制目標(biāo)和控制措施；? 對(duì)附錄 A 中任何控制目標(biāo)和控制措施的刪減，以及刪減的 合理性說明。(2) . 實(shí)施和運(yùn)行信息安全管

16、理體系在實(shí)施和運(yùn)行信息安全管理體系中所開展的工作包括：? 通過風(fēng)險(xiǎn)管理方法來控制電子政務(wù)信息系統(tǒng)中存在的信 息安全風(fēng)險(xiǎn)，配置資源、明確職責(zé)和優(yōu)先級(jí)別，實(shí)施適當(dāng) 的管理措施；? 實(shí)施各信息安全管理體系文件中包括的控制措施，以達(dá)到 各控制目標(biāo)；? 測(cè)量各信息安全管理體系文件中控制措施實(shí)施的有效性， 明確對(duì)測(cè)量結(jié)果的分析和評(píng)估準(zhǔn)則， 并作為持續(xù)改進(jìn)的輸 入；? 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃；? 管理的資源；? 實(shí)施能迅速檢測(cè)安全事件和響應(yīng)安全事故的程序，具體要 求參見信息安全事件管理辦法 。(3) . 監(jiān)視和評(píng)審信息安全管理體系 將對(duì)信息安全管理體系進(jìn)行監(jiān)視， 并定期或不定期的進(jìn)行內(nèi) 審和管理評(píng)審，包括：

17、執(zhí)行監(jiān)視和評(píng)審程序以及其它相關(guān)措施，以達(dá)到：? 迅速檢測(cè)信息安全管理體系運(yùn)行過程中的缺陷和弱點(diǎn)；? 迅速識(shí)別潛在的和已發(fā)生的信息安全違規(guī)和事故；? 確保管理者分配給各人員的信息安全活動(dòng)或通過信息技 術(shù)實(shí)施的信息安全活動(dòng)能如期執(zhí)行；? 確定信息安全措施的有效性。在內(nèi)審結(jié)果、信息安全事故、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，定期進(jìn)行信息安全管理評(píng)審，以判 斷信息安全管理體系的有效性。定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確 定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審，評(píng)審時(shí)應(yīng)考慮以下方面的 變化：? 組織機(jī)構(gòu)的變化；? 信息安全相關(guān)組織結(jié)構(gòu)的變化；? 信息技術(shù)和信息安全技術(shù)的發(fā)展和變化；

18、? 業(yè)務(wù)目標(biāo)和過程的變化；? 已識(shí)別出的信息安全威脅的發(fā)展和變化；? 已實(shí)施信息安全控制措施的有效性；? 外部信息安全事件，如信息安全相關(guān)法律法規(guī)的變更、合 同中信息安全義務(wù)的變更和整體社會(huì)信息安全態(tài)勢(shì)的變 更。每年兩次對(duì)信息安全管理體系進(jìn)行內(nèi)部審核。每年一次對(duì)信息安全管理體系進(jìn)行管理評(píng)審。依據(jù)監(jiān)視和評(píng)審活動(dòng)的結(jié)果，對(duì)信息安全管理體系進(jìn)行修改 和完善。記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和 事件。(4) . 保持和改進(jìn)信息安全管理體系將根據(jù)已識(shí)別的信息安全管理體系的改進(jìn)需求， 選擇適當(dāng)?shù)?糾正措施和預(yù)防措施， 保持和持續(xù)改進(jìn)信息安全管理體系， 并向 所有相關(guān)方溝通信息安全措施和改

19、進(jìn)需求， 并采取測(cè)量、 追蹤和 驗(yàn)證措施，確保改進(jìn)達(dá)到預(yù)期的目標(biāo)。具體內(nèi)容參見預(yù)防與不 符合糾正控制程序 。3. 文件要求1) 總則信息安全管理體系文件包括如下內(nèi)容：? 信息安全管理手冊(cè)與適用性聲明；? 支持性程序文件；? 各部門依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書；? 信息安全管理活動(dòng)相關(guān)的各種記錄。2) 文件控制? 文件是指信息及其承載媒體，媒體可以是紙張、計(jì)算機(jī)光 盤或其它電子媒體或它們的組合。記錄模板、規(guī)范、程序 文件、手冊(cè)、圖樣、報(bào)告或標(biāo)準(zhǔn)均屬于文件。? 信息安全管理體系文件由文檔管理員進(jìn)行管理控制； 由文 檔管理員統(tǒng)一組織修訂和發(fā)布。 各系統(tǒng)的信息安全技術(shù)文 檔由各系統(tǒng)管理

20、員自行控制，并交文檔管理員處存檔。文 件控制參見文件控制程序 。3) 記錄控制? 記錄是指闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的 信息安全文件， 其作用是為信息安全管理體系運(yùn)作提供證 據(jù)。? 為了滿足過程的可追溯性要求和提供信息安全管理體系 有效運(yùn)行的客觀證據(jù)， 除信息安全管理體系標(biāo)準(zhǔn)中要求必 須建立的記錄外， 在各信息安全程序文件中對(duì)應(yīng)該產(chǎn)生的 記錄做了說明和規(guī)定。? 對(duì)信息安全記錄的標(biāo)識(shí)、儲(chǔ)存、防護(hù)、檢索、保存期限和 處置辦法進(jìn)行控制。 各管理員負(fù)責(zé)其職責(zé)范圍內(nèi)信息安全 管理相關(guān)記錄的編制、填寫、收集、保存和歸檔。? 信息安全管理相關(guān)記錄的控制參見記錄控制程序 。4. 管理職責(zé)1）管理承

21、諾在網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下，通過以下幾方面建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審管理體系并持續(xù)改進(jìn)其有效性：? 制定信息安全方針；? 制定信息安全要求；? 確保在信息中心內(nèi)建立信息安全管理責(zé)任制；? 向全體人員傳達(dá)滿足信息安全方針、信息安全要求、履行 法律責(zé)任和持續(xù)改進(jìn)的重要性， 使全體人員能正確理解并 認(rèn)真執(zhí)行信息安全管理體系；? 提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審和改進(jìn) 信息安全管理體系；? 建立良好的內(nèi)部協(xié)調(diào)和溝通機(jī)制；? 與上級(jí)政府部門及相關(guān)單位保持適當(dāng)?shù)穆?lián)系；? 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；? 確保信息安全管理體系內(nèi)審的執(zhí)行；? 確保信息安全管理評(píng)審的執(zhí)行。2）管理職

22、責(zé)? 信息安全管理體系（）責(zé)任人的職責(zé)（參見授權(quán)書） ；? 責(zé)任人負(fù)責(zé)制定信息安全方針和目標(biāo)， 負(fù)責(zé)信息安全管理 重大問題的決策工作。? 安全管理員負(fù)責(zé)信息安全策略的開發(fā)， 負(fù)責(zé)開展內(nèi)部信息 安全維護(hù)的日常工作， 負(fù)責(zé)定期開展信息安全風(fēng)險(xiǎn)評(píng)估和 風(fēng)險(xiǎn)處置，負(fù)責(zé)協(xié)助上級(jí)部門的信息安全測(cè)評(píng)和檢查等。? 機(jī)房管理員負(fù)責(zé)機(jī)房的物理與環(huán)境安全管理， 負(fù)責(zé)機(jī)房硬 件設(shè)備的維護(hù)。? 網(wǎng)絡(luò)管理員負(fù)責(zé)電子政務(wù)外網(wǎng)及局域網(wǎng)的安全管理和維護(hù)；? 系統(tǒng)管理員負(fù)責(zé)各業(yè)務(wù)系統(tǒng)（包括操作系統(tǒng)、中間件、應(yīng) 用系統(tǒng)）的安全管理和維護(hù)；? 文檔管理員負(fù)責(zé)相關(guān)文檔的歸檔和發(fā)布管理；? 資產(chǎn)管理員負(fù)責(zé)所擁有信息資產(chǎn)的歸口管理；? 體

23、系審核員負(fù)責(zé)執(zhí)行信息安全內(nèi)部審核， 根據(jù)要求編制內(nèi) 部審核實(shí)施計(jì)劃， 組織編制審核報(bào)告， 并對(duì)審核中發(fā)現(xiàn)的 不符合項(xiàng)跟蹤驗(yàn)證。3）內(nèi)部協(xié)調(diào)和溝通? 確保在不同層次機(jī)構(gòu)、職能部門之間，就信息安全管理體 系的過程， 包括信息安全方針、 信息安全目標(biāo)及完成情況， 以及實(shí)施的有效性， 進(jìn)行溝通，做到相互理解、 相互信任， 達(dá)到全員參與的效果。? 與信息安全管理體系有關(guān)的各種信息溝通， 可采用各種方式如 系統(tǒng)、各種會(huì)議、通報(bào)等形式來實(shí)現(xiàn)。4) 外部聯(lián)系通過與上級(jí)信息安全主管部門，以及其它政府部門保持聯(lián)系， 以支持：? 信息安全事故管理中的響應(yīng)、取證、協(xié)調(diào)等工作；? 及時(shí)了解信息安全相關(guān)法律法規(guī)、政策的變

24、化，并保持符 合性。通過與國(guó)家有關(guān)信息安全機(jī)構(gòu)，以及其他信息安全組織保持適 當(dāng)?shù)穆?lián)系，以便：? 增進(jìn)對(duì)最佳實(shí)踐和最新相關(guān)安全信息的了解；? 確保全面了解當(dāng)前的信息安全態(tài)勢(shì)；? 及時(shí)收集和發(fā)布關(guān)于攻擊和脆弱性的預(yù)警、建議和補(bǔ)丁；? 獲得信息安全專家的建議；? 分享和交換關(guān)于新技術(shù)、產(chǎn)品、威脅或脆弱性的信息；? 提供處理信息安全事故時(shí)適當(dāng)?shù)穆?lián)絡(luò)點(diǎn)。5. 資源管理1) 資源提供將為確定并提供以下活動(dòng)所需資源：? 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系；? 確保信息安全程序滿足業(yè)務(wù)的需求；? 履行法律法規(guī)要求、以及合同中的安全義務(wù)；? 正確實(shí)施所有必需的信息安全控制措施。2) 培訓(xùn)、

25、意識(shí)和能力 將通過開展各種形式的信息安全培訓(xùn)和教育活動(dòng)， 確保所有 分配有職責(zé)的人員具有一定的信息安全意識(shí)， 以及執(zhí)行所要求任 務(wù)的能力。3) 內(nèi)部審核? 由體系審核員編制的信息安全年度審核計(jì)劃， 報(bào)責(zé)任人批 準(zhǔn)后實(shí)施，一般情況下內(nèi)部審核每年不少于 2 次。? 責(zé)任人負(fù)責(zé)信息安全管理體系內(nèi)部審核的組織和協(xié)調(diào)工 作，體系審核員負(fù)責(zé)具體實(shí)施，各部門配合。? 每次審核前編制信息安全審核日程計(jì)劃及檢查表， 作為現(xiàn) 場(chǎng)審核依據(jù)。? 體系審核員不審核自己部門的信息安全管理工作。? 內(nèi)部審核參見信息安全審核管理程序 。? 內(nèi)部審核報(bào)告及糾正措施實(shí)施情況，應(yīng)提交責(zé)任人審核。4) 的管理評(píng)審責(zé)任人應(yīng)定期對(duì)信息安全管理體系進(jìn)行評(píng)審，每年至少一 次，通常在內(nèi)審結(jié)束后的 1 2 月內(nèi)進(jìn)行。當(dāng)?shù)男畔踩芾眢w 系發(fā)生重大變更和出現(xiàn)重大信息安全事故時(shí)可以追加臨時(shí)管理 評(píng)審。體系審核員根據(jù)內(nèi)部審核的結(jié)果以及其它各項(xiàng)信息安全管 理的要求，組織各部門準(zhǔn)備管理評(píng)審的材料，主要包括：? 內(nèi)審的結(jié)果；? 信息安全方針、 信息安全目標(biāo)、 風(fēng)險(xiǎn)控制措施的實(shí)施情況；? 信息安全事故調(diào)查處理情況；? 信息安全整改 / 改進(jìn)措施實(shí)施情況；? 相關(guān)方信息安全方面的投訴、建議及其要求；? 信息安全法規(guī)及其他要求符合性報(bào)告；? 關(guān)于信息安全管理體系