1、信息安全管理手册（一）发布说明为了落实国家与XX市网络信息安全与等级保护的相关政策，贯彻信息安全 管理体系标准，提高xxxX言息安全管理水平，维护XXXX电子政务信息系统安全 稳定可控，实现业务信息和系统服务的安全保护等级，按照ISO/IEC 27001: 2005信息安全管理体系要求、ISO/IEC 17799 : 2005信息安全管理实用规则， 以及GB/T 22239-2008信息系统安全等级保护基本要求，编制完成了 XXXX言 息安全管理体系文件，现予以批准颁布实施。信息安全管理手册是纲领性文件，是指导 XXXX等各级政府部门建立并实施 信息安全管理体系的行动准则，全体人员必须遵照执行2、。信息安全管理手册于发布之日起正式实施。XXXX局长年 月 日（二）授权书为了贯彻执行ISO/IEC 27001 : 2005信息安全管理体系要求、ISO/IEC 17799： 2005信息安全管理实用规则，以及GB/T 22239-2008信息系统安全 等级保护基本要求，加强对信息安全管理体系运作的管理和控制，特授权 XXXX 管理XX市政务信息安全工作，并保证信息安全管理职责的独立性，履行以下职 责：?负责建立、修改、完善、持续改进和实施 XX市政务信息安全管理体系;?负责向XXXX主任报告信息安全管理体系的实施情况，提出信息安全管理 体系改进建议，作为管理评审和信息安全管理体系改进的基础3、；?负责向XXXX各级政府部门全体人员宣传信息安全的重要性，负责信息安 全教育、培训，不断提高全体人员的信息安全意识；?负责XXXX信息安全管理体系对外联络工作。（三）信息安全要求1.具体阐述如下：（1）在XXXX信息安全协调小组的领导下，全面贯彻国家和 XX市关于信息 安全工作的相关指导性文件精神，在 XXXX内建立可持续改进的信息安全管理体 系。（2）全员参与信息安全管理体系建设，落实信息安全管理责任制，建立和 完善各项信息安全管理制度，使得信息安全管理有章可循。（3）通过定期地信息安全宣传、教育与培训，不断提高XXXX所有人员的信 息安全意识及能力。（4）推行预防为主的信息安全积极防御理4、念，同时对所发生的信息安全事 件进行快速、有序地响应。（5）贯彻风险管理的理念，定期对“门户网站”等重要信息系统进行风险 评估和控制，将信息安全风险控制在可接受的水平。（6）按照PDCA精神，持续改进XXXX信息安全各项工作，保障XXXX电子政 务外网安全畅通与可控，保障所开发和维护信息系统的安全稳定，为 XXXX所有 企业和社会公众提供安全可靠的电子政务服务。2信息安全总体要求（1）建立XXXX信息化资产（软件、硬件、数据库等）目录（2）“门户网站”信息系统，按照等级保护要求进行建设和运维。各单位自 建的网络、网站和信息系统参照执行。（3）编制完成XXXX网络和信息安全事件总体应急预案，并组5、织应急演练。 各单位自建的网络、网站和信息系统参照执行。（4）按需开展XXXX信息安全风险评估，由第三方机构对”门户网站”开展 外部评估，各单位以自评估为主。（5）每年开展1次全区范围的信息系统安全检查（自查）。（6）每年组织2次全区范围的信息安全管理制度宣传。（培训人数比例80% 以上）。（四）信息安全管理体系组织机构图r局网络与信息安全协调小组丰1局网络与信息安全协调小组办公室-、XXXX处（信息化委员会）1安 全 管 理 员机房管理员Lj 网络管理员厂 L应 用 管 理 员主机管理员L 丿外 包 服 务 公 司（五）主要安全策略（1）建立XXXX信息安全管理组织机构，明确各 安全管理员、6、机房管理员、 网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信 息安全管理责任制，使得信息安全各项职责落实到人。（2）对XXXX言息安全管理体系进行定期地内审和管理评审， 对各项安全控 制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安 全管理体系持续的充分性、适宜性、有效性。（3） 对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。定期 对XXXX信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和 控制措施，将安全风险控制在可接受的水平。 风险评估至少每年一次，在信息系 统发生重大改变后，也应进行风险评估。（4）XXXX电子政务7、信息系统分等级保护。按照国家等级保护有关要求，对 XXXXW息系统及信息确定安全等级，并根据不同的安全等级实施分等级保护。（5）规范XXXX言息资产（包括硬件、软件、服务等）管理流程，建立信息 资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记， 实现对信息资产购买、使用、变更、报废整个周期的安全管理。（6）加强所有人员（包括XX市各单位内部人员，以及各类外来人员）的安 全管理，明确岗位安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和 离岗时的安全控制，与敏感岗位人员签署保密协议。（7）通过正式的信息安全培训，以及网站、简报、会议、讲座等各种形式 的信息安全教育活动，不8、断加强 XXXX各单位人员的信息安全意识，提高他们的 信息安全技能。（8）保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施，确保机房物理安全。部署机房专用空调、UPS等环境保障设施，对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理，进出需登记，外来人员需由相关管理人员陪同方能访问机房。（9）加强对信息系统外包业务与外包方的管理，在与信息系统外包方签署 的服务协议中，对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施，加强外部方访问电子政务信息系统的管理， 防止外部方危害信息 系统安全。（10）对XX市各单位重要信息系统（包括基础设施、网络9、和服务器设备、 系统、应用等）应有文档化的操作和维护规程，使得各个相关人员能够采用规范 化的形式对系统进行操作，降低和避免因误操作所引发信息安全事件的可能性。（11）在XX市电子政务外网上统一部署网络防恶意代码软件，并进行恶意 代码库的统一更新，防范恶意代码、木马等恶意代码对电子政务信息系统的影响。通过强化恶意代码防范的管理措施， 如加强介质管理，严禁擅自安装软件，加强 人员安全意识教育，定期进行恶意代码检测等，提高电子政务信息系统对恶意代 码的防范能力。（12）对XX市各单位重要的信息和信息系统进行备份，并对备份介质进行 安全地保存，以及对备份数据定期进行备份测试验证， 保证各种备份信息的保10、密 性、完整性和可用性，确保所有重要信息系统和重要数据在故障、灾难后及其它 特定要求下进行可靠的恢复。（13）采用技术和管理两方面的控制措施，加强对 XX市电子政务外网的安全控制，不断提高网络的安全性和稳定性。XX市电子政务外网与互联网进行逻 辑隔离。通过实施网络访问控制等技术防范措施， 对接入进行严格审批，加强使 用安全管理，加强对各单位网络使用的安全培训和教育，确保XX市电子政务外网的安全。（14）加强信息安全日常管理，包括系统口令管理、无人值守设备管理、屏幕保护、便携机管理等，促使每位人员的日常工作符合XXXX信息安全策略和制度要求。（15）按照“仅知”原则，通过功能和技术配置，对重要信11、息系统、数据等实施访问控制。进一步推广数字证书的使用，以及安全的授权管理制度，并落实 授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管。（16）进一步重视软件开发安全。在 XXXX各电子政务信息系统立项和审批 过程中，同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全，重 点加强对软件代码安全性的管理。属于外包软件开发的，应与服务提供商签署保 密协议。系统开发完成后，应要求通过第三方安全机构对软件安全性的测评。（17）在符合国家密码管理相关规定的条件下， 合理使用密码技术和密码设 备，严格密钥生成、分发、保存等方面的安全管理，保障密码技术使用的安全性。（18）重视对I12、T服务连续性的管理，建立对各类信息安全事件的预防、预 警、响应、处置、恢复机制，编写针对电子政务外网等重要系统的应急预案，并定期进行测试和演练，在信息系统发生故障或事故时，能迅速、有序地进行应急 处置，最大限度地降低因信息系统突发事件或意外灾害给 XXXX电子政务信息系 统所带来的影响。（19） 对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新， 并对XXXX各单位信息安全管理现状与法律法规的符合性进行检查，确保各项信息安全工作符合国家信息安全相关法律法规要求。（六）适用范围本手册按照ISO/IEC 27001 : 2005信息安全管理体系要求，结合XXXX 政府信息系统的实际编制13、而成，符合ISO/IEC 27001 : 2005标准的全部要求。 本管理制度适用于XXXX的电子政务应用管理。（七）引用标准下列文件和标准通过本手册的引用，均为本手册的条文。本手册使用时所示 文件和标准均为有效版本。当引用文件和标准被修订时，使用其最新版本：? ISO/IEC 27001 : 2005信息安全管理体系要求? ISO/IEC 17799 : 2005信息安全管理实用规则? GB/T 22239-2008信息系统安全等级保护基本要求（八）信息安全管理体系（ISMS）1. 总体要求XXXX依据 ISO/IEC 27001： 2005信息安全管理体系要求，建立信息安全 管理体系，并形14、成相关的信息安全管理体系文件，由科信局局长批准发布后在XXXX范围内实施并保持，利用内部审核、管理评审、纠正和预防措施以及持续 改进的手段，确保信息安全管理体系的有效性。2. 建立和管理信息安全管理体系(1) .建立信息安全管理体系ISMS范围根据XXXX业务特点、组织机构、物理位置的不同，确定XXXX信息安全管理 体系的范围为：? XXXX的所有部门和正式工作人员；? XXXX主要负责XXXX政府信息化建设工作，负责运行、维护和管理覆盖 全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。?与XXXX业务活动相关的应用系统及其包含的全部信息资产，其中应用系统包括：”门户网站”等；信息15、资产包括：与上述业务应用系统相关的 数据、硬件、软件、服务及文档等。? XXXX的办公场所和上述业务应用系统所处机房，其中机房包括XXXX政府机房。ISMS方针根据信息安全管理的需求，确定XXXX的信息安全方针和主要信息安全策略。 信息安全方针为：?全员参与?明确责任?预防为主?快速响应?风险管控?持续改进风险评估在体系建立过程中，XXXX确定信息安全风险评估方法，对 XXXX电子政 务信息系统实施风险评估，识别电子政务信息系统所面临的风险。风险处置在风险评估后，XXXX根据风险评估的结果，确定风险处置的策略，包括：?采用风险控制措施，以降低面临的信息安全风险；?在满足信息安全方针和风险接受准16、则的前提下，有意识地、客观地接受 风险；?避免风险；?转移相关业务风险到其他方面，如：购买产品维保，运维服务外包等；XXXX根据风险处置策略，制定风险控制措施，对已识别出的风险进行分 类处理，并对残余风险进行了批准。适用性声明在风险处置活动实施后，XXX)从以下几方面准备了体系适用性声明：?从ISO/IEC 27001标准中附录A给出的控制目标和控制措施，以及选择 的理由；?当前实施的控制目标和控制措施；?对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。(2) .实施和运行信息安全管理体系XXXX在实施和运行信息安全管理体系中所开展的工作包括:?通过风险管理方法来控制电子政务信息17、系统中存在的信息安全风险，配 置资源、明确职责和优先级别，实施适当的管理措施；?实施各信息安全管理体系文件中包括的控制措施，以达到各控制目标；?测量各信息安全管理体系文件中控制措施实施的有效性，明确对测量结 果的分析和评估准则，并作为持续改进的输入；?实施培训和意识教育计划；?管理ISMS的资源；?实施能迅速检测安全事件和响应安全事故的程序，具体要求参见信息 安全事件管理办法。(3) .监视和评审信息安全管理体系XXXX将对信息安全管理体系进行监视，并定期或不定期的进行内审和管 理评审，包括：执行监视和评审程序以及其它相关措施，以达到：?迅速检测信息安全管理体系运行过程中的缺陷和弱点；?迅速识18、别潜在的和已发生的信息安全违规和事故；?确保管理者分配给各人员的信息安全活动或通过信息技术实施的信息安 全活动能如期执行；?确定信息安全措施的有效性。在内审结果、信息安全事故、有效性测量结果、所有相关方的建议和反馈的 基础上，定期进行信息安全管理评审，以判断信息安全管理体系的有效性。定期进行信息安全风险评估的评审， 以及对残余风险和已确定的可接受的风 险级别进行评审，评审时应考虑以下方面的变化：?组织机构的变化;?信息安全相关组织结构的变化;?信息技术和信息安全技术的发展和变化；?业务目标和过程的变化；?已识别出的信息安全威胁的发展和变化；?已实施信息安全控制措施的有效性；?夕卜部信息安全事件19、，如信息安全相关法律法规的变更、合同中信息安全 义务的变更和整体社会信息安全态势的变更。每年两次对信息安全管理体系进行内部审核。每年一次对信息安全管理体系进行管理评审。依据监视和评审活动的结果，对信息安全管理体系进行修改和完善。记录可能影响信息安全管理体系有效性或执行情况的措施和事件。(4) .保持和改进信息安全管理体系XXXX将根据已识别的信息安全管理体系的改进需求，选择适当的纠正措施 和预防措施，保持和持续改进信息安全管理体系，并向所有相关方沟通信息安全 措施和改进需求，并采取测量、追踪和验证措施，确保改进达到预期的目标。具 体内容参见预防与不符合纠正控制程序。3. 文件要求1) 总则信息20、安全管理体系文件包括如下内容：?信息安全管理手册与适用性声明；?支持性程序文件；?各部门依据程序文件制定的操作规程、规范和作业指导书;?信息安全管理活动相关的各种记录。2）文件控制?文件是指信息及其承载媒体，媒体可以是纸张、计算机光盘或其它电子 媒体或它们的组合。记录模板、规范、程序文件、手册、图样、报告或 标准均属于文件。?信息安全管理体系文件由文档管理员进行管理控制；由文档管理员统一 组织修订和发布。各系统的信息安全技术文档由各系统管理员自行控 制，并交文档管理员处存档。文件控制参见文件控制程序 。3）记录控制?记录是指阐明所取得的结果或提供所完成活动的证据的信息安全文件， 其作用是为信息21、安全管理体系运作提供证据。?为了满足过程的可追溯性要求和提供信息安全管理体系有效运行的客观 证据，除信息安全管理体系标准中要求必须建立的记录外，在各信息安 全程序文件中对应该产生的记录做了说明和规定。?对信息安全记录的标识、储存、防护、检索、保存期限和处置办法进行 控制。各管理员负责其职责范围内信息安全管理相关记录的编制、填写、收集、保存和归档。?信息安全管理相关记录的控制参见记录控制程序。4. 管理职责1）管理承诺在XXXX网络与信息安全协调小组领导下，XXXX通过以下几方面建立、 实施、运行、监视、评审管理体系并持续改进其有效性：?制定信息安全方针；?制定信息安全要求；?确保在信息中心内建22、立信息安全管理责任制；?向全体人员传达满足信息安全方针、信息安全要求、履行法律责任和持 续改进的重要性，使全体人员能正确理解并认真执行信息安全管理体 系；? 提供足够资源，以建立、实施、运行、监视、评审和改进信息安全管理 体系；? 建立良好的内部协调和沟通机制；?与上级政府部门及相关单位保持适当的联系；? 决定接受风险的准则和风险的可接受级别；?确保信息安全管理体系内审的执行；?确保信息安全管理评审的执行。2）管理职责?信息安全管理体系（ISMS）责任人的职责（参见授权书）；? ISMS责任人负责制定信息安全方针和目标，负责信息安全管理重大问 题的决策工作。?安全管理员负责信息安全策略的开发，23、负责开展内部信息安全维护的日 常工作，负责定期开展信息安全风险评估和风险处置，负责协助上级部 门的信息安全测评和检查等。?机房管理员负责机房的物理与环境安全管理，负责机房硬件设备的维护。?网络管理员负责电子政务外网及局域网的安全管理和维护；?系统管理员负责各业务系统（包括操作系统、中间件、应用系统）的安 全管理和维护；?文档管理员负责ISMS相关文档的归档和发布管理；?资产管理员负责XXXX所拥有信息资产的归口管理；?体系审核员负责执行XXXX信息安全内部审核，根据要求编制内部审核 实施计划，组织编制审核报告，并对审核中发现的不符合项跟踪验证。3）内部协调和沟通?确保在不同层次机构、职能部门之24、间，就信息安全管理体系的过程，包括信息安全方针、信息安全目标及完成情况，以及实施的有效性，进行 沟通，做到相互理解、相互信任，达到全员参与的效果。?与信息安全管理体系有关的各种信息沟通，可采用各种方式如0A系统、 各种会议、通报等形式来实现。4）外部联系XXXX通过与上级信息安全主管部门，以及其它政府部门保持联系，以支持：?信息安全事故管理中的响应、取证、协调等工作；?及时了解信息安全相关法律法规、政策的变化，并保持符合性。XXXX通过与国家有关信息安全机构，以及其他信息安全组织保持适当的联 系，以便：?增进对最佳实践和最新相关安全信息的了解；?确保全面了解当前的信息安全态势；?及时收集和发布25、关于攻击和脆弱性的预警、建议和补丁；?获得信息安全专家的建议；?分享和交换关于新技术、产品、威胁或脆弱性的信息；?提供处理信息安全事故时适当的联络点。5. 资源管理1）资源提供XXXX将为ISMS确定并提供以下活动所需资源：? 建立、实施、运行、监视、评审、保持和改进信息安全管理体系；?确保信息安全程序满足业务的需求；?履行法律法规要求、以及合同中的安全义务；?正确实施所有必需的信息安全控制措施2) 培训、意识和能力XXXX将通过开展各种形式的信息安全培训和教育活动，确保所有分配有 ISMS职责的人员具有一定的信息安全意识，以及执行所要求任务的能力。3) ISMS内部审核?由体系审核员编制XX26、XX的信息安全年度审核计划，报ISMS责任人批 准后实施，一般情况下内部审核每年不少于 2次。? ISMS责任人负责信息安全管理体系内部审核的组织和协调工作，体系 审核员负责具体实施，各部门配合。?每次审核前编制信息安全审核日程计划及检查表，作为现场审核依据。?体系审核员不审核自己部门的信息安全管理工作。? ISMS内部审核参见信息安全审核管理程序。?内部审核报告及纠正措施实施情况，应提交 ISMS责任人审核。4) ISMS的管理评审ISMS责任人应定期对XXXX言息安全管理体系进行评审，每年至少一次，通 常在内审结束后的1 2月内进行。当XXXX的信息安全管理体系发生重大变更和 出现重大信息27、安全事故时可以追加临时管理评审。体系审核员根据内部审核的结果以及其它各项信息安全管理的要求，组织各 部门准备管理评审的材料，主要包括：?内审的结果；?信息安全方针、信息安全目标、风险控制措施的实施情况；?信息安全事故调查处理情况；?信息安全整改/改进措施实施情况；?相关方信息安全方面的投诉、建议及其要求；?信息安全法规及其他要求符合性报告;?关于XXXXISMS信息安全管理体系总体运行情况的报告；来自各职能 部门关于局部有效性的报告；?可能引起信息安全管理体系变化的组织内外部要素，如法律、法规的变化、机构人员的调整，IT架构的变化等；?其它信息安全改进建议。5) 评审结果主要包括：? 对XXX28、X信息安全管理体系的适宜性、充分性和有效性的结论；?信息安全管理组织机构是否需要调整，信息安全管理体系及其要素是否需要改进；?信息安全管理体系文件需要进行的修改；?资源需求；?信息安全方针、目标和控制措施的适宜性，需要进行的修改；?相应的信息安全整改/改进措施要求。6) ISMS改进体系审核员负责根据信息安全内部审核、数据分析、纠正和预防措施、管理 评审等的结果，积极寻找持续改进的机会，确定需要改进的方面，进行日常的信 息安全改进和重大改进工作；对信息安全预防和纠正措施实施情况进行统计分 析，并纳入管理评审。具体的改进内容参见预防与不符合纠正控制程序。6. 纠正措施?对于出现的信息安全不合格项29、，由体系审核员填写预防和纠正措施处 理单中相应内容，确定责任部门；由责任部门填写“原因分析”栏， 制定纠正措施并实施。?体系审核员负责跟踪验证信息安全纠正措施的有效性，确认活动按计划 实施且达到预期效果。对无效措施有权要求采取新的纠正措施，直至效 果明显为止。7. 预防与纠正措施?体系审核员负责对XXXX信息安全管理的日常活动过程、审核结果、记 录、风险评估报告、信息安全事故等信息，组织统计分析，发现潜在不 合格并分析原因，针对相关责任部门提出预防与纠正措施要求。?体系审核员负责组织相关人员定期分析各种反映 XXXX信息安全发展 趋势的信息，评价采取预防与纠正措施的需求。?体系审核员对确定的预防与纠正措施，应及时组织实施。?预防与纠正措施由相关责任部门负责制定并实施。措施应明确其内容、 所需资源和职责等，所采取的预防与纠正措施需报体系审核员审核批 准。?体系审核员负责组织验证预防与纠正措施的有效性。