信息安全管理手冊

信息安全管理手冊公布闡明為了貫徹國家及XX市網(wǎng)絡(luò)信息安全及等級保護(hù)的有關(guān)政策，貫徹信息安全管理體系原則，提高XXXX信息安全管理水平，維護(hù)XXXX電子政務(wù)信息系統(tǒng)安全穩(wěn)定可控，實(shí)現(xiàn)業(yè)務(wù)信息和系統(tǒng)服務(wù)的安全保護(hù)等級，按照ISO/IEC27001：《信息安全管理體系規(guī)定》、ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》，以及GB/T22239-《信息系統(tǒng)安全等級保護(hù)基本規(guī)定》，編制完畢了XXXX信息安全管理體系文獻(xiàn)，現(xiàn)予以同意頒布實(shí)施。信息安全管理手冊是大綱性文獻(xiàn)，是指導(dǎo)XXXX等各級政府部門建立并實(shí)施信息安全管理體系的行動準(zhǔn)則，全體人員必須遵照執(zhí)行。信息安全管理手冊于公布之日起正式實(shí)施。XXXX局長_________________年月日授權(quán)書為了貫徹執(zhí)行ISO/IEC27001：《信息安全管理體系規(guī)定》、ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》，以及GB/T22239-《信息系統(tǒng)安全等級保護(hù)基本規(guī)定》，加強(qiáng)對信息安全管理體系運(yùn)作的管理和控制，特授權(quán)XXXX管理XX市政務(wù)信息安全工作，并確保信息安全管理職責(zé)的獨(dú)立性，推行下列職責(zé)：負(fù)責(zé)建立、修改、完善、持續(xù)改善和實(shí)施XX市政務(wù)信息安全管理體系；負(fù)責(zé)向XXXX主任報(bào)告信息安全管理體系的實(shí)施狀況，提出信息安全管理體系改善建議，作為管理評審和信息安全管理體系改善的基礎(chǔ)；負(fù)責(zé)向XXXX各級政府部門全體人員宣傳信息安全的重要性，負(fù)責(zé)信息安全教育、培訓(xùn)，不停提高全體人員的信息安全意識；負(fù)責(zé)XXXX信息安全管理體系對外聯(lián)系工作。信息安全規(guī)定具體敘述以下：（1）在XXXX信息安全協(xié)調(diào)小組的領(lǐng)導(dǎo)下，全方面貫徹國家和XX市有關(guān)信息安全工作的有關(guān)指導(dǎo)性文獻(xiàn)精神，在XXXX內(nèi)建立可持續(xù)改善的信息安全管理體系。（2）全員參及信息安全管理體系建設(shè)，貫徹信息安全管理責(zé)任制，建立和完善各項(xiàng)信息安全管理制度，使得信息安全管理有章可循。（3）通過定時地信息安全宣傳、教育及培訓(xùn)，不停提高XXXX全部人員的信息安全意識及能力。（4）推行防止為主的信息安全主動防御理念，同時對所發(fā)生的信息安全事件進(jìn)行快速、有序地響應(yīng)。（5）貫徹風(fēng)險管理的理念，定時對“門戶網(wǎng)站”等重要信息系統(tǒng)進(jìn)行風(fēng)險評定和控制，將信息安全風(fēng)險控制在可接受的水平。（6）按照PDCA精神，持續(xù)改善XXXX信息安全各項(xiàng)工作，保障XXXX電子政務(wù)外網(wǎng)安全暢通及可控，保障所開發(fā)和維護(hù)信息系統(tǒng)的安全穩(wěn)定，為XXXX全部公司和社會公眾提供安全可靠的電子政務(wù)服務(wù)。信息安全總體規(guī)定（1）建立XXXX信息化資產(chǎn)（軟件、硬件、數(shù)據(jù)庫等）目錄。（2）“門戶網(wǎng)站”信息系統(tǒng)，按照等級保護(hù)規(guī)定進(jìn)行建設(shè)和運(yùn)維。各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參考執(zhí)行。（3）編制完畢XXXX網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案，并組織應(yīng)急演習(xí)。各單位自建的網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參考執(zhí)行。（4）按需開展XXXX信息安全風(fēng)險評定，由第三方機(jī)構(gòu)對”門戶網(wǎng)站”開展外部評定，各單位以自評定為主。（5）每年開展1次全區(qū)范疇的信息系統(tǒng)安全檢查（自查）。（6）每年組織2次全區(qū)范疇的信息安全管理制度宣傳。（培訓(xùn)人數(shù)比例80％以上）。局網(wǎng)絡(luò)及信息安全協(xié)調(diào)小組信息安全管理體系組織機(jī)構(gòu)圖局網(wǎng)絡(luò)及信息安全協(xié)調(diào)小組局網(wǎng)絡(luò)及信息安全協(xié)調(diào)小組辦公室局網(wǎng)絡(luò)及信息安全協(xié)調(diào)小組辦公室XXXX處（信息化委員會）網(wǎng)絡(luò)管理員機(jī)房管理員安全管理員主機(jī)管理員應(yīng)用管理員外包服務(wù)公司XXXX處（信息化委員會）網(wǎng)絡(luò)管理員機(jī)房管理員安全管理員主機(jī)管理員應(yīng)用管理員外包服務(wù)公司重要安全方略（1）建立XXXX信息安全管理組織機(jī)構(gòu)，明確各安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理有關(guān)崗位及職責(zé)，建立健全信息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)貫徹到人。（2）對XXXX信息安全管理體系進(jìn)行定時地內(nèi)審和管理評審，對各項(xiàng)安全控制方法實(shí)施后的有效性進(jìn)行測量，并實(shí)施對應(yīng)的糾正和防止方法，以確保信息安全管理體系持續(xù)的充足性、適宜性、有效性。（3）對XXXX信息系統(tǒng)中所存在的安全風(fēng)險進(jìn)行有計(jì)劃的評定和管理。定時對XXXX信息系統(tǒng)實(shí)施信息安全風(fēng)險評定，根據(jù)評定成果選擇適宜的安全方略和控制方法，將安全風(fēng)險控制在可接受的水平。風(fēng)險評定最少每年一次，在信息系統(tǒng)發(fā)生重大變化后，也應(yīng)進(jìn)行風(fēng)險評定。（4）XXXX電子政務(wù)信息系統(tǒng)分等級保護(hù)。按照國家等級保護(hù)有關(guān)規(guī)定，對XXXX信息系統(tǒng)及信息擬定安全等級，并根據(jù)不同的安全等級實(shí)施分等級保護(hù)。（5）規(guī)范XXXX信息資產(chǎn)（涉及硬件、軟件、服務(wù)等）管理流程，建立信息資產(chǎn)管理臺帳，明確資產(chǎn)全部者、使用者及維護(hù)者，對全部信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對信息資產(chǎn)購置、使用、變更、報(bào)廢整個周期的安全管理。（6）加強(qiáng)全部人員（涉及XX市各單位內(nèi)部人員，以及各類外來人員）的安全管理，明確崗位安全職責(zé)，制訂針對違規(guī)的懲戒方法，貫徹人員聘任、在崗和離崗時的安全控制，及敏感崗位人員訂立保密合同。（7）通過正式的信息安全培訓(xùn)，以及網(wǎng)站、簡報(bào)、會議、講座等多個形式的信息安全教育活動，不停加強(qiáng)XXXX各單位人員的信息安全意識，提高他們的信息安全技能。（8）保障機(jī)房物理及環(huán)境安全。實(shí)施涉及門禁、視頻監(jiān)控、報(bào)警等安全防備方法，確保機(jī)房物理安全。布署機(jī)房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對機(jī)房設(shè)施運(yùn)轉(zhuǎn)狀況進(jìn)行定時巡檢和維護(hù)。嚴(yán)格對機(jī)房人員和設(shè)備的出入管理，進(jìn)出需登記，外來人員需由有關(guān)管理人員陪伴方能訪問機(jī)房。（9）加強(qiáng)對信息系統(tǒng)外包業(yè)務(wù)及外包方的管理，在及信息系統(tǒng)外包方訂立的服務(wù)合同中，對信息系統(tǒng)安全加以規(guī)定。通過審批、訪問控制、監(jiān)控、訂立保密合同等方法，加強(qiáng)外部方訪問電子政務(wù)信息系統(tǒng)的管理，避免外部方危害信息系統(tǒng)安全。（10）對XX市各單位重要信息系統(tǒng)（涉及基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等）應(yīng)有文檔化的操作和維護(hù)規(guī)程，使得各個有關(guān)人員能夠采用規(guī)范化的形式對系統(tǒng)進(jìn)行操作，減少和避免因誤操作所引發(fā)信息安全事件的可能性。（11）在XX市電子政務(wù)外網(wǎng)上統(tǒng)一布署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意代碼庫的統(tǒng)一更新，防備惡意代碼、木馬等惡意代碼對電子政務(wù)信息系統(tǒng)的影響。通過強(qiáng)化惡意代碼防備的管理方法，如加強(qiáng)介質(zhì)管理，嚴(yán)禁私自安裝軟件，加強(qiáng)人員安全意識教育，定時進(jìn)行惡意代碼檢測等，提高電子政務(wù)信息系統(tǒng)對惡意代碼的防備能力。（12）對XX市各單位重要的信息和信息系統(tǒng)進(jìn)行備份，并對備份介質(zhì)進(jìn)行安全地保存，以及對備份數(shù)據(jù)定時進(jìn)行備份測實(shí)驗(yàn)證，確保多個備份信息的保密性、完整性和可用性，確保全部重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定規(guī)定下進(jìn)行可靠的恢復(fù)。（13）采用技術(shù)和管理兩方面的控制方法，加強(qiáng)對XX市電子政務(wù)外網(wǎng)的安全控制，不停提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。XX市電子政務(wù)外網(wǎng)及互聯(lián)網(wǎng)進(jìn)行邏輯隔離。通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防備方法，對接入進(jìn)行嚴(yán)格審批，加強(qiáng)使用安全管理，加強(qiáng)對各單位網(wǎng)絡(luò)使用的安全培訓(xùn)和教育，確保XX市電子政務(wù)外網(wǎng)的安全。（14）加強(qiáng)信息安全日常管理，涉及系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合XXXX信息安全方略和制度規(guī)定。（15）按照“僅知”原則，通過功效和技術(shù)配備，對重要信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問控制。進(jìn)一步推廣數(shù)字證書的使用，以及安全的授權(quán)管理制度，并貫徹授權(quán)負(fù)責(zé)人。對系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管。（16）進(jìn)一步重視軟件開發(fā)安全。在XXXX各電子政務(wù)信息系統(tǒng)立項(xiàng)和審批過程中，同時考慮信息安全需求和目的。應(yīng)確保系統(tǒng)設(shè)計(jì)、開發(fā)過程的安全，重點(diǎn)加強(qiáng)對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)及服務(wù)提供商訂立保密合同。系統(tǒng)開發(fā)完畢后，應(yīng)規(guī)定通過第三方安全機(jī)構(gòu)對軟件安全性的測評。（17）在符合國家密碼管理有關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性。（18）重視對IT服務(wù)持續(xù)性的管理，建立對各類信息安全事件的防止、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫針對電子政務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定時進(jìn)行測試和演習(xí)，在信息系統(tǒng)發(fā)生故障或事故時，能快速、有序地進(jìn)行應(yīng)急處置，最大程度地減少因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給XXXX電子政務(wù)信息系統(tǒng)所帶來的影響。（19）對所合用的國家信息安全有關(guān)法律法規(guī)進(jìn)行定時的識別、統(tǒng)計(jì)和更新，并對XXXX各單位信息安全管理現(xiàn)狀及法律法規(guī)的符合性進(jìn)行檢查，確保各項(xiàng)信息安全工作符合國家信息安全有關(guān)法律法規(guī)規(guī)定。合用范疇本手冊按照ISO/IEC27001：《信息安全管理體系規(guī)定》，結(jié)合XXXX政府信息系統(tǒng)的實(shí)際編制而成，符合ISO/IEC27001：原則的全部規(guī)定。。本管理制度合用于XXXX的電子政務(wù)應(yīng)用管理。引用原則下列文獻(xiàn)和原則通過本手冊的引用，均為本手冊的條文。本手冊使用時所示文獻(xiàn)和原則均為有效版本。當(dāng)引用文獻(xiàn)和原則被修訂時，使用其最新版本:ISO/IEC27001：《信息安全管理體系規(guī)定》ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》GB/T22239-《信息系統(tǒng)安全等級保護(hù)基本規(guī)定》信息安全管理體系（ISMS）總體規(guī)定XXXX根據(jù)ISO/IEC27001：《信息安全管理體系規(guī)定》，建立信息安全管理體系，并形成有關(guān)的信息安全管理體系文獻(xiàn)，由科信局局長同意公布后在XXXX范疇內(nèi)實(shí)施并保持，運(yùn)用內(nèi)部審核、管理評審、糾正和防止方法以及持續(xù)改善的手段，確保信息安全管理體系的有效性。建立和管理信息安全管理體系建立信息安全管理體系ISMS范疇根據(jù)XXXX業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置的不同，擬定XXXX信息安全管理體系的范疇為：XXXX的全部部門和正式工作人員；XXXX重要負(fù)責(zé)XXXX政府信息化建設(shè)工作，負(fù)責(zé)運(yùn)行、維護(hù)和管理覆蓋全區(qū)的電子政務(wù)專網(wǎng)、資源平臺和多個重要電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)。及XXXX業(yè)務(wù)活動有關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)涉及：”門戶網(wǎng)站”等；信息資產(chǎn)涉及：及上述業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。XXXX的辦公場合和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房涉及XXXX政府機(jī)房。ISMS方針根據(jù)信息安全管理的需求，擬定XXXX的信息安全方針和重要信息安全方略。信息安全方針為：全員參及明確責(zé)任防止為主快速響應(yīng)風(fēng)險管控持續(xù)改善風(fēng)險評定在體系建立過程中，XXXX擬定信息安全風(fēng)險評定辦法，對XXXX電子政務(wù)信息系統(tǒng)實(shí)施風(fēng)險評定，識別電子政務(wù)信息系統(tǒng)所面臨的風(fēng)險。風(fēng)險處置在風(fēng)險評定后，XXXX根據(jù)風(fēng)險評定的成果，擬定風(fēng)險處置的方略，涉及：采用風(fēng)險控制方法，以減少面臨的信息安全風(fēng)險；在滿足信息安全方針和風(fēng)險接受準(zhǔn)則的前提下，故意識地、客觀地接受風(fēng)險；避免風(fēng)險；轉(zhuǎn)移有關(guān)業(yè)務(wù)風(fēng)險到其它方面，如：購置產(chǎn)品維保，運(yùn)維服務(wù)外包等；XXXX根據(jù)風(fēng)險處置方略，制訂風(fēng)險控制方法，對已識別出的風(fēng)險進(jìn)行分類解決，并對殘存風(fēng)險進(jìn)行了同意。合用性聲明在風(fēng)險處置活動實(shí)施后，XXXX從下列幾方面準(zhǔn)備了體系合用性聲明：從ISO/IEC27001原則中附錄A給出的控制目的和控制方法，以及選擇的理由；現(xiàn)在實(shí)施的控制目的和控制方法；對附錄A中任何控制目的和控制方法的刪減，以及刪減的合理性闡明。實(shí)施和運(yùn)行信息安全管理體系XXXX在實(shí)施和運(yùn)行信息安全管理體系中所開展的工作涉及：通過風(fēng)險管理辦法來控制電子政務(wù)信息系統(tǒng)中存在的信息安全風(fēng)險，配備資源、明確職責(zé)和優(yōu)先級別，實(shí)施適宜的管理方法；實(shí)施各信息安全管理體系文獻(xiàn)中涉及的控制方法，以達(dá)成各控制目的；測量各信息安全管理體系文獻(xiàn)中控制方法實(shí)施的有效性，明確對測量成果的分析和評定準(zhǔn)則，并作為持續(xù)改善的輸入；實(shí)施培訓(xùn)和意識教育計(jì)劃；管理ISMS的資源；實(shí)施能快速檢測安全事件和響應(yīng)安全事故的程序，具體規(guī)定參見《信息安全事件管理方法》。監(jiān)視和評審信息安全管理體系XXXX將對信息安全管理體系進(jìn)行監(jiān)視，并定時或不定時的進(jìn)行內(nèi)審和管理評審，涉及：執(zhí)行監(jiān)視和評審程序以及其它有關(guān)方法，以達(dá)成：快速檢測信息安全管理體系運(yùn)行過程中的缺點(diǎn)和弱點(diǎn)；快速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；確保管理者分派給各人員的信息安全活動或通過信息技術(shù)實(shí)施的信息安全活動能如期執(zhí)行；擬定信息安全方法的有效性。在內(nèi)審成果、信息安全事故、有效性測量成果、全部有關(guān)方的建議和反饋的基礎(chǔ)上，定時進(jìn)行信息安全管理評審，以判斷信息安全管理體系的有效性。定時進(jìn)行信息安全風(fēng)險評定的評審，以及對殘存風(fēng)險和已擬定的可接受的風(fēng)險級別進(jìn)行評審，評審時應(yīng)考慮下列方面的變化：組織機(jī)構(gòu)的變化；信息安全有關(guān)組織構(gòu)造的變化；信息技術(shù)和信息安全技術(shù)的發(fā)展和變化；業(yè)務(wù)目的和過程的變化；已識別出的信息安全威脅的發(fā)展和變化；已實(shí)施信息安全控制方法的有效性；外部信息安全事件，如信息安全有關(guān)法律法規(guī)的變更、合同中信息安全義務(wù)的變更和整體社會信息安全態(tài)勢的變更。每年兩次對信息安全管理體系進(jìn)行內(nèi)部審核。每年一次對信息安全管理體系進(jìn)行管理評審。根據(jù)監(jiān)視和評審活動的成果，對信息安全管理體系進(jìn)行修改和完善。統(tǒng)計(jì)可能影響信息安全管理體系有效性或執(zhí)行狀況的方法和事件。保持和改善信息安全管理體系XXXX將根據(jù)已識別的信息安全管理體系的改善需求，選擇適宜的糾正方法和防止方法，保持和持續(xù)改善信息安全管理體系，并向全部有關(guān)方溝通信息安全方法和改善需求，并采用測量、追蹤和驗(yàn)證方法，確保改善達(dá)成預(yù)期的目的。具體內(nèi)容參見《防止及不符合糾正控制程序》。文獻(xiàn)規(guī)定總則信息安全管理體系文獻(xiàn)涉及以下內(nèi)容：信息安全管理手冊及合用性聲明；支持性程序文獻(xiàn)；各部門根據(jù)程序文獻(xiàn)制訂的操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書；信息安全管理活動有關(guān)的多個統(tǒng)計(jì)。文獻(xiàn)控制文獻(xiàn)是指信息及其承載媒體，媒體能夠是紙張、計(jì)算機(jī)光盤或其它電子媒體或它們的組合。統(tǒng)計(jì)模板、規(guī)范、程序文獻(xiàn)、手冊、圖樣、報(bào)告或原則均屬于文獻(xiàn)。信息安全管理體系文獻(xiàn)由文檔管理員進(jìn)行管理控制；由文檔管理員統(tǒng)一組織修訂和公布。各系統(tǒng)的信息安全技術(shù)文檔由各系統(tǒng)管理員自行控制，并交文檔管理員處存檔。文獻(xiàn)控制參見《文獻(xiàn)控制程序》。統(tǒng)計(jì)控制統(tǒng)計(jì)是指闡明所獲得的成果或提供所完畢活動的證據(jù)的信息安全文獻(xiàn)，其作用是為信息安全管理體系運(yùn)作提供證據(jù)。為了滿足過程的可追溯性規(guī)定和提供信息安全管理體系有效運(yùn)行的客觀證據(jù)，除信息安全管理體系原則中規(guī)定必須建立的統(tǒng)計(jì)外，在各信息安全程序文獻(xiàn)中對應(yīng)當(dāng)產(chǎn)生的統(tǒng)計(jì)做了闡明和規(guī)定。對信息安全統(tǒng)計(jì)的標(biāo)記、儲存、防護(hù)、檢索、保存期限和處置方法進(jìn)行控制。各管理員負(fù)責(zé)其職責(zé)范疇內(nèi)信息安全管理有關(guān)統(tǒng)計(jì)的編制、填寫、收集、保存和歸檔。信息安全管理有關(guān)統(tǒng)計(jì)的控制參見《統(tǒng)計(jì)控制程序》。管理職責(zé)管理承諾在XXXX網(wǎng)絡(luò)及信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下，XXXX通過下列幾方面建立、實(shí)施、運(yùn)行、監(jiān)視、評審管理體系并持續(xù)改善其有效性：制訂信息安全方針；制訂信息安全規(guī)定；確保在內(nèi)建立信息安全管理責(zé)任制；向全體人員傳達(dá)滿足信息安全方針、信息安全規(guī)定、推行法律責(zé)任和持續(xù)改善的重要性，使全體人員能對的理解并認(rèn)真執(zhí)行信息安全管理體系；提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評審和改善信息安全管理體系；建立良好的內(nèi)部協(xié)調(diào)和溝通機(jī)制；及上級政府部門及有關(guān)單位保持適宜的聯(lián)系；決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別；確保信息安全管理體系內(nèi)審的執(zhí)行；確保信息安全管理評審的執(zhí)行。管理職責(zé)信息安全管理體系（ISMS）負(fù)責(zé)人的職責(zé)（參見授權(quán)書）；ISMS負(fù)責(zé)人負(fù)責(zé)制訂信息安全方針和目的，負(fù)責(zé)信息安全管理重大問題的決策工作。安全管理員負(fù)責(zé)信息安全方略的開發(fā)，負(fù)責(zé)開展內(nèi)部信息安全維護(hù)的日常工作，負(fù)責(zé)定時開展信息安全風(fēng)險評定和風(fēng)險處置，負(fù)責(zé)協(xié)助上級部門的信息安全測評和檢查等。機(jī)房管理員負(fù)責(zé)機(jī)房的物理及環(huán)境安全管理，負(fù)責(zé)機(jī)房硬件設(shè)備的維護(hù)。網(wǎng)絡(luò)管理員負(fù)責(zé)電子政務(wù)外網(wǎng)及局域網(wǎng)的安全管理和維護(hù)；系統(tǒng)管理員負(fù)責(zé)各業(yè)務(wù)系統(tǒng)（涉及操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)）的安全管理和維護(hù)；文檔管理員負(fù)責(zé)ISMS有關(guān)文檔的歸檔和公布管理；資產(chǎn)管理員負(fù)責(zé)XXXX所擁有信息資產(chǎn)的歸口管理；體系審核員負(fù)責(zé)執(zhí)行XXXX信息安全內(nèi)部審核，根據(jù)規(guī)定編制內(nèi)部審核算施計(jì)劃，組織編制審核報(bào)告，并對審核中發(fā)現(xiàn)的不符合項(xiàng)跟蹤驗(yàn)證。內(nèi)部協(xié)調(diào)和溝通確保在不同層次機(jī)構(gòu)、職能部門之間，就信息安全管理體系的過程，涉及信息安全方針、信息安全目的及完畢狀況，以及實(shí)施的有效性，進(jìn)行溝通，做到互相理解、互相信任，達(dá)成全員參及的效果。及信息安全管理體系有關(guān)的多個信息溝通，可采用多個方式如OA系統(tǒng)、多個會議、通報(bào)等形式來實(shí)現(xiàn)。外部聯(lián)系XXXX通過及上級信息安全主管部門，以及其它政府部門保持聯(lián)系，以支持：信息安全事故管理中的響應(yīng)、取證、協(xié)調(diào)等工作；及時理解信息安全有關(guān)法律法規(guī)、政策的變化，并保持符合性。XXXX通過及國家有關(guān)信息安全機(jī)構(gòu)，以及其它信息安全組織保持適宜的聯(lián)系，方便：增進(jìn)對最佳實(shí)踐和最新有關(guān)安全信息的理解；確保全方面理解現(xiàn)在的信息安全態(tài)勢；及時收集和公布有關(guān)攻擊和脆弱性的預(yù)警、建議和補(bǔ)丁；獲得信息安全專家的建議；分享和交換有關(guān)新技術(shù)、產(chǎn)品、威脅或脆弱性的信息；提供解決信息安全事故時適宜的聯(lián)系點(diǎn)。資源管理資源提供XXXX將為ISMS擬定并提供下列活動所需資源：建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改善信息安全管理體系；確保信息安全程序滿足業(yè)務(wù)的需求；推行法律法規(guī)規(guī)定、以及合同中的安全義務(wù)；對的實(shí)施全部必需的信息安全控制方法。培訓(xùn)、意識和能力XXXX將通過開展多個形式的信息安全培訓(xùn)和教育活動，確保全部分派有ISMS職責(zé)的人員含有一定的信息安全意識，以及執(zhí)行所規(guī)定任務(wù)的能力。ISMS內(nèi)部審核由體系審核員編制XXXX的信息安全年度審核計(jì)劃，報(bào)ISMS負(fù)責(zé)人同意后實(shí)施，普通狀況下內(nèi)部審核每年不少于2次。ISMS負(fù)責(zé)人負(fù)責(zé)信息安全管理體系內(nèi)部審核的組織和協(xié)調(diào)工作，體系審核員負(fù)責(zé)具體實(shí)施，各部門配合。每次審核前編制信息安全審核日程計(jì)劃及檢查表，作為現(xiàn)場審核根據(jù)。體系審核員不審核自己部門的信息安全管理工作。ISMS內(nèi)部審核參見《信息安全審核管理程序》。內(nèi)部審核報(bào)告及糾正方法實(shí)施狀況，應(yīng)提交ISMS負(fù)責(zé)人審核。ISMS的管理評審ISMS負(fù)責(zé)人應(yīng)定時對XXXX信息安全管理體系進(jìn)行評審，每年最少一次，普通在內(nèi)審結(jié)束后的1－2月內(nèi)進(jìn)行。當(dāng)XXXX的信息安全管理體系發(fā)生重大變更和出現(xiàn)重大信息安全事故時能夠追加臨時管理評審。體系審核員根據(jù)內(nèi)部審核的成果以及其它各項(xiàng)信息安全管理的規(guī)定，組織各部門準(zhǔn)備管理評審的材料，重要涉及：內(nèi)審的成果；信息安全方針、信息安全目的、風(fēng)險控制方法的實(shí)施狀況；信息安全事故調(diào)查解決狀