信息安全管理基礎(chǔ)手冊(cè)

信息安全管理手冊(cè)公布說(shuō)明為了落實(shí)國(guó)家和XX市網(wǎng)絡(luò)信息安全和等級(jí)保護(hù)相關(guān)政策，落實(shí)信息安全管理體系標(biāo)準(zhǔn)，提升XXXX信息安全管理水平，維護(hù)XXXX電子政務(wù)信息系統(tǒng)安全穩(wěn)定可控，實(shí)現(xiàn)業(yè)務(wù)信息和系統(tǒng)服務(wù)安全保護(hù)等級(jí)，根據(jù)ISO/IEC27001：《信息安全管理體系要求》、ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》，和GB/T22239-《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》，編制完成了XXXX信息安全管理體系文件，現(xiàn)給予同意頒布實(shí)施。信息安全管理手冊(cè)是綱領(lǐng)性文件，是指導(dǎo)XXXX等各級(jí)政府部門(mén)建立并實(shí)施信息安全管理體系行動(dòng)準(zhǔn)則，全體人員必需遵照實(shí)施。信息安全管理手冊(cè)于公布之日起正式實(shí)施。XXXX局長(zhǎng)_________________年月日授權(quán)書(shū)為了落實(shí)實(shí)施ISO/IEC27001：《信息安全管理體系要求》、ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》，和GB/T22239-《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》，加強(qiáng)對(duì)信息安全管理體系運(yùn)作管理和控制，特授權(quán)XXXX管理XX市政務(wù)信息安全工作，并確保信息安全管理職責(zé)獨(dú)立性，推行以下職責(zé)：負(fù)責(zé)建立、修改、完善、連續(xù)改善和實(shí)施XX市政務(wù)信息安全管理體系；負(fù)責(zé)向XXXX主任匯報(bào)信息安全管理體系實(shí)施情況，提出信息安全管理體系改善提議，作為管理評(píng)審和信息安全管理體系改善基礎(chǔ)；負(fù)責(zé)向XXXX各級(jí)政府部門(mén)全體人員宣傳信息安全關(guān)鍵性，負(fù)責(zé)信息安全教育、培訓(xùn)，不停提升全體人員信息安全意識(shí)；負(fù)責(zé)XXXX信息安全管理體系對(duì)外聯(lián)絡(luò)工作。信息安全要求具體敘述以下：（1）在XXXX信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下，全方面落實(shí)國(guó)家和XX市相關(guān)信息安全工作相關(guān)指導(dǎo)性文件精神，在XXXX內(nèi)建立可連續(xù)改善信息安全管理體系。（2）全員參與信息安全管理體系建設(shè)，落實(shí)信息安全管理責(zé)任制，建立和完善各項(xiàng)信息安全管理制度，使得信息安全管理有章可循。（3）經(jīng)過(guò)定時(shí)地信息安全宣傳、教育和培訓(xùn)，不停提升XXXX全部些人員信息安全意識(shí)及能力。（4）推行預(yù)防為主信息安全主動(dòng)防御理念，同時(shí)對(duì)所發(fā)生信息安全事件進(jìn)行快速、有序地響應(yīng)。（5）落實(shí)風(fēng)險(xiǎn)管理理念，定時(shí)對(duì)“門(mén)戶(hù)網(wǎng)站”等關(guān)鍵信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)定和控制，將信息安全風(fēng)險(xiǎn)控制在可接收水平。（6）根據(jù)PDCA精神，連續(xù)改善XXXX信息安全各項(xiàng)工作，保障XXXX電子政務(wù)外網(wǎng)安全通暢和可控，保障所開(kāi)發(fā)和維護(hù)信息系統(tǒng)安全穩(wěn)定，為XXXX全部企業(yè)和社會(huì)公眾提供安全可靠電子政務(wù)服務(wù)。信息安全總體要求（1）建立XXXX信息化資產(chǎn)（軟件、硬件、數(shù)據(jù)庫(kù)等）目錄。（2）“門(mén)戶(hù)網(wǎng)站”信息系統(tǒng)，根據(jù)等級(jí)保護(hù)要求進(jìn)行建設(shè)和運(yùn)維。各單位自建網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參考實(shí)施。（3）編制完成XXXX網(wǎng)絡(luò)和信息安全事件總體應(yīng)急預(yù)案，并組織應(yīng)急演練。各單位自建網(wǎng)絡(luò)、網(wǎng)站和信息系統(tǒng)參考實(shí)施。（4）按需開(kāi)展XXXX信息安全風(fēng)險(xiǎn)評(píng)定，由第三方機(jī)構(gòu)對(duì)”門(mén)戶(hù)網(wǎng)站”開(kāi)展外部評(píng)定，各單位以自評(píng)定為主。（5）每十二個(gè)月開(kāi)展1次全區(qū)范圍信息系統(tǒng)安全檢驗(yàn)（自查）。（6）每十二個(gè)月組織2次全區(qū)范圍信息安全管理制度宣傳。（培訓(xùn)人數(shù)百分比80％以上）。局網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組信息安全管理體系組織機(jī)構(gòu)圖局網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組局網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組辦公室局網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組辦公室XXXX處（信息化委員會(huì)）網(wǎng)絡(luò)管理員機(jī)房管理員安全管理員主機(jī)管理員應(yīng)用管理員外包服務(wù)企業(yè)XXXX處（信息化委員會(huì)）網(wǎng)絡(luò)管理員機(jī)房管理員安全管理員主機(jī)管理員應(yīng)用管理員外包服務(wù)企業(yè)關(guān)鍵安全策略（1）建立XXXX信息安全管理組織機(jī)構(gòu)，明確各安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理相關(guān)崗位及職責(zé)，建立健全信息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)落實(shí)到人。（2）對(duì)XXXX信息安全管理體系進(jìn)行定時(shí)地內(nèi)審和管理評(píng)審，對(duì)各項(xiàng)安全控制方法實(shí)施后有效性進(jìn)行測(cè)量，并實(shí)施對(duì)應(yīng)糾正和預(yù)防方法，以確保信息安全管理體系連續(xù)充足性、適宜性、有效性。（3）對(duì)XXXX信息系統(tǒng)中所存在安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃評(píng)定和管理。定時(shí)對(duì)XXXX信息系統(tǒng)實(shí)施信息安全風(fēng)險(xiǎn)評(píng)定，依據(jù)評(píng)定結(jié)果選擇合適安全策略和控制方法，將安全風(fēng)險(xiǎn)控制在可接收水平。風(fēng)險(xiǎn)評(píng)定最少每十二個(gè)月一次，在信息系統(tǒng)發(fā)生重大改變后，也應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)定。（4）XXXX電子政務(wù)信息系統(tǒng)分等級(jí)保護(hù)。根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)要求，對(duì)XXXX信息系統(tǒng)及信息確定安全等級(jí)，并依據(jù)不一樣安全等級(jí)實(shí)施分等級(jí)保護(hù)。（5）規(guī)范XXXX信息資產(chǎn)（包含硬件、軟件、服務(wù)等）管理步驟，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)全部者、使用者和維護(hù)者，對(duì)全部信息資產(chǎn)進(jìn)行標(biāo)識(shí)，實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)置、使用、變更、報(bào)廢整個(gè)周期安全管理。（6）加強(qiáng)全部些人員（包含XX市各單位內(nèi)部人員，和各類(lèi)外來(lái)人員）安全管理，明確崗位安全職責(zé)，制訂針對(duì)違規(guī)懲戒方法，落實(shí)人員聘用、在崗和離崗時(shí)安全控制，和敏感崗位人員簽署保密協(xié)議。（7）經(jīng)過(guò)正式信息安全培訓(xùn)，和網(wǎng)站、簡(jiǎn)報(bào)、會(huì)議、講座等多種形式信息安全教育活動(dòng)，不停加強(qiáng)XXXX各單位人員信息安全意識(shí)，提升她們信息安全技能。（8）保障機(jī)房物理和環(huán)境安全。實(shí)施包含門(mén)禁、視頻監(jiān)控、報(bào)警等安全防范方法，確保機(jī)房物理安全。布署機(jī)房專(zhuān)用空調(diào)、UPS等環(huán)境保障設(shè)施，對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定時(shí)巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備出入管理，進(jìn)出需登記，外來(lái)人員需由相關(guān)管理人員陪同方能訪問(wèn)機(jī)房。（9）加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)和外包方管理，在和信息系統(tǒng)外包方簽署服務(wù)協(xié)議中，對(duì)信息系統(tǒng)安全加以要求。經(jīng)過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等方法，加強(qiáng)外部方訪問(wèn)電子政務(wù)信息系統(tǒng)管理，預(yù)防外部方危害信息系統(tǒng)安全。（10）對(duì)XX市各單位關(guān)鍵信息系統(tǒng)（包含基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和服務(wù)器設(shè)備、系統(tǒng)、應(yīng)用等）應(yīng)有文檔化操作和維護(hù)規(guī)程，使得各個(gè)相關(guān)人員能夠采取規(guī)范化形式對(duì)系統(tǒng)進(jìn)行操作，降低和避免因誤操作所引發(fā)信息安全事件可能性。（11）在XX市電子政務(wù)外網(wǎng)上統(tǒng)一布署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意代碼庫(kù)統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對(duì)電子政務(wù)信息系統(tǒng)影響。經(jīng)過(guò)強(qiáng)化惡意代碼防范管理方法，如加強(qiáng)介質(zhì)管理，嚴(yán)禁私自安裝軟件，加強(qiáng)人員安全意識(shí)教育，定時(shí)進(jìn)行惡意代碼檢測(cè)等，提升電子政務(wù)信息系統(tǒng)對(duì)惡意代碼防范能力。（12）對(duì)XX市各單位關(guān)鍵信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)行安全地保留，和對(duì)備份數(shù)據(jù)定時(shí)進(jìn)行備份測(cè)試驗(yàn)證，確保多種備份信息保密性、完整性和可用性，確保全部關(guān)鍵信息系統(tǒng)和關(guān)鍵數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠恢復(fù)。（13）采取技術(shù)和管理兩方面控制方法，加強(qiáng)對(duì)XX市電子政務(wù)外網(wǎng)安全控制，不停提升網(wǎng)絡(luò)安全性和穩(wěn)定性。XX市電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)進(jìn)行邏輯隔離。經(jīng)過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)防范方法，對(duì)接入進(jìn)行嚴(yán)格審批，加強(qiáng)使用安全管理，加強(qiáng)對(duì)各單位網(wǎng)絡(luò)使用安全培訓(xùn)和教育，確保XX市電子政務(wù)外網(wǎng)安全。（14）加強(qiáng)信息安全日常管理，包含系統(tǒng)口令管理、無(wú)人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促進(jìn)每位人員日常工作符合XXXX信息安全策略和制度要求。（15）根據(jù)“僅知”標(biāo)準(zhǔn)，經(jīng)過(guò)功效和技術(shù)配置，對(duì)關(guān)鍵信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問(wèn)控制。深入推廣數(shù)字證書(shū)使用，和安全授權(quán)管理制度，并落實(shí)授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具使用進(jìn)行嚴(yán)格審批和監(jiān)管。（16）深入重視軟件開(kāi)發(fā)安全。在XXXX各電子政務(wù)信息系統(tǒng)立項(xiàng)和審批過(guò)程中，同時(shí)考慮信息安全需求和目標(biāo)。應(yīng)確保系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程安全，關(guān)鍵加強(qiáng)對(duì)軟件代碼安全性管理。屬于外包軟件開(kāi)發(fā)，應(yīng)和服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后，應(yīng)要求經(jīng)過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性測(cè)評(píng)。（17）在符合國(guó)家密碼管理相關(guān)要求條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保留等方面安全管理，保障密碼技術(shù)使用安全性。（18）重視對(duì)IT服務(wù)連續(xù)性管理，建立對(duì)各類(lèi)信息安全事件預(yù)防、預(yù)警、響應(yīng)、處理、恢復(fù)機(jī)制，編寫(xiě)針對(duì)電子政務(wù)外網(wǎng)等關(guān)鍵系統(tǒng)應(yīng)急預(yù)案，并定時(shí)進(jìn)行測(cè)試和演練，在信息系統(tǒng)發(fā)生故障或事故時(shí)，能快速、有序地進(jìn)行應(yīng)急處理，最大程度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)難給XXXX電子政務(wù)信息系統(tǒng)所帶來(lái)影響。（19）對(duì)所適用國(guó)家信息安全相關(guān)法律法規(guī)進(jìn)行定時(shí)識(shí)別、統(tǒng)計(jì)和更新，并對(duì)XXXX各單位信息安全管理現(xiàn)實(shí)狀況和法律法規(guī)符合性進(jìn)行檢驗(yàn)，確保各項(xiàng)信息安全工作符合國(guó)家信息安全相關(guān)法律法規(guī)要求。適用范圍本手冊(cè)根據(jù)ISO/IEC27001：《信息安全管理體系要求》，結(jié)合XXXX政府信息系統(tǒng)實(shí)際編制而成，符合ISO/IEC27001：標(biāo)準(zhǔn)全部要求。。本管理制度適適用于XXXX電子政務(wù)應(yīng)用管理。引用標(biāo)準(zhǔn)下列文件和標(biāo)準(zhǔn)經(jīng)過(guò)本手冊(cè)引用，均為本手冊(cè)條文。本手冊(cè)使用時(shí)所表示文件和標(biāo)準(zhǔn)均為有效版本。當(dāng)引用文件和標(biāo)準(zhǔn)被修訂時(shí)，使用其最新版本:ISO/IEC27001：《信息安全管理體系要求》ISO/IEC17799：《信息安全管理實(shí)用規(guī)則》GB/T22239-《信息系統(tǒng)安全等級(jí)保護(hù)基礎(chǔ)要求》信息安全管理體系（ISMS）總體要求XXXX依據(jù)ISO/IEC27001：《信息安全管理體系要求》，建立信息安全管理體系，并形成相關(guān)信息安全管理體系文件，由科信局局長(zhǎng)同意公布后在XXXX范圍內(nèi)實(shí)施并保持，利用內(nèi)部審核、管理評(píng)審、糾正和預(yù)防方法和連續(xù)改善手段，確保信息安全管理體系有效性。建立和管理信息安全管理體系建立信息安全管理體系ISMS范圍依據(jù)XXXX業(yè)務(wù)特點(diǎn)、組織機(jī)構(gòu)、物理位置不一樣，確定XXXX信息安全管理體系范圍為：XXXX全部部門(mén)和正式工作人員；XXXX關(guān)鍵負(fù)責(zé)XXXX政府信息化建設(shè)工作，負(fù)責(zé)運(yùn)行、維護(hù)和管理覆蓋全區(qū)電子政務(wù)專(zhuān)網(wǎng)、資源平臺(tái)和多個(gè)關(guān)鍵電子政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)。和XXXX業(yè)務(wù)活動(dòng)相關(guān)應(yīng)用系統(tǒng)及其包含全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包含：”門(mén)戶(hù)網(wǎng)站”等；信息資產(chǎn)包含：和上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。XXXX辦公場(chǎng)所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房包含XXXX政府機(jī)房。ISMS方針依據(jù)信息安全管理需求，確定XXXX信息安全方針和關(guān)鍵信息安全策略。信息安全方針為：全員參與明確責(zé)任預(yù)防為主快速響應(yīng)風(fēng)險(xiǎn)管控連續(xù)改善風(fēng)險(xiǎn)評(píng)定在體系建立過(guò)程中，XXXX確定信息安全風(fēng)險(xiǎn)評(píng)定方法，對(duì)XXXX電子政務(wù)信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)定，識(shí)別電子政務(wù)信息系統(tǒng)所面臨風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處理在風(fēng)險(xiǎn)評(píng)定后，XXXX依據(jù)風(fēng)險(xiǎn)評(píng)定結(jié)果，確定風(fēng)險(xiǎn)處理策略，包含：采取風(fēng)險(xiǎn)控制方法，以降低面臨信息安全風(fēng)險(xiǎn)；在滿足信息安全方針和風(fēng)險(xiǎn)接收準(zhǔn)則前提下，有意識(shí)地、客觀地接收風(fēng)險(xiǎn)；避免風(fēng)險(xiǎn)；轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其它方面，如：購(gòu)置產(chǎn)品維保，運(yùn)維服務(wù)外包等；XXXX依據(jù)風(fēng)險(xiǎn)處理策略，制訂風(fēng)險(xiǎn)控制方法，對(duì)已識(shí)別出風(fēng)險(xiǎn)進(jìn)行分類(lèi)處理，并對(duì)殘余風(fēng)險(xiǎn)進(jìn)行了同意。適用性申明在風(fēng)險(xiǎn)處理活動(dòng)實(shí)施后，XXXX從以下幾方面準(zhǔn)備了體系適用性申明：從ISO/IEC27001標(biāo)準(zhǔn)中附錄A給出控制目標(biāo)和控制方法，和選擇理由；目前實(shí)施控制目標(biāo)和控制方法；對(duì)附錄A中任何控制目標(biāo)和控制方法刪減，和刪減合理性說(shuō)明。實(shí)施和運(yùn)行信息安全管理體系XXXX在實(shí)施和運(yùn)行信息安全管理體系中所開(kāi)展工作包含：經(jīng)過(guò)風(fēng)險(xiǎn)管理方法來(lái)控制電子政務(wù)信息系統(tǒng)中存在信息安全風(fēng)險(xiǎn)，配置資源、明確職責(zé)和優(yōu)先等級(jí)，實(shí)施合適管理方法；實(shí)施各信息安全管理體系文件中包含控制方法，以達(dá)成各控制目標(biāo)；測(cè)量各信息安全管理體系文件中控制方法實(shí)施有效性，明確對(duì)測(cè)量結(jié)果分析和評(píng)定準(zhǔn)則，并作為連續(xù)改善輸入；實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃；管理ISMS資源；實(shí)施能快速檢測(cè)安全事件和響應(yīng)安全事故程序，具體要求參見(jiàn)《信息安全事件管理措施》。監(jiān)視和評(píng)審信息安全管理體系XXXX將對(duì)信息安全管理體系進(jìn)行監(jiān)視，并定時(shí)或不定時(shí)進(jìn)行內(nèi)審和管理評(píng)審，包含：實(shí)施監(jiān)視和評(píng)審程序和其它相關(guān)方法，以達(dá)成：快速檢測(cè)信息安全管理體系運(yùn)行過(guò)程中缺點(diǎn)和弱點(diǎn)；快速識(shí)別潛在和已發(fā)生信息安全違規(guī)和事故；確保管理者分配給各人員信息安全活動(dòng)或經(jīng)過(guò)信息技術(shù)實(shí)施信息安全活動(dòng)能準(zhǔn)期實(shí)施；確定信息安全方法有效性。在內(nèi)審結(jié)果、信息安全事故、有效性測(cè)量結(jié)果、全部相關(guān)方提議和反饋基礎(chǔ)上，定時(shí)進(jìn)行信息安全管理評(píng)審，以判定信息安全管理體系有效性。定時(shí)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)定評(píng)審，和對(duì)殘余風(fēng)險(xiǎn)和已確定可接收風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)審，評(píng)審時(shí)應(yīng)考慮以下方面改變：組織機(jī)構(gòu)改變；信息安全相關(guān)組織結(jié)構(gòu)改變；信息技術(shù)和信息安全技術(shù)發(fā)展和改變；業(yè)務(wù)目標(biāo)和過(guò)程改變；已識(shí)別出信息安全威脅發(fā)展和改變；已實(shí)施信息安全控制方法有效性；外部信息安全事件，如信息安全相關(guān)法律法規(guī)變更、協(xié)議中信息安全義務(wù)變更和整體社會(huì)信息安全態(tài)勢(shì)變更。每十二個(gè)月兩次對(duì)信息安全管理體系進(jìn)行內(nèi)部審核。每十二個(gè)月一次對(duì)信息安全管理體系進(jìn)行管理評(píng)審。依據(jù)監(jiān)視和評(píng)審活動(dòng)結(jié)果，對(duì)信息安全管理體系進(jìn)行修改和完善。統(tǒng)計(jì)可能影響信息安全管理體系有效性或?qū)嵤┣闆r方法和事件。保持和改善信息安全管理體系XXXX將依據(jù)已識(shí)別信息安全管理體系改善需求，選擇合適糾正方法和預(yù)防方法，保持和連續(xù)改善信息安全管理體系，并向全部相關(guān)方溝通信息安全方法和改善需求，并采取測(cè)量、追蹤和驗(yàn)證方法，確保改善達(dá)成預(yù)期目標(biāo)。具體內(nèi)容參見(jiàn)《預(yù)防和不符合糾正控制程序》。文件要求總則信息安全管理體系文件包含以下內(nèi)容：信息安全管理手冊(cè)和適用性申明；支持性程序文件；各部門(mén)依據(jù)程序文件制訂操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書(shū)；信息安全管理活動(dòng)相關(guān)多種統(tǒng)計(jì)。文件控制文件是指信息及其承載媒體，媒體能夠是紙張、計(jì)算機(jī)光盤(pán)或其它電子媒體或它們組合。統(tǒng)計(jì)模板、規(guī)范、程序文件、手冊(cè)、圖樣、匯報(bào)或標(biāo)準(zhǔn)均屬于文件。信息安全管理體系文件由文檔管理員進(jìn)行管理控制；由文檔管理員統(tǒng)一組織修訂和公布。各系統(tǒng)信息安全技術(shù)文檔由各系統(tǒng)管理員自行控制，并交文檔管理員處存檔。文件控制參見(jiàn)《文件控制程序》。統(tǒng)計(jì)控制統(tǒng)計(jì)是指說(shuō)明所取得結(jié)果或提供所完成活動(dòng)證據(jù)信息安全文件，其作用是為信息安全管理體系運(yùn)作提供證據(jù)。為了滿足過(guò)程可追溯性要求和提供信息安全管理體系有效運(yùn)行客觀證據(jù)，除信息安全管理體系標(biāo)準(zhǔn)中要求必需建立統(tǒng)計(jì)外，在各信息安全程序文件中對(duì)應(yīng)該產(chǎn)生統(tǒng)計(jì)做了說(shuō)明和要求。對(duì)信息安全統(tǒng)計(jì)標(biāo)識(shí)、儲(chǔ)存、防護(hù)、檢索、保留期限和處理措施進(jìn)行控制。各管理員負(fù)責(zé)其職責(zé)范圍內(nèi)信息安全管理相關(guān)統(tǒng)計(jì)編制、填寫(xiě)、搜集、保留和歸檔。信息安全管理相關(guān)統(tǒng)計(jì)控制參見(jiàn)《統(tǒng)計(jì)控制程序》。管理職責(zé)管理承諾在XXXX網(wǎng)絡(luò)和信息安全協(xié)調(diào)小組領(lǐng)導(dǎo)下，XXXX經(jīng)過(guò)以下幾方面建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審管理體系并連續(xù)改善其有效性：制訂信息安全方針；制訂信息安全要求；確保在內(nèi)建立信息安全管理責(zé)任制；向全體人員傳達(dá)滿足信息安全方針、信息安全要求、推行法律責(zé)任和連續(xù)改善關(guān)鍵性，使全體人員能正確了解并認(rèn)真實(shí)施信息安全管理體系；提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審和改善信息安全管理體系；建立良好內(nèi)部協(xié)調(diào)和溝通機(jī)制；和上級(jí)政府部門(mén)及相關(guān)單位保持合適聯(lián)絡(luò)；決定接收風(fēng)險(xiǎn)準(zhǔn)則和風(fēng)險(xiǎn)可接收等級(jí)；確保信息安全管理體系內(nèi)審實(shí)施；確保信息安全管理評(píng)審實(shí)施。管理職責(zé)信息安全管理體系（ISMS）責(zé)任人職責(zé)（參見(jiàn)授權(quán)書(shū)）；ISMS責(zé)任人負(fù)責(zé)制訂信息安全方針和目標(biāo)，負(fù)責(zé)信息安全管理重大問(wèn)題決議工作。安全管理員負(fù)責(zé)信息安全策略開(kāi)發(fā)，負(fù)責(zé)開(kāi)展內(nèi)部信息安全維護(hù)日常工作，負(fù)責(zé)定時(shí)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)定和風(fēng)險(xiǎn)處理，負(fù)責(zé)幫助上級(jí)部門(mén)信息安全測(cè)評(píng)和檢驗(yàn)等。機(jī)房管理員負(fù)責(zé)機(jī)房物理和環(huán)境安全管理，負(fù)責(zé)機(jī)房硬件設(shè)備維護(hù)。網(wǎng)絡(luò)管理員負(fù)責(zé)電子政務(wù)外網(wǎng)及局域網(wǎng)安全管理和維護(hù)；系統(tǒng)管理員負(fù)責(zé)各業(yè)務(wù)系統(tǒng)（包含操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)）安全管理和維護(hù)；文檔管理員負(fù)責(zé)ISMS相關(guān)文檔歸檔和公布管理；資產(chǎn)管理員負(fù)責(zé)XXXX所擁有信息資產(chǎn)歸口管理；體系審核員負(fù)責(zé)實(shí)施XXXX信息安全內(nèi)部審核，依據(jù)要求編制內(nèi)部審核實(shí)施計(jì)劃，組織編制審核匯報(bào)，并對(duì)審核中發(fā)覺(jué)不符合項(xiàng)跟蹤驗(yàn)證。內(nèi)部協(xié)調(diào)和溝通確保在不一樣層次機(jī)構(gòu)、職能部門(mén)之間，就信息安全管理體系過(guò)程，包含信息安全方針、信息安全目標(biāo)及完成情況，和實(shí)施有效性，進(jìn)行溝通，做到相互了解、相互信任，達(dá)成全員參與效果。和信息安全管理體系相關(guān)多種信息溝通，可采取多種方法如OA系統(tǒng)、多種會(huì)議、通報(bào)等形式來(lái)實(shí)現(xiàn)。外部聯(lián)絡(luò)XXXX經(jīng)過(guò)和上級(jí)信息安全主管部門(mén)，和其它政府部門(mén)保持聯(lián)絡(luò)，以支持：信息安全事故管理中響應(yīng)、取證、協(xié)調(diào)等工作；立即了解信息安全相關(guān)法律法規(guī)、政策改變，并保持符合性。XXXX經(jīng)過(guò)和國(guó)家相關(guān)信息安全機(jī)構(gòu)，和其它信息安全組織保持合適聯(lián)絡(luò)，方便：促進(jìn)對(duì)最好實(shí)踐和最新相關(guān)安全信息了解；確保全方面了解目前信息安全態(tài)勢(shì)；立即搜集和公布相關(guān)攻擊和脆弱性預(yù)警、提議和補(bǔ)丁；取得信息安全教授提議；分享和交換相關(guān)新技術(shù)、產(chǎn)品、威脅或脆弱性信息；提供處理信息安全事故時(shí)合適聯(lián)絡(luò)點(diǎn)。資源管理資源提供XXXX將為ISMS確定并提供以下活動(dòng)所需資源：建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改善信息安全管理體系；確保信息安全程序滿足業(yè)務(wù)需求；推行法律法規(guī)要求、和協(xié)議中安全義務(wù)；正確實(shí)施全部必需信息安全控制方法。培訓(xùn)、意識(shí)和能力XXXX將經(jīng)過(guò)開(kāi)展多種形式信息安全培訓(xùn)和教育活動(dòng)，確保全部分配有ISMS職責(zé)人員含有一定信息安全意識(shí)，和實(shí)施所要求任務(wù)能力。ISMS內(nèi)部審核由體系審核員編制XXXX信息安整年度審核計(jì)劃，報(bào)ISMS責(zé)任人同意后實(shí)施，通常情況下內(nèi)部審核每十二個(gè)月不少于2次。ISMS責(zé)任人負(fù)責(zé)信息安全管理體系內(nèi)部審核組織和協(xié)調(diào)工作，體系審核員負(fù)責(zé)具體實(shí)施，各部門(mén)配合。每次審核前編制信息安全審核日程計(jì)劃及檢驗(yàn)表，作為現(xiàn)場(chǎng)審核依據(jù)。體系審核員不審核自己部門(mén)信息安全管理工作。ISMS內(nèi)部審核參見(jiàn)《信息安全審核管理程序》。內(nèi)部審核匯報(bào)及糾正方法實(shí)施情況，應(yīng)提交ISMS責(zé)任人審核。ISMS管理評(píng)審ISMS責(zé)任人應(yīng)定時(shí)對(duì)XXXX信息安全管理體系進(jìn)行評(píng)審，每十二個(gè)月最少一次，通常在內(nèi)審結(jié)束后1－2月內(nèi)進(jìn)行。當(dāng)XXXX信息安全管理體系發(fā)生重大變更和出現(xiàn)重大信息安全事故時(shí)能夠追加臨時(shí)管理評(píng)審。體系審核員依據(jù)內(nèi)部審核結(jié)果和其它各項(xiàng)信息安全管理要求，組織各部門(mén)準(zhǔn)備管理評(píng)審材料，關(guān)鍵包含：內(nèi)審結(jié)果；信息安全方針、信息安全目標(biāo)、風(fēng)險(xiǎn)控制方法實(shí)施情況；信息安全事故調(diào)