信息安全管理手册（一）发布说明为了落实国家与市网络信息安全与等级保护的相关政策，贯 彻信息安全管理体系标准，提高信息安全管理水平，维护电子政 务信息系统安全稳定可控，实现业务信息和系统服务的安全保护 等级，按照 27001：2005信息安全管理体系要求、 17799： 2005信息安全管理实用规则，以及 22239-2008信息系统安 全等级保护基本要求，编制完成了信息安全管理体系文件，现 予以批准颁布实施。信息安全管理手册是纲领性文件，是指导等各级政府部门建 立并实施信息安全管理体系的行动准则，全体人员必须遵照执 行。信息安全管理手册于发布之日起正式实施。局长（二）授权书为了贯彻执行 27001：2005信息安全管理体系要求、 17799：2005信息安全管理实用规则，以及 22239-2008信 息系统安全等级保护基本要求，加强对信息安全管理体系运作 的管理和控制，特授权管理市政务信息安全工作，并保证信息安 全管理职责的独立性，履行以下职责： 负责建立、修改、完善、持续改进和实施市政务信息安全 管理体系； 负责向主任报告信息安全管理体系的实施情况，提出信息 安全管理体系改进建议，作为管理评审和信息安全管理体 系改进的基础； 负责向各级政府部门全体人员宣传信息安全的重要性，负责信息安全教育、培训，不断提高全体人员的信息安全意 识； 负责信息安全管理体系对外联络工作。（三）信息安全要求1. 具体阐述如下：（1）在信息安全协调小组的领导下，全面贯彻国家和市关 于信息安全工作的相关指导性文件精神，在内建立可持续改进的 信息安全管理体系。（2）全员参与信息安全管理体系建设，落实信息安全管理 责任制，建立和完善各项信息安全管理制度，使得信息安全管理 有章可循。（3）通过定期地信息安全宣传、教育与培训，不断提高所 有人员的信息安全意识及能力。（4）推行预防为主的信息安全积极防御理念，同时对所发 生的信息安全事件进行快速、有序地响应。（5）贯彻风险管理的理念，定期对“门户网站”等重要信 息系统进行风险评估和控制，将信息安全风险控制在可接受的水 平。（6）按照精神，持续改进信息安全各项工作，保障电子政 务外网安全畅通与可控，保障所开发和维护信息系统的安全稳 定，为所有企业和社会公众提供安全可靠的电子政务服务。2. 信息安全总体要求（1）建立信息化资产（软件、硬件、数据库等）目录。（2）“门户网站”信息系统，按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。（3）编制完成网络和信息安全事件总体应急预案，并组织应急演练。各单位自建的网络、网站和信息系统参照执行。（4）按需开展信息安全风险评估，由第三方机构对”门户 网站”开展外部评估，各单位以自评估为主。（5）每年开展1 次全区范围的信息系统安全检查（自查）。（6）每年组织2 次全区范围的信息安全管理制度宣传。（培 训人数比例 80以上）。（四）信息安全管理体系组织机构图（五）主要安全策略（1）建立信息安全管理组织机构，明确各安全管理员、机 房管理员、网络管理员、应用管理员、主机管理员等安全管理相 关岗位及职责，建立健全信息安全管理责任制，使得信息安全各 项职责落实到人。（2）对信息安全管理体系进行定期地内审和管理评审，对 各项安全控制措施实施后的有效性进行测量，并实施相应的纠正 和预防措施，以保证信息安全管理体系持续的充分性、适宜性、 有效性。（3）对信息系统中所存在的安全风险进行有计划的评估和 管理。定期对信息系统实施信息安全风险评估，根据评估结果选 择适当的安全策略和控制措施，将安全风险控制在可接受的水 平。风险评估至少每年一次，在信息系统发生重大改变后，也应 进行风险评估。（4）电子政务信息系统分等级保护。按照国家等级保护有 关要求，对信息系统及信息确定安全等级，并根据不同的安全等 级实施分等级保护。（5）规范信息资产（包括硬件、软件、服务等）管理流程， 建立信息资产管理台帐，明确资产所有者、使用者与维护者，对 所有信息资产进行标记，实现对信息资产购买、使用、变更、报 废整个周期的安全管理。（6）加强所有人员（包括市各单位内部人员，以及各类外 来人员）的安全管理，明确岗位安全职责，制定针对违规的惩戒 措施，落实人员聘用、在岗和离岗时的安全控制，与敏感岗位人 员签署保密协议。（7）通过正式的信息安全培训，以及网站、简报、会议、 讲座等各种形式的信息安全教育活动，不断加强各单位人员的信 息安全意识，提高他们的信息安全技能。（8）保障机房物理与环境安全。实施包括门禁、视频监控、 报警等安全防范措施，确保机房物理安全。部署机房专用空调、 等环境保障设施，对机房设施运转情况进行定期巡检和维护。严 格对机房人员和设备的出入管理， 进出需登记，外来人员需由 相关管理人员陪同方能访问机房。（9）加强对信息系统外包业务与外包方的管理，在与信息 系统外包方签署的服务协议中，对信息系统安全加以要求。通过 审批、访问控制、监控、签署保密协议等措施，加强外部方访问 电子政务信息系统的管理，防止外部方危害信息系统安全。（10）对市各单位重要信息系统（包括基础设施、网络和服 务器设备、系统、应用等）应有文档化的操作和维护规程，使得 各个相关人员能够采用规范化的形式对系统进行操作，降低和避 免因误操作所引发信息安全事件的可能性。（11）在市电子政务外网上统一部署网络防恶意代码软件， 并进行恶意代码库的统一更新，防范恶意代码、木马等恶意代码 对电子政务信息系统的影响。通过强化恶意代码防范的管理措 施，如加强介质管理，严禁擅自安装软件，加强人员安全意识教 育，定期进行恶意代码检测等，提高电子政务信息系统对恶意代 码的防范能力。（12）对市各单位重要的信息和信息系统进行备份，并对备 份介质进行安全地保存，以及对备份数据定期进行备份测试验 证，保证各种备份信息的保密性、完整性和可用性，确保所有重 要信息系统和重要数据在故障、灾难后及其它特定要求下进行可 靠的恢复。（13）采用技术和管理两方面的控制措施，加强对市电子政 务外网的安全控制，不断提高网络的安全性和稳定性。市电子政 务外网与互联网进行逻辑隔离。通过实施网络访问控制等技术防 范措施，对接入进行严格审批，加强使用安全管理，加强对各单 位网络使用的安全培训和教育，确保市电子政务外网的安全。（14）加强信息安全日常管理，包括系统口令管理、无人值 守设备管理、屏幕保护、便携机管理等，促使每位人员的日常工 作符合信息安全策略和制度要求。（15）按照“仅知”原则，通过功能和技术配置，对重要信 息系统、数据等实施访问控制。进一步推广数字证书的使用，以 及安全的授权管理制度，并落实授权责任人。对系统特殊权限和 系统实用工具的使用进行严格的审批和监管。（16）进一步重视软件开发安全。在各电子政务信息系统立 项和审批过程中，同步考虑信息安全需求和目标。应保证系统设 计、开发过程的安全，重点加强对软件代码安全性的管理。属于 外包软件开发的，应与服务提供商签署保密协议。系统开发完成 后，应要求通过第三方安全机构对软件安全性的测评。（17）在符合国家密码管理相关规定的条件下，合理使用密 码技术和密码设备，严格密钥生成、分发、保存等方面的安全管 理，保障密码技术使用的安全性。（18）重视对服务连续性的管理，建立对各类信息安全事件 的预防、预警、响应、处置、恢复机制，编写针对电子政务外网 等重要系统的应急预案，并定期进行测试和演练，在信息系统发 生故障或事故时，能迅速、有序地进行应急处置，最大限度地降 低因信息系统突发事件或意外灾害给电子政务信息系统所带来 的影响。（19）对所适用的国家信息安全相关法律法规进行定期的识 别、记录和更新，并对各单位信息安全管理现状与法律法规的符 合性进行检查，确保各项信息安全工作符合国家信息安全相关法 律法规要求。（六）适用范围本手册按照 27001：2005 信息安全管理体系要求，结合 政府信息系统的实际编制而成，符合 27001：2005 标准的全部 要求。本管理制度适用于的电子政务应用管理。（七）引用标准下列文件和标准通过本手册的引用，均为本手册的条文。本 手册使用时所示文件和标准均为有效版本。当引用文件和标准被 修订时，使用其最新版本: 27001：2005信息安全管理体系要求 17799：2005信息安全管理实用规则 22239-2008信息系统安全等级保护基本要求（八）信息安全管理体系（）1. 总体要求依据 27001：2005 信息安全管理体系要求，建立信息安 全管理体系，并形成相关的信息安全管理体系文件，由科信局局 长批准发布后在范围内实施并保持，利用内部审核、管理评审、 纠正和预防措施以及持续改进的手段，确保信息安全管理体系的 有效性。2. 建立和管理信息安全管理体系（1）. 建立信息安全管理体系范围根据业务特点、组织机构、物理位置的不同，确定信息安全 管理体系的范围为： 的所有部门和正式工作人员； 主要负责政府信息化建设工作，负责运行、维护和管理覆 盖全区的电子政务专网、资源平台和多个重要电子政务业 务应用系统。 与业务活动相关的应用系统及其包含的全部信息资产，其 中应用系统包括：”门户网站”等；信息资产包括：与上 述业务应用系统相关的数据、硬件、软件、服务及文档等。 的办公场所和上述业务应用系统所处机房，其中机房包括 政府机房。 方针根据信息安全管理的需求，确定的信息安全方针和主要信息 安全策略。信息安全方针为： 全员参与 明确责任 预防为主 快速响应 风险管控 持续改进风险评估在体系建立过程中，确定信息安全风险评估方法，对电子政 务信息系统实施风险评估，识别电子政务信息系统所面临的风 险。 风险处置在风险评估后，根据风险评估的结果，确定风险处置的策略， 包括： 采用风险控制措施，以降低面临的信息安全风险； 在满足信息安全方针和风险接受准则的前提下，有意识 地、客观地接受风险； 避免风险； 转移相关业务风险到其他方面，如：购买产品维保，运维 服务外包等；根据风险处置策略，制定风险控制措施，对已识别出的风险 进行分类处理，并对残余风险进行了批准。适用性声明在风险处置活动实施后，从以下几方面准备了体系适用性声 明：从27001标准中附录A给出的控制目标和控制措施，以及选择的理由； 当前实施的控制目标和控制措施；对附录A中任何控制目标和控制措施的删减，以及删减的 合理性说明。(2) . 实施和运行信息安全管理体系 在实施和运行信息安全管理体系中所开展的工作包括： 通过风险管理方法来控制电子政务信息系统中存在的信 息安全风险，配置资源、明确职责和优先级别，实施适当 的管理措施； 实施各信息安全管理体系文件中包括的控制措施，以达到各控制目标； 测量各信息安全管理体系文件中控制措施实施的有效性， 明确对测量结果的分析和评估准则，并作为持续改进的输 入； 实施培训和意识教育计划； 管理的资源； 实施能迅速检测安全事件和响应安全事故的程序，具体要求参见信息安全事件管理办法。(3) . 监视和评审信息安全管理体系将对信息安全管理体系进行监视，并定期或不定期的进行内审和管理评审，包括：执行监视和评审程序以及其它相关措施，以达到： 迅速检测信息安全管理体系运行过程中的缺陷和弱点； 迅速识别潜在的和已发生的信息安全违规和事故； 确保管理者分配给各人员