信息安全管理手冊

（一）發(fā)布說明

為了落實國家與廣州市網(wǎng)絡信息安全與等級保護的相關政策，貫徹信息安全管理體系標

準，提高廣州市XX科信局信息安全管理水平，維護廣州市XX科信局電子政務信息系統(tǒng)安全

穩(wěn)定可控，實現(xiàn)業(yè)務信息和系統(tǒng)服務的安全保護等級，按照ISO/IEC27001:2005《信息安

全管理體系要求》、ISO/IEC17799:2005《信息安全管理實用規(guī)則》，以及GB/T2

2239-2008《信息系統(tǒng)安全等級保護基本要求》,編制完成了廣州市xx科信局信息安全管

理體系文件,現(xiàn)予以批準頒布實施。

信息安全管理手冊是綱領性文件，是指導廣州市xx科信局等各級政府部門建立并實施

信息安全管理體系的行動準則，全體人員必須遵照執(zhí)行。

信息安全管理手冊于發(fā)布之日起正式實施。

廣州市XXX科信局

局長_____________________

年月口

（二）或權書

為了貫徹執(zhí)行IS0/IEC27001：2005《信息安全管理體系要求》、IS0/1EC1779

9：2005《信息安全管理實用規(guī)則》，以及GB/T22239-2008《信息系統(tǒng)安全等級保護

基本要求》，加強對信息安全管理體系運作的管理和控制，特授權廣州市xx科信局管理廣

州市xx區(qū)政府政務信息安全工作，并保證信息安全管理職責的獨立性，履行以下職責：

/負責建立、修改、完善、持續(xù)改進和實施廣州市xx科信局政務信息安全管理體系；

/負責向廣州市xx科信局主任報告信息安全管理體系的實施情況，提出信息安全管理

體系改進建議，作為管理評審和信息安全管理體系改進的基礎;

/負責向廣州市XX區(qū)政府各級政府部門全體人員宣傳信息安全的重要性，負責信息安

全教育、培訓，不斷提高全體人員的信息安全意識；

/負責廣州市XX科信局信息安全管理體系對外聯(lián)絡工作。

(三)信息安全要求

1.具體闡述如下：

(1)在廣州市XX科信局安全協(xié)調(diào)小組的領導下，全面貫徹國家和廣州市關于信息安全

工作的相關指導性文件精神，在廣州市XX科信局內(nèi)建立可持續(xù)改進的信息安全管理體系，

(2)全員參與信息安全管理體系建設,落實信息安全管理責任制，建立和完善各項信息

安全管理制度，使得信息安全管理有章可循。

(3)通過定期地信息安全宣傳、教育與培訓，不斷提高廣州市xx科信局所有人員的信

息安全意識及能力。

(4)推行預防為主的信息安全積極防御理念，同時對所發(fā)生的信息安全事件進行快

速、有序地響應。

(5)貫徹風險管理的理念，定期對“門戶網(wǎng)站”等重要信息系統(tǒng)進行風險評估和控制，將

信息安全風險控制在可接受的水平。

(6)按照PDCA精神,持續(xù)改進廣州市xx科信局信息安全各項工作，保障廣州市xx科信

局電子政務外網(wǎng)安全暢通與可控,保隙所開發(fā)和維護信息系統(tǒng)的安全穩(wěn)定，為廣州市xx區(qū)政

府所有企業(yè)和社會公眾提供安全可靠的電了政務服務。

2.信息安全總體要求

(1)建立廣州市XX科信局信息化資產(chǎn)(軟件、硬件、數(shù)據(jù)庫等)目錄。

(2)“門戶網(wǎng)站”等重要信息系統(tǒng)信息系統(tǒng)，按照等級保護要求進行建設和運維。各單

位自建的網(wǎng)絡、網(wǎng)站和信息系統(tǒng)參照執(zhí)行。

(3)編制完成廣州市xx科苗局網(wǎng)絡和信息安全事件總體應急預案，并組織應急演練。各

單位自建的網(wǎng)絡、網(wǎng)站和信息系統(tǒng)參照執(zhí)行。

(4)按需開展廣州市xx科信局信息安全風險評估，由第三方機構對“門戶網(wǎng)站”等

重要信息系統(tǒng)開展外部評估，各單位以自評估為主。

(5)每年開展1次全區(qū)范圍的信息系統(tǒng)安全檢查(自查

(6)每年組織2次全區(qū)范圍的信息安全管理制度宣傳。(培訓人數(shù)比例80%以上.)。

(四)信息安全管理體系組織機構圖

安

全

管

理

員

(五)主要安全策略

(1)建立廣州市xx科信局信息安全管理組織機構，明確各安全管理員、機房管理

員、網(wǎng)絡管理員、應用管理員、主機管理員等安全管理相關崗位及職責，建立健全信息安

全管理責任制,使得信息安全各項職責落實到人。

(2)對廣州市xx科信局信息安全管理體系進行定期地內(nèi)審和管理評審,對各項安全控制

措施實施后的有效性進行測量，并實施相應的糾正和預防措施，以保證信息安全管理體系

持續(xù)的充分性、適宜性、有效性。

(3)對廣州市xx科信局信息系統(tǒng)中所存在的安全風險進行有計劃的評估和管理。定期

對廣州市xx科信局信息系統(tǒng)實施信息安全風險評估，根據(jù)評估結(jié)果選擇適當?shù)陌踩呗院?/p>

控制措施，將安全風險控制在可接受的水平。風險評估至少每年一次,在信息系統(tǒng)發(fā)生重大

改變后，也應進行風險評估。

(4)廣州市xx科信局電子政務信息系統(tǒng)分等級保護。按照國家等級保護有關要求，對

廣州市xx科信局信息系統(tǒng)及信息確定安全等級，并根據(jù)不同的安全等級實施分等級保護。

(5)規(guī)范廣州市xx科信局信息資產(chǎn)(包括硬件、軟件、服務等)管理流程，建立信息資

產(chǎn)管理臺帳，明確資產(chǎn)所有者、使用者與維護者,對所有信息資產(chǎn)進行標記，實現(xiàn)對信息資

產(chǎn)購買、使用、變更、報廢整個周期的安全管理。

(6)加強所有人員(包括廣州市xx區(qū)政府各單位內(nèi)部人員，以及各類外來人員)的安全管

理,明確崗位安全職責，制定針對違規(guī)的懲戒措施，落實人員聘用、在崗和離崗時的安全控

制，與敏感崗位人員簽署保密協(xié)議。

(7)通過正式的信息安全培訓|,以及網(wǎng)站、簡報、會議、講座等各種形式的信息安全教

育活動,不斷加強廣州市xx區(qū)政府各單位人員的信息安全意識，提高他們的信息安全技能。

(8)保障機房物理與環(huán)境安全。實施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保

機房物理安全。部署機房專用空調(diào)、UPS等環(huán)境保障設施，對機房設施運轉(zhuǎn)情況進行定期

巡檢和維護。嚴格對機房人員和設備的出入管理，進出需登記，外來人員需由相關管理人

員陪同方能訪問機房。

(9)加強對信息系統(tǒng)外包業(yè)務與外包方的管理，在與信息系統(tǒng)外包方簽署的服務協(xié)議中，

對信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方

訪問電子政務信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全。

(10)對廣州市xx區(qū)政府各單位重要信息系統(tǒng)(包括基礎設施、網(wǎng)絡和服務器設備、

系統(tǒng)、應用等)應有文檔化的操作和維護規(guī)程，使得各個相關人員能夠采用規(guī)范化的形式對

系統(tǒng)進行操作，降低和避免因誤操作所引發(fā)信息安全事件的可能性。

(11)在廣州市xx科信局電子政務外網(wǎng)上統(tǒng)一部署網(wǎng)絡防惡意代碼軟件,并進行惡意代

碼庫的統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對電/政務信息系統(tǒng)的影響。通過強化

惡意代碼防范的管理措施，如加強介質(zhì)管理，嚴禁擅自安裝軟件，加強人員安全意識教育，

定期進行惡意代碼檢測等，提高電J'-政務信息系統(tǒng)對惡意代嗎的防范能力。

(12)對廣州市xx區(qū)政府各單位重要的信息和信息系統(tǒng)進行備份,并對備份介質(zhì)進行安

全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗證，保證各種備份信息的保密性、完整性和

可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災難后及其它特定要求下進行可靠的

恢復。

(13)采用技術和管理兩方面的控制措施，加強對廣州市xx科信局電子政務外網(wǎng)的安

全控制，不斷提高網(wǎng)絡的安全性和穩(wěn)定性。廣州市xx科信局電子政務外網(wǎng)與互聯(lián)網(wǎng)進行邏

輯隔離。通過實施網(wǎng)絡訪問控制等技術防范措施，對接入進行嚴格審批，加強使用安全管

理，加強時各單位網(wǎng)絡使用的安全培訓和教育，確保廣州市xx科信局電子政務外網(wǎng)的安

全。

(14)加強信息安全日常管理，包括系統(tǒng)口令管理、無人值守設備管理、屏幕保護、

便攜機管理等，促使每位人員的日常工作符合廣州市xx科信局信息安全策略和制度要求。

(15)按照“僅知”原則，通過功能和技術配置，對重要信息系統(tǒng)、數(shù)據(jù)等實施訪問控

制。進一步推廣數(shù)字證書的使月，以及安全的授權管理制度，并落實授權責任人。對系統(tǒng)特

殊權限和系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管。

(16)進一步重視軟件開發(fā)安全。在廣州市xx科信局各電子政務信息系統(tǒng)立項和審批過

程中，同步考慮信息安全需求和目標。應保證系統(tǒng)設計、開發(fā)過程的安全，重點加強對軟件

代碼安全性的管理。屬于外包軟件開發(fā)的，應與服務提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后,

應要求通過第三方安全機構對軟件安全性的測評。

(17)在符合國家密碼管理相關規(guī)定的條件下，合理使用密碼技術和密碼設備，嚴格密鑰

生成、分發(fā)、保存等方面的安全管理，保障密碼技術使用的安全性。

(18)重視對IT服務連續(xù)性的管理，建立對各類信息安全事件的預防、預警、響應、處

置、恢復機制，編與針對電子政務外網(wǎng)等重要系統(tǒng)的應急預案，并定期進行測試和演練，

在信息系統(tǒng)發(fā)生故障或事故時，能迅速、有序地進行應急史置，最大限度地降低因信息系

統(tǒng)突發(fā)事件或意外災害給廣州市xx區(qū)政府電子政務信息系統(tǒng)所帶來的影響。

(19)對所適用的國家信息安全相關法律法規(guī)進行定期的識別、記錄和更新，并對廣州

市xx區(qū)政府各單位信息安全管理現(xiàn)狀與法律法規(guī)的符合性進行檢查，確保各項信息安全工

作符合國家信息安全相關法律法規(guī)要求。

(六)適用范圍

本手冊按照ISO/IEC27001:2005《信息安全管理體系要求》，結(jié)合廣州市xx科信局

信息系統(tǒng)的實際編制而成，符合ISO/IEC27001:2005標準的全部要求。本管理制度適

用于廣州市xx科信局的電子政務應用管理。

(七)引用標準

下列文件和標準通過本手冊的引用，均為本手冊的條文。本手冊使用時所示文件和標準

均為有效版本。當引用文件和標準被修訂時，使用其最新版本：

/ISO/IEC27001：2005《信息安全管理體系要求》

/ISO/IEC17799:2005《信息安全管理實用規(guī)則》

/GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》

(A)信息安全管理體系(ISM5)

1.總體要求

廣州市xx科信局依據(jù)ISO/IEC27001:2005《信息安全管理體系要求》，建立信息

安全管理體系，并形成相關的信息安全管理體系文件，由廣州市xx科信局批準發(fā)布后在廣州

市xx科信局范圍內(nèi)實施并保持，利用內(nèi)部審核、管理評審、糾正和預防措施以及持續(xù)改進

的手段,確保信息安全管理體系的有效性。

2.建立和管理信息安全管理體系

(1).建立信息安全管理體系

■ISMS范圍

根據(jù)廣州市xx科信局業(yè)務特點、組織機構、物理位置的不同，確定廣州市xx科信局信

息安全管理體系的范圍為：

/廣州市XX區(qū)政府的所有部門和正式工作人員；

/廣州市XX科信局主要負責廣州市XX區(qū)政府信息化建設工作，負責運行、維護和管理

覆蓋全區(qū)的電子政務專網(wǎng)、資源平臺和多個重要電子政務業(yè)務應用系統(tǒng)。

/與廣州市XX科信局業(yè)務活動相關的應用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應用

系統(tǒng)包括：“門戶網(wǎng)站”等；信息資產(chǎn)包括：與上述業(yè)務應用系統(tǒng)相關的數(shù)據(jù)、硬

件、軟件、服務及文檔等。

/廣州市XX科信局的辦公場所和上述業(yè)務應用系統(tǒng)所處機房，其中機房包括廣州市XX

科信局政府機房。

■ISMS方針

根據(jù)信息安全管理的需求,確定廣州市XX科信局的信息安全方針和主要信息安全策略。

信息安全方針為：

/全員參與

/明確責任

,預防為主

/快速響應

,風險管控

/持續(xù)改進

■風險評估

在體系建立過程中，廣州市XX科信局確定信息安全風險評估方法，對廣州XX區(qū)科信局

電子政務信息系統(tǒng)實施風險評估，識別電子政務信息系統(tǒng)所面臨的風險。

■風險處置

在風險評估后，廣州市XX科信局根據(jù)風險評估的結(jié)果，確定風險處置的策略，包括：

/采用風險控制措施，以降低面臨的信息安全風險；

/在滿足信息安全方針和風險接受準則的前提下，有意識地、客觀地接受風險：

/避免風險；

/轉(zhuǎn)移相關業(yè)務風險到其他方面，如:購買產(chǎn)品維保，運維服務外包等；

廣州XX區(qū)科信局根據(jù)風險處置策略，制定風險控制措施,對已識別出的風險進行分類

處理，并對殘余風險進行了批準。

■適用性聲明

在風險處置活動實施后，廣州市XX科信局從以下幾方面準備了體系適用性聲明：

/從ISO/IEC27001標準中附錄A給出的控制目標和控制措施，以及選擇的理由；

/當前實施的控制目標和控制措施；

/對附錄A中任何控制目標和控制措施的刪減，以及刪減的合理性說明。

(2).實施和運行信息安全管理體系

廣州市xx科信局在實施和運行信息安全管理體系中所開展的工作包括：

/通過風險管理方法來控制電子政務信息系統(tǒng)中存在的信息安全風險，配置資源、明

確職責和優(yōu)先級別，實施適當?shù)墓芾泶胧?/p>

,實施各信息安全管理體系文件中包括的控制措施，以達到各控制目標；

/測量各信息安全管理體系文件中控制措施實施的有效性，明確對測量結(jié)果的分析和

評估準則，并作為持續(xù)改進的輸入;

/實施培訓和意識教育計劃；

/管理ISMS的資源；

/實施能迅速檢測安全事件和響應安全事故的程序,具體要求參見《信息安全事件管理

辦法》。

(3).監(jiān)視和評審信息安全管理體系

廣州市xx科信局將對信息安全管理體系進行監(jiān)視，并定期或不定期的進行內(nèi)審和管理

評審，包括：

■執(zhí)行監(jiān)視和評審程序以及其它相關措施，以達到：

/迅速檢測信息安全管理體系運行過程中的缺陷和弱點；

/迅速識別潛在的和已發(fā)生的信息安全違規(guī)和事故；

,確保管理者分配給各人員的信息安全活動或通過信息技術實施的信息安全活動能如

期執(zhí)行；

/確定信息安全措施的有效性。

■在內(nèi)審結(jié)果、信息安全事故、有效性測量結(jié)果、所有相關方的建議和反饋的基礎上，定

期進行信息安全管理評審，以判斷信息安全管理體系的有效性。

■定期進行信息安全風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行

評審，評審時應考慮以下方面的變化：

/組織機構的變化；

,信息安全相關組織結(jié)構的變化；

/信息技術和信息安全技術的發(fā)展和變化：

/業(yè)務目標和過程的變化；

/已識別出的信息安全威脅的發(fā)展和變化；

/已實施信息安全控制措施的有效性:

/外部信息安全事件，如信息安全相關法律法規(guī)的變更、合同中信息安全義務的變更

利整體社會信息安全態(tài)勢的變更。

■每年兩次對信息安全管理體系進行內(nèi)部審核。

■每年一次對信息安全管理體系進行管理評審。

■依據(jù)監(jiān)視和評審活動的結(jié)果，對信息安全管理體系進行修改和完善。

■記錄可能影響信息安全管理體系有效性或執(zhí)行情況的措施和事件。

(4).保持和改進信息安全管理體系

廣州市xx科信局將根據(jù)已識別的信息安全管理體系的改進需求，選擇適當?shù)募m正措施和

預防措施，保持和持續(xù)改進信息安全管理體系，并向所有相關方溝通信息安全措施和改進需

求，并采取測量、追蹤和驗證措施，確保改進達到預期的目標。具體內(nèi)容參見《預防與不符

合糾正控制程序》。

3.文件要求

1)總則

信息安全管理體系文件包括如下內(nèi)容：

＞信息安全管理手冊與適用性聲明；

＞支持性程序文件；

＞各部門依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導書；

＞信息安全管理活動相關的各種記錄。

2)文件控制

＞文件是指信息及其承載媒體，媒體可以是紙張、計算機光盤或其它電子媒體或它們

的組合。記錄模板、規(guī)范、程序文件、手冊、圖樣、報告或標準均屬于文件。

＞信息安全管理體系文件由文檔管理員進行管理控制；由文檔管理員統(tǒng)一組織修訂和

發(fā)布。各系統(tǒng)的信息安全技術文檔由各系統(tǒng)管理員自行控制，并交文檔管理員處存

檔。文件控制參見《文件控制程序》。

3）記錄控制

＞記錄是指闡明所取得的結(jié)果或提供所完成活動的證據(jù)的信息安全文件,其作用是為

信息安全管理體系運作提供證據(jù)。

＞為了滿足過程的可追溯性要求和提供信息安全管理體系有效運行的客觀證據(jù)，除信

息安全管理體系標準中要求必須建立的記錄外，在各信息安全程序文件中對應該產(chǎn)

生的記錄做了說明和規(guī)定。

＞對信息安全記錄的標識、儲存、防護、檢索、保存期限和處置辦法進行控制。各管

理員負責其職責范圍內(nèi)信息安全管理相關記錄的編制、填寫、收集、保存和歸檔。

＞信息安全管理相關記錄的控制參見《記錄控制程序》。

4.管理職責

1）管理承諾

在廣州市xx科信局網(wǎng)絡與信息安全協(xié)調(diào)小組領導下，廣州市xx科信局通過以卜.幾方面

建立、實施、運行、監(jiān)視、評審管理體系并持續(xù)改進其有效性：

＞制定信息安全方針；

＞制定信息安全要求；

＞確保在科信局內(nèi)建立信息安全管理責任制；

＞向全體人員傳達滿足信息安全方針、信息安全要求、履行法律責任和持續(xù)改進的重

要性，使全體人員能正確理解并認真執(zhí)行信息安全管理體系；

＞提供足夠資源，以建立、實施、運行、監(jiān)視、評審和改進信息安全管理體系；

＞建立良好的內(nèi)部協(xié)調(diào)和溝通機制；

＞與上級政府部門及相關單位保持適當?shù)穆?lián)系；

＞決定接受風險的準則和風險的可接受級別；

＞確保信息安全管理體系內(nèi)審的執(zhí)行；

＞確保信息安全管理評審的執(zhí)行。

2）管理職責

＞信息安全管理體系（ISMS）責任人的職責（參見授權書）；

＞ISMS責任人負責制定信息安全方針和目標，負責信息安全管理重大問題的決策工

作。

＞安全管理員負責信息安全策略的開發(fā)，負責開展內(nèi)部信息安全維護的日常工作，負

責定期開展信息安全風險評估和風險處置，負責協(xié)助上級部門的信息安全測評和檢

查等。

＞機房管理員負責機房的物理與環(huán)境安全管理，負責機房硬件設備的維護。

＞網(wǎng)絡管理員負責電子政務外網(wǎng)及局域網(wǎng)的安全管理和維護；

＞系統(tǒng)管理員負責各業(yè)務系統(tǒng)（包括操作系統(tǒng)、中間件、應用系統(tǒng)）的安全管理和維

護；

＞文檔管理員負責ISMS相關文檔的歸檔和發(fā)布管理；

＞資產(chǎn)管理員負貨廣州市xx科信局所擁有信息資產(chǎn)的歸口管理；

＞體系審核員負責執(zhí)行廣州市XX科信局信息安全內(nèi)部審核，根據(jù)要求編制內(nèi)部審核實

施計劃,組織編制審核報告，并對審核中發(fā)現(xiàn)的不符合項跟蹤驗證。

3）內(nèi)部協(xié)調(diào)和溝通

＞確保在不同層次機構、職能部門之間，就信息安全管理體系的過程，包括信息安全

方針、信息安全目標及完成情況，以及實施的有效性，進行溝通，做到相互理解、

相互信任，達到全員參與的效果。

＞與信息安全管理體系有關的各種信息溝通，可采用各種方式如0A系統(tǒng)、各種會

議、通報等形式來實現(xiàn)。

4）外部聯(lián)系

廣州市xx科信局通過與上級信息安全主管部門，以及其它政府部門保持聯(lián)系，以支持：

＞信息安全事故管理中的響應、取證、協(xié)調(diào)等工作；

＞及時了解信息安全相關法律法規(guī)、政策的變化，并保持符合性。

廣州市XX科信局通過與國家有關信息安全機構，以及其他信息安全組織保持適當?shù)穆?lián)

系，以便：

＞增進對最佳實踐和最新相關安全信息的了解；

＞確保全面了解當前的信息安全態(tài)勢;

＞及時收集和發(fā)布關于攻擊和脆弱性的預警、建議和補丁;

＞獲得信息安全專家的建議；

＞分享和交換關于新技術、產(chǎn)品、威脅或脆弱性的信息；

＞提供處理信息安全事故時適當?shù)穆?lián)絡點。

5.資源管理

1)資源提供

廣州市xx科信局將為ISMS確定并提供以卜.活動所需資源：

＞建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系；

＞確保信息安全程序滿足業(yè)務的需求；

＞履行法律法規(guī)要求、以及合同中的安全義務；

＞正確實施所有必需的信息安全控制措施.

2)培訓、意識和能力

廣州市xx科信局將通過開展各種形式的信息安全培訓和教育活動,確保所有分配有1SM

S職責的人員具有一定的信息安全意識，以及執(zhí)行所要求任務的能力。

3)ISMS內(nèi)部審核

＞由體系審核員編制廣州市xx科信局的信息安全年度審核計劃，報1SMS責任人批準

后實施,一般情況下內(nèi)部審核每年不少于2次“

＞ISMS責任人負責信息安全管理體系內(nèi)部審核的組織和協(xié)調(diào)工作,體系審核員負責

具體實施,各部門配合。

＞每次審核前編制信息安全審核日程計劃及檢查表，作為現(xiàn)場審核依據(jù)。

＞體系審核員不審核自己部門的信息安全管理工作。

＞ISMS內(nèi)部審核參見《信息安全審核管理程序》。

＞內(nèi)部審核報告及糾正措施實施情況,應提交1SMS責任人審核。

4)1SMS的管理評審

1SMS責任人應定期對廣州市xx科信局信息安全管理體系進行評審，每年至少一次，通

常在內(nèi)審結(jié)束后的「2月內(nèi)進行。當廣州市xx科信局的信息安全管理體系發(fā)生重大變更和

出現(xiàn)重大信息安全事故時可以追加臨時管理評審。

體系審核員根據(jù)內(nèi)部審核的結(jié)果以及其它各項信息安全管理的要求，組織各部門準備管

理評審的材料，主要包括：

＞內(nèi)審的結(jié)果；

＞