信息中心信息安全管理手册-

信息中心信息安全管理手册-内容摘要：

围 本手册按照 ISO/IEC 27001： 2020 《信息安全管理体系要求》，结合 广州市 xx 区政府 科信局 信息系统 的实际编制而成，符合 ISO/IEC 27001： 2020 标准的全部要求。 本 管理制度 适用于 广州市 xx 区政府 科信局 的电子政务应用管理。 (七 ) 引用标准 下列文件和标准通过本手册的引用，均为本手册的条文。 本手册使用时所示文件和标准均为有效版本。 当引用文件和标准被修订时，使用其最新版本 : ? ISO/IEC 27001： 2020《信息安全管理体系要求》 ? ISO/IEC 17799： 2020《信息安全管理实用规则》 ? GB/T 222392020《信息系统安全等级保护基本要求》 (八 ) 信息安全管理体系（ ISMS） 1. 总体 要求 广州市 xx 区政府 科信局 依据 ISO/IEC 27001： 2020 《信息安全管理体系要求》，建立信息安全管理体系，并形成相关的信息安全管理体系文件，由 广州市xx 区政府 科信局 批准发布后在 广州市 xx 区政府 科信局 范围内实施并保持，利用内部审核、管理评审、纠正和预防措施以及持续改进的手段，确保信息安全管理体系的有效性。 2. 建立和管理信息安全管理体系 (1). 建立信息安全管理体系 ? ISMS 范围 根据 广州市 xx 区政府 科信局 业务特点、组织机构、物理位置的不同，确定广州市 xx 区政府 科信局 信息安全管理体系的范围为： ? 广州市 xx 区政府 的所有部门和正式工作人员； ? 广州市 xx 区政府 科信局 主要负责 广州市 xx 区 政府信息化建设工作，负责运行、维护和管理覆盖全区的电子政务专网、资源平台和多个重要电子政务业务应用系统。 ? 与 广州市 xx 区政府 科信局 业务活动相关的应用系统及其包含的全部信息资产，其中应用系统包括：”门户网站”等；信息资产包括：与上述业务应用系统相关的数据、硬件、软件、服务及文档等。 ? 广州市 xx 区政府 科信局 的办 公场所和上述业务应用系统所处机房，其中机房包括 广州市 xx 区政府 科信局 政府机房。 ? ISMS 方针 根据 信息安全管理的需求 ，确定 广州市 xx 区政府 科信局 的信息安全方针和主要信息安全策略。 信息安全方针为： ? 全员参与 ? 明确责任 ? 预防为主 ? 快速响应 ? 风险管控 ? 持续改进 ? 风险评估 在体系建立过程中， 广州市 xx 区政府 科信局 确定 信息安全风险评估方法，对 广州 xx 区 科信局 电子政务信息系 统实施风险评估，识别电子政务信息系统所面临的风险。 ? 风险处置 在风险评估后， 广州市 xx 区政府 科信局 根据风险评估的结果，确定风险处置的策略， 包括： ? 采用 风险 控制措施，以降低面临的信息安全风险 ； ? 在满足信息安全方针和风险接受准则的前提下，有意识地、客观地接受风险 ； ? 避免风险 ； ? 转移相关业务风险到其他方面 ， 如： 购买产品维保 ， 运维服务外包 等 ； 广州 xx 区 科信局 根据风险处置策略 ， 制定风险控制措施，对已识别出的风险进行分类处理， 并对残余风险进行了批准。 ? 适用性声明 在风险处置活动实施后， 广州市 xx 区政府 科信局 从 以下几方面准备 了体系 适用性声明： ? 从 ISO/IEC 27001 标准中附录 A 给出 的控制目标和控制措施，以及选择的理由； ? 当前实施的控制目标和控制措施； ? 对附 录 A 中任何控制目标和控制措施的删减，以及删减的合理性说明。 (2). 实施和运行信息安全管理体系 广州市 xx 区政府 科信局 在实施和运行信息安全管理体系中所开展的工作包括： ? 通过风险管理方法来控制 电子政务 信息系统中存在的信息安全风险， 配置资源、明确 职责和优先级别 ， 实施适当的管理措施； ? 实施各 信息安全管理体系 文件中包括的控制措施，以达到各控制目标 ； ? 测量各 信息安全管理体系 文件中控制措施实施的有效性，明确对测量结果的分析和评估准则，并作为持续改进的输入 ； ? 实施培训和意识教育计划 ； ? 管理 ISMS 的资源 ； ? 实施能迅速检测安全事件 和响应安全事故的程序，具体要求参见《信息安全事 件 管理 办法 》。 (3). 监视和评审信息安全管理体系 广州市 xx 区政府 科信局 将 对信息安全管理 体系 进行监视，并定期或不定期的进行内审和管理评审，包括： ? 执行监视和评审程序 以及 其它 相关 措施，以 达到 ： ? 迅速检测 信息安全管理体系运行 过程中的 缺陷和弱点 ； ? 迅速识别潜在的和已发生的 信息 安全违规和事故； ? 确保管理者分配给 各 人员的 信息 安全活动或通过信息技术实施的 信息 安全活动能如期执行； ? 确定 信息 安全措施 的 有效性。 ? 在内审结果、信息安全事故、有效性测量结果、所有相关方的建议和反馈的基础上， 定期进行 信息安全 管理评审，以判断信息安全管。