硬件、数据库等）目录。
f（2）“门户网站”信息系统，按照等级保护要求进行建设和运维。各单位自建的网络、网站和信息系统参照执行。
（3）编制完成XXXX网络和信息安全事件总体应急预案，并组织应急演练。各单位自建的网络、网站和信息系统参照执行。
（4）按需开展XXXX信息安全风险评估，由第三方机构对”门户网站”开展外部评估，各单位以自评估为主。
（5）每年开展1次全区范围的信息系统安全检查（自查）。（6）每年组织2次全区范围的信息安全管理制度宣传。（培训人数比例80％以上）。
四信息安全管理体系组织机构图
局网络与信息安全协调小组
局网络与信息安全协调小组办公室
XXXX处（信息化委员会）
安
机
网
应
主
外
全
房
络
用
机
包
管
管
管
管
管
服
理
理
理
理
理
务
员
员
员
员
员
公
司
五主要安全策略
（1）建立XXXX信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责，建立健全信息安全管理责任制，使得信息安全各项职责落实到人。
f（2）对XXXX信息安全管理体系进行定期地内审和管理评审，对各项安全控制措施实施后的有效性进行测量，并实施相应的纠正和预防措施，以保证信息安全管理体系持续的充分性、适宜性、有效性。
（3）对XXXX信息系统中所存在的安全风险进行有计划的评估和管理。定期对XXXX信息系统实施信息安全风险评估，根据评估结果选择适当的安全策略和控制措施，将安全风险控制在可接受的水平。风险评估至少每年一次，在信息系统发生重大改变后，也应进行风险评估。
（4）XXXX电子政务信息系统分等级保护。按照国家等级保护有关要求，对XXXX信息系统及信息确定安全等级，并根据不同的安全等级实施分等级保护。
（5）规范XXXX信息资产（包括硬件、软件、服务等）管理流程，建立信息资产管理台帐，明确资产所有者、使用者与维护者，对所有信息资产进行标记，实现对信息资产购买、使用、变更、报废整个周期的安全管理。
（6）加强所有人员（包括XX市各单位内部人员，以及各类外来人员）的安全管理，明确岗位安全职责，制定针对违规的惩戒措施，落实人员聘用、在岗和离岗时的安全控制，与敏感岗位人员签署保密协议。
（7）通过正式的信息安全培训，以及网站、简报、会议、讲座等各种形式的信息安全教育活动，不断加强XXXX各单位人员的信息安全意识，提高他们的信息安全技能。
（8）保障机房物理与环境安全。实施包括门禁、视频监控r