全要求、履行法律责任和持续改进的重要性,使全体人员能正确理解并认真执行信息安全管理体系;
提供足够资源,以建立、实施、运行、监视、评审和改进信息安全管理体系;
建立良好的内部协调和沟通机制;与上级政府部门及相关单位保持适当的联系;决定接受风险的准则和风险的可接受级别;确保信息安全管理体系内审的执行;确保信息安全管理评审的执行。
2管理职责
信息安全管理体系(ISMS)责任人的职责(参见授权书);ISMS责任人负责制定信息安全方针和目标,负责信息安全管理重大问
题的决策工作。安全管理员负责信息安全策略的开发,负责开展内部信息安全维护的日
常工作,负责定期开展信息安全风险评估和风险处置,负责协助上级部门的信息安全测评和检查等。机房管理员负责机房的物理与环境安全管理,负责机房硬件设备的维护。网络管理员负责电子政务外网及局域网的安全管理和维护;系统管理员负责各业务系统(包括操作系统、中间件、应用系统)的安全管理和维护;文档管理员负责ISMS相关文档的归档和发布管理;资产管理员负责XXXX所拥有信息资产的归口管理;体系审核员负责执行XXXX信息安全内部审核,根据要求编制内部审核实施计划,组织编制审核报告,并对审核中发现的不符合项跟踪验证。
f3内部协调和沟通
确保在不同层次机构、职能部门之间,就信息安全管理体系的过程,包括信息安全方针、信息安全目标及完成情况,以及实施的有效性,进行沟通,做到相互理解、相互信任,达到全员参与的效果。
与信息安全管理体系有关的各种信息沟通,可采用各种方式如OA系统、各种会议、通报等形式来实现。
4外部联系
XXXX通过与上级信息安全主管部门,以及其它政府部门保持联系,以支持:信息安全事故管理中的响应、取证、协调等工作;及时了解信息安全相关法律法规、政策的变化,并保持符合性。
XXXX通过与国家有关信息安全机构,以及其他信息安全组织保持适当的联系,以便:
增进对最佳实践和最新相关安全信息的了解;确保全面了解当前的信息安全态势;及时收集和发布关于攻击和脆弱性的预警、建议和补丁;获得信息安全专家的建议;分享和交换关于新技术、产品、威胁或脆弱性的信息;提供处理信息安全事故时适当的联络点。
5资源管理
1资源提供
XXXX将为ISMS确定并提供以下活动所需资源:建立、实施、运行、监视、评审、保持和改进信息安全管理体系;确保信息r