【正文】 級(jí)政府部門建立并實(shí)施信息安全管理體系的行動(dòng)準(zhǔn)則，全體人員必須遵照執(zhí)行。 負(fù)責(zé)向XXXX各級(jí)政府部門全體人員宣傳信息安全的重要性，負(fù)責(zé)信息安全教育、培訓(xùn)，不斷提高全體人員的信息安全意識(shí)；252。2. 信息安全總體要求（1）建立XXXX信息化資產(chǎn)（軟件、硬件、數(shù)據(jù)庫等）目錄。（培訓(xùn)人數(shù)比例80％以上）。（5）規(guī)范XXXX信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息資產(chǎn)購買、使用、變更、報(bào)廢整個(gè)周期的安全管理。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問電子政務(wù)信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全。（14）加強(qiáng)信息安全日常管理，包括系統(tǒng)口令管理、無人值守設(shè)備管理、屏幕保護(hù)、便攜機(jī)管理等，促使每位人員的日常工作符合XXXX信息安全策略和制度要求。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機(jī)構(gòu)對(duì)軟件安全性的測評(píng)。當(dāng)引用文件和標(biāo)準(zhǔn)被修訂時(shí)，使用其最新版本:252。 與XXXX業(yè)務(wù)活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及其包含的全部信息資產(chǎn)，其中應(yīng)用系統(tǒng)包括：”門戶網(wǎng)站”等；信息資產(chǎn)包括：與上述業(yè)務(wù)應(yīng)用系統(tǒng)相關(guān)的數(shù)據(jù)、硬件、軟件、服務(wù)及文檔等。 快速響應(yīng)252。n 適用性聲明在風(fēng)險(xiǎn)處置活動(dòng)實(shí)施后，XXXX從以下幾方面準(zhǔn)備了體系適用性聲明：252。 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃；252。n 在內(nèi)審結(jié)果、信息安全事故、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，定期進(jìn)行信息安全管理評(píng)審，以判斷信息安全管理體系的有效性。 外部信息安全事件，如信息安全相關(guān)法律法規(guī)的變更、合同中信息安全義務(wù)的變更和整體社會(huì)信息安全態(tài)勢的變更。 信息安全管理手冊與適用性聲明；216。 信息安全管理體系文件由文檔管理員進(jìn)行管理控制；由文檔管理員統(tǒng)一組織修訂和發(fā)布。 對(duì)信息安全記錄的標(biāo)識(shí)、儲(chǔ)存、防護(hù)、檢索、保存期限和處置辦法進(jìn)行控制。 向全體人員傳達(dá)滿足信息安全方針、信息安全要求、履行法律責(zé)任和持續(xù)改進(jìn)的重要性，使全體人員能正確理解并認(rèn)真執(zhí)行信息安全管理體系；216。 信息安全管理體系（ISMS）責(zé)任人的職責(zé)（參見授權(quán)書）；216。 系統(tǒng)管理員負(fù)責(zé)各業(yè)務(wù)系統(tǒng)（包括操作系統(tǒng)、中間件、應(yīng)用系統(tǒng)）的安全管理和維護(hù)；216。4) 外部聯(lián)系XXXX通過與上級(jí)信息安全主管部門，以及其它政府部門保持聯(lián)系，以支持：216。 分享和交換關(guān)于新技術(shù)、產(chǎn)品、威脅或脆弱性的信息；216。3) ISMS內(nèi)部審核216。216。 信息安全方針、信息安全目標(biāo)、風(fēng)險(xiǎn)控制措施的實(shí)施情況；216。5) 評(píng)審結(jié)果主要包括：216。具體的改進(jìn)內(nèi)容參見《預(yù)防與不符合糾正控制程序》。216。 體系審核員負(fù)責(zé)組織驗(yàn)證預(yù)防與糾正措施的有效性。216。 對(duì)于出現(xiàn)的信息安全不合格項(xiàng)，由體系審核員填寫《預(yù)防和糾正措施處理單》中相應(yīng)內(nèi)容，確定責(zé)任部門；由責(zé)任部門填寫“原因分析”欄，制定糾正措施并實(shí)施。 信息安全管理組織機(jī)構(gòu)是否需要調(diào)整，信息安全管理體系及其要素是否需要改進(jìn)；216。 信息安全整改/改進(jìn)措施實(shí)施情況；216。216。216。5. 資源管理1) 資源提供XXXX將為ISMS確定并提供以下活動(dòng)所需資源：216。 及時(shí)了解信息安全相關(guān)法律法規(guī)、政策的變化，并保持符合性。 資產(chǎn)管理員負(fù)責(zé)XXXX所擁有信息資產(chǎn)的歸口管理；216。216。 建立良好的內(nèi)部協(xié)調(diào)和溝通機(jī)制；216。216。文件控制參見《文件控制程序》。 各部門依據(jù)程序文件制定的操作規(guī)程、規(guī)范和作業(yè)指導(dǎo)書；216。n 每年一次對(duì)信息安全管理體系進(jìn)行管理評(píng)審。 組織機(jī)構(gòu)的變化；252。 實(shí)施能迅速檢測安全事件和響應(yīng)安全事故的程序，具體要求參見《信息安全事件管理辦法》。 當(dāng)前實(shí)施的控制目標(biāo)和控制措施；252。 持續(xù)改進(jìn)n 風(fēng)險(xiǎn)評(píng)估在體系建立過程中，XXXX確定信息安全風(fēng)險(xiǎn)評(píng)估方法，對(duì)XXXX電子政務(wù)信息系統(tǒng)實(shí)施風(fēng)險(xiǎn)評(píng)估，識(shí)別電子政務(wù)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)。 XXXX的辦公場所和上述業(yè)務(wù)應(yīng)用系統(tǒng)所處機(jī)房，其中機(jī)房包括XXXX政府機(jī)房。 ISO/IEC 17799：2005《信息安全管理實(shí)用規(guī)則》252。（18）重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫針對(duì)電子政務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行測試和演練，在信息系統(tǒng)發(fā)生故障或事故時(shí)，能迅速、有序地進(jìn)行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給XXXX電子政務(wù)信