信息安全管理手册
(一)发布说明
为了落实国家与广州市网络信息安全与等级保护的相关政策,贯彻信息安全
管理体系标准,提高广东省质量技术监督局信息安全管理水平,维护广东省质量
技术监督局业务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等
级,按照ISO/IEC27001:2005《信息安全管理体系要求》、ISO/IEC17799:2005
《信息安全管理实用规则》,以及GB/T22239-2008《信息系统安全等级保护基
本要求》,编制完成了广东省质量技术监督局信息安全管理体系文件,现予以批
准颁布实施。
信息安全管理手册是纲领性文件,是指导广东省质量技术监督局等各级政府
部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。
信息安全管理手册于发布之日起正式实施。
_________________
年月日
(二)授权书
为了贯彻执行ISO/IEC27001:2005《信息安全管理体系要求》、ISO/IEC
17799:2005《信息安全管理实用规则》,以及GB/T22239-2008《信息系统安全
等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权广东
省质量技术监督局管理广州市政务信息安全工作,并保证信息安全管理职责的独
立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施广州市政务信息安全管理体系;
?负责向广东省质量技术监督局办公室主任报告信息安全管理体系的实
施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管
理体系改进的基础;
?负责向广东省质量技术监督局各级政府部门全体人员宣传信息安全的
重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识;
?负责广东省质量技术监督局信息安全管理体系对外联络工作。
(三)信息安全要求
1.具体阐述如下:
(1)在广东省质量技术监督局信息安全协调小组的领导下,全面贯彻国家
和广州市关于信息安全工作的相关指导性文件精神,在广东省质量技术监督局内
建立可持续改进的信息安全管理体系。
(2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和
完善各项信息安全管理制度,使得信息安全管理有章可循。
(3)通过定期地信息安全宣传、教育与培训,不断提高广东省质量技术监
督局所有人员的信息安全意识及能力。
(4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事
件进行快速、有序地响应。
(5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险
评估和控制,将信息安全风险控制在可接受的水平。
(6)按照PDCA精神,持续改进广东省质量技术监督局信息安全各项工作,
保障广东省质量技术监督局业务外网安全畅通与可控,保障所开发和维护信息系
统的安全稳定,为广东省质量技术监督局所有企业和社会公众提供安全可靠的业
务服务。
2.信息安全总体要求
(1)建立广东省质量技术监督局信息化资产(软件、硬件、数据库等)目
录。
(2)“门户网站”信息系统,按照等级保护要求进行建设和运维。各单位自
建的网络、网站和信息系统参照执行。
(3)编制完成广东省质量技术监督局网络和信息安全事件总体应急预案,
并组织应急演练。各单位自建的网络、网站和信息系统参照执行。
(4)按需开展广东省质量技术监督局信息安全风险评估,由第三方机构对”
门户网站”开展外部评估,各单位以自评估为主。
(5)每年开展1次全区范围的信息系统安全检查(自查)。
(6)每年组织2次全区范围的信息安全管理制度宣传。(培训人数比例80%
以上)。
(四)信息安全管理体系组织机构图
院网络与信息安全协调小组
院网络与信息安全协调小组办公室