ISMS-Sinosoft-h-01-XXXX信息安全管理手冊

1、 ISMSPAGE 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China. 31/31保密等級級公開文檔名稱稱信息安全全管理手手冊文檔編號號ISMSS/Siinossoftt-h-01-20008發(fā)布組織織Sinoosofft信息息安全委委員會發(fā)布日期期20088年1月1日執(zhí)行日期期20088年1月1日版本號A1.00信息安全全管理手手冊批準人簽簽字審核人簽簽字制訂人簽簽字日期： 20008/11 /1日期：220088/1 /1日期：220088/1 /1南京擎天天科技有有限公司司Nanjjingg

2、Siinossoftt Teechnnoloogy Co., Lttd.變更履歷歷序號版本編號號或更改改記錄編編號變化狀態(tài)態(tài) *簡要說明明(變更內內容、變變更位置置、變更更原因和和變更范范圍)變更日期期變更人審核人批準人批準日期期1A1.00C創(chuàng)建，全全頁。20088/1/1許明星茅建平汪曉剛20088/1/1*變化狀狀態(tài)：CC創(chuàng)創(chuàng)建，AA增增加，MM修修改，DD刪刪除公司介紹紹南京擎天天科技有有限公司司(Nanjjingg Siinossoftt Teechnnoloogy Co., LLtd.簡稱Siinossoftt)成立于于19998年112月，通過持持續(xù)創(chuàng)新新，公司司已成長長為集應應

3、用軟件件開發(fā)、信息系系統集成成和專業(yè)業(yè)咨詢服服務為一一體的國國家級高高新技術術企業(yè)。20005年，公司成成功中標標國稅總總局的“金稅三三期出口口退稅系系統”建建設工程程。20006年年3月66日在倫倫敦證交交所掛牌牌上市，市值達達18億億元，是是國內首首家登陸陸英國資資本市場場的軟件件企業(yè)。Sinoosofft總部部設在南南京，在在南京市市國家級級高新技技術開發(fā)發(fā)區(qū)建有有獨立的的研發(fā)與與測試中中心，在在北京、蘇州、無錫、常州設設有分支支機構及及技術服服務中心心。公司司以領先先的技術術、穩(wěn)定定可靠的的產品、優(yōu)質完完善的服服務，贏贏得了廣廣大客戶戶的支持持與信任任，打造造出“擎擎天”品品牌。Sin

4、oosofft定位位于應用用軟件的的開發(fā)，公司先先后承擔擔國家、省、市市重大科科研開發(fā)發(fā)項目數數十項，公司擁擁有700多項自自主開發(fā)發(fā)產品，其中449項獲獲得國家家版權局局頒發(fā)的的著作權權證書及及有關國國家專利利，并積積極參與與全國性性的軟件件標準制制訂工作作。多個個項目被被列為“國家重重點火炬炬計劃”、“國國家火炬炬計劃”、“國國家創(chuàng)新新基金”、“國國家重點點新產品品”。多多項產品品先后榮榮獲中國國優(yōu)秀軟軟件產品品、江蘇蘇省優(yōu)秀秀軟件產產品獎(金慧獎獎)、江江蘇省科科技進步步三等獎獎、南京京市優(yōu)秀秀軟件一一等獎、南京市市科技進進步一等等獎、南南京市科科技進步步二等獎獎。Siinossoftt

5、現有客客戶3000000余家，包括巴巴斯夫、摩托羅羅拉、LLG等世世界5000強知知名企業(yè)業(yè)。Siinossoftt現已在在中國、英國、美國、香港地地區(qū)、臺臺灣地區(qū)區(qū)注冊商商標，申申請多項項專利，今后還還將繼續(xù)續(xù)加大知知識產權權的保護護力度。經過多多年的積積累，公公司已獲獲得諸多多資質和和榮譽，包括：國家信息息產業(yè)部部計算機機信息系系統集成成二級資資質通過國際際軟件成成熟度模模型集成成CMMMI3級級評估通過ISSO90001：20000質量量管理體體系認證證，044年、007年順順利通過過復審國國家智能能化工程程設計甲甲級資質質入選國家家電子政政務標準準化總體體組成員員單位入選國家家金稅三三

6、期工程程專家組組成員單單位入選全國國辦公自自動化專專業(yè)委員員單位A級納稅稅單位資信等級級為AAAA榮獲江蘇蘇省名牌牌稱號江蘇省百百家重點點培育民民營科技技企業(yè)江蘇省重重點服務務外包企企業(yè)南京市骨骨干軟件件企業(yè)南京市百百強科技技工業(yè)企企業(yè)江蘇軟件件收入二二十強經過多年年的市場場開拓，Sinnosooft先先后承接接全國數數百個大大中型建建設項目目，積累累了豐富富的工程程技術經經驗。目目前Siinossoftt的出口口退稅系系統系列列產品在在國家稅稅務總局局、江蘇蘇省國稅稅局、海海南省國國稅局等等出口退退稅部門門和4萬萬余戶出出口企業(yè)業(yè)中應用用，并得得到良好好的應用用，截止止20007年110月，

7、“擎天天出口退退稅系統統軟件”占全國國產品市市場總份份額的335%，全國同同行業(yè)第第一位。Sinnosooft不不斷跟蹤蹤國際信信息技術術及相關關技術、管理規(guī)規(guī)范的最最新發(fā)展展，結合合中國國國情和實實際經驗驗，不斷斷更新軟軟件開發(fā)發(fā)、系統統集成、工程管管理等方方面的技技術水平平和規(guī)范范標準，依托企企業(yè)形成成市場、技術、人才和和產品的的良性循循環(huán)，努努力將“Sinnosooft技技術中心心”建成成全省共共性軟件件、平臺臺軟件和和基礎軟軟件新技技術、新新產品、新標準準的“輻輻射中心心”，帶帶動本行行業(yè)開發(fā)發(fā)企業(yè)不不斷向更更高更新新的層次次發(fā)展。信息安全全方針批批準令信息安全全管理體體系方針針1總體

8、體方針：實施風險險管理，技術管管理同步步，確保保信息安安全，滿滿足相關關方要求求，實現現可持續(xù)續(xù)發(fā)展。2詮釋釋：我們通過過計算機機及網絡絡設備提提供公司司各種業(yè)業(yè)務服務務的開展展，因此此，信息息資產的的安全性性對我們們來說是是最重要要的事情情。為了了保證各各種信息息資產的的保密性性、完整整性、可可用性，給客戶戶提供更更加安心心的服務務，我們們依據IISO/IECC 2770011:20005標標準，建建立信息息安全管管理體系系，并承承諾如下下：21 在公司司內各層層次建立立完整的的信息安安全管理理組織機機構，確確定信息息安全方方針、安安全目標標和控制制措施，明確信信息安全全的管理理職責；22

9、識別并并滿足適適用法律律法規(guī)和和政府、客戶等等相關方方的信息息安全要要求；23 定期進進行信息息安全風風險評估估，體系系評審，采取糾糾正預防防措施，保證本本公司信信息安全全體系的的持續(xù)有有效性；24 采用先先進有效效的設施施和技術術，處理理、傳遞遞、儲存存和保護護各類信信息；25 對全體體員工進進行持續(xù)續(xù)的信息息安全教教育和培培訓，不不斷增強強員工信信息安全全意識和和能力；26 制定并并保持完完善的業(yè)業(yè)務連續(xù)續(xù)性計劃劃，實現現可持續(xù)續(xù)發(fā)展；27 對于本本基本方方針的適適用性、充分性性，將結結合實際際狀況定定期評審審，必要要時予以以修訂；28 公司根根據本信信息安全全管理體體系方針針制定各各種策

10、略略。88年1月南京擎天天科技有有限公司司總經理：1.目的的和范圍圍為了建立立、健全全本公司司信息安安全管理理體系，確定信信息安全全方針和和目標，對信息息安全風風險進行行有效管管理，確確保全體體員工理理解并遵遵照執(zhí)行行信息安安全管理理體系文文件、持持續(xù)改進進管理體體系的有有效性，特制定定本手冊冊。1.1 本手冊冊按照IISO/IECC 2770011:20005信息安安全管理理體系要要求，并結合合我公司司管理的的實際情情況編寫寫，用于于在合同同條件下下向客戶戶和第三三方證明明我公司司的信息息安全管管理體系系能滿足足規(guī)定的的標準。1.2信信息安全全管理體體系適用用范圍本手冊適適用于44.2.1條

11、款款確定范范圍內的的信息安安全管理理活動。1)數據據處理活活動；2)本公公司范圍圍內的上上訴業(yè)務務流程包包括的部部門和員員工；3)與22)所述述活動相相關的應應用系統統及支持持性信息息管理系系統包含含的全部部信息資資產；4)公司司連接互互聯網的的服務器器及相關關數據傳傳輸的活活動。2.引用用標準ISO/IECC 1777999:20005 信息技技術安全技技術-信信息安全全管理實實施細則則ISO/IECC 2770011:20005信息安安全管理理體系要要求3.術語語和定義義本手冊采采用ISSO/IIEC 270001:20005中的的術語和和定義。3.1要要求明示的、通常隱隱含的或或必須履履

12、行的需需求或期期望。3.2顧顧客滿意意顧客對其其要求已已被滿足足的程度度的感受受。3.3信信息安全全管理體體系在信息安安全方面面指揮和和控制組組織的管管理體系系。3.4方方針由組織的的最高管管理者正正式發(fā)布布的該組組織總的的安全宗宗旨和方方向。3.5目目標在安全管管理方面面,所追追求的目目的。3.6持持續(xù)改進進增強滿足足要求的的能力的的循環(huán)活活動。3.7顧顧客接受產品品的組織織或個人人。3.8供供方提供產品品的組織織或個人人。3.9組組織職責、權權限和相相互關系系得到安安排的一一組人員員及設施施。3.100相關方方與組織的的業(yè)績或或成就有有利益關關系的個個人或團團體。3.111過程一組將輸輸入

13、轉化化為輸出出的相互互關聯或或相互作作用的活活動。3.122產品過程的結結果。3.133可追溯溯性追溯所考考慮對象象的歷史史、應用用情況或或所處場場所的能能力。3.144預防措措施為消除潛潛在不合合格或其其他潛在在不期望望情況的的原因所所采取的的措施。3.155糾正措措施為消除已已發(fā)現的的不合格格或其他他不期望望情況的的原因所所采取的的措施。3.166手冊規(guī)定組織織安全管管理體系系的文件件。3.177審核為獲得審審核證據據并對其其進行客客觀的評評價,以以確定滿滿足審核核準則的的程度所所進行的的系統的的、獨立立的并形形成文件件的過程程。3.188評審為確定主主題事項項達到規(guī)規(guī)定目標標的適宜宜性、

14、充充分性和和有效性性所進行行的活動動。3.199記錄闡明所取取得的結結果或提提供所完完成活動動的證據據的文件件。3.200規(guī)范闡明要求求的文件件。3.211 資產產對組織有有價值的的任何事事物。 ISSO/IIEC 133335-1:2200443.222 可用用性已授權實實體一旦旦需要就就可訪問問和使用用的特性性。 ISOO/IEEC 1133335-11:200043.233保密性性使信息不不泄露給給未授權權的個人人、實體體、過程程或不使使信息為為其利用用的特性性。 ISOO/IEEC 1133335-11:200043.244 信息息安全保持信息息的保密密性、完完整性和和可用性性；另外外

15、，還可可能包括括真實性性、可核核查性、抗抵賴賴和可靠靠性。 ISSO/IIEC 177799：200053.255信息安安全事情情系統、服服務或網網絡狀態(tài)態(tài)已經確確認發(fā)生生顯示可可能違背背信息安安全方針針或安全全故障，或可能能與安全全相關的的以前未未知的情情況 ISOO/IEEC TTR 1180444:2200443.266 信息息安全事事件單一或一一系列不不必要的的或不期期望的有有危及業(yè)業(yè)務運作作和威脅脅信息安安全的重重大可能能的信息息安全事事件 ISOO/IEEC TTR 1180444:2200443.277 信息息安全管管理體系系(ISSMS)組織整個個管理體體系的一一部分，以業(yè)務務

16、風險方方法為基基礎，建建立、實實施、運運作、監(jiān)監(jiān)視、評評審、保保持并持持續(xù)改進進信息安安全。注：管理理體系包包括：組組織結構構、方針針、計劃劃活動、職責、規(guī)范、程序、過程和和資源。3.288 完整整性保護資產產準確性性和完備備性的特特性。 ISSO/IIEC 133335-1:2200443.299 剩余余風險經過風險險處理后后殘留的的風險。 IISO/IECC 733指南:200023.300 風險險接受接受某一一風險的的決定。ISSO/IIEC 73指指南:2200223.311 風險險分析系統的使使用信息息，以識識別來源源并估計計風險。ISSO/IIEC 73指指南:2200223.32

17、2 風險險評估整個風險險分析和和風險評評價過程程。IISO/IECC 733指南:200023.333 風險險評價依據給定定的風險險準則比比較已估估計的風風險，以以確定風風險嚴重重程度的的過程。ISSO/IIEC 73指指南:2200223.344 風險險管理指導并控控制組織織有關風風險的協協調的活活動。ISOO/IEEC 773指南南:200023.355 風險險處理選擇并實實施措施施以降低低風險的的過程。ISSO/IIEC 73指指南:2200223.366 適用用性聲明明描述關于于并適用用于組織織的ISSMS的的控制目目標和控控制措施施的文件件。注：控制制目標和和控制措措施是建建立在風風

18、險評估估和處理理過程的的結果和和結論、法律法法規(guī)要求求、合同同義務和和組織的的信息安安全業(yè)務務要求的的基礎上上。3.377 有關關縮寫的的術語ISO-國際標標準化組組織IEC-國際電電工委員員會GB-國國家標準準ISMSS-信息息安全管管理體系系Sinoosofft-南京擎擎天科技技有限公公司4.信息息安全管管理體系系4.1 總要求求公司依據據ISOO/IEEC 2270001:220055標準的的要求，建立、實施、運行、監(jiān)視、評審、保持和和改進信信息安全全管理體體系，形形成文件件;本公公司全體體員工將將有效地地貫徹執(zhí)執(zhí)行并持持續(xù)改進進有效性性，對過過程的應應用和管管理詳見見信息息安全管管理體

19、系系過程模模式圖（圖11）。信息安全全管理體體系是在在公司整整體經營營活動和和經營風風險架構構下，針針對信息息安全風風險的管管理體系系；輸入輸出相關方信息安全的要求和期望相關方管理的信息安全建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMSPlanDoCheckAction圖1信息息安全管管理體系系過程模模式圖4.2 建立和和管理IISMSS4.2.1 建建立ISSMS公司應：a)根據據公司的的業(yè)務特特征、組組織結構構、地理理位置、資產和和技術定定義ISSMS范范圍和邊邊界，包包括在范范圍內任任何刪減減的細節(jié)節(jié)和理由由（見標標準1.2）。本公司IISMSS的范圍圍和邊界界包括：

20、1) 數數據處理理活動；2) 本本公司范范圍內的的上訴業(yè)業(yè)務流程程包括的的部門和和員工；3) 與與2)所所述活動動相關的的應用系系統及支支持性信信息管理理系統包包含的全全部信息息資產；4 )公公司連接接互聯網網的服務務器及相相關數據據傳輸的的活動。b)根據據公司的的業(yè)務特特征、組組織結構構、地理理位置、資產和和技術定定義ISSMS方方針，必必須滿足足以下要要求：1)為IISMSS目標建建立一個個框架并并為信息息安全活活動建立立整體的的方向和和原則；2)考慮慮業(yè)務及及法律或或法規(guī)的的要求，以及合合同的安安全義務務；3)與公公司戰(zhàn)略略和風險險管理相相一致的的環(huán)境下下，建立立和保持持ISMMS；4)

21、建立立風險評評價的準準則；5)總經經理批準準發(fā)布IISMSS方針。c) 定定義公司司風險評評估方法法。質量與項項目管理理中心負負責建立立信息息安全風風險評估估管理程程序并并組織實實施。信息安安全風險險評估管管理程序序包括括可接受受風險準準則和可可接受水水平。1) 識識別適用用于ISSMS和和已經識識別的業(yè)業(yè)務信息息安全、法律和和法規(guī)要要求的風風險評估估方法。2) 建建立接受受風險的的準則并并識別風風險的可可接受等等級 。選擇的風風險評估估方法應應確保風風險評估估能產生生可比較較的和可可重復的的結果。注：風險險評估具具有不同同的方法法。具體體參照IISO/IECC TRR 1333355-3，信

22、息息技術ITT安全管管理指南南ITT安全管管理技術術。3) 公公司的風風險評估估的流程程信息資產產識別重要要信息資資產（通通過資產產評估標標準）信息息資產的的威脅識識別和評評價薄弱點點識別和和評價（對應威威脅）確認認已經采采取的安安全控制制措施確定風風險等級級（風險險等級標標準）d) 識識別風險險：1) 識識別ISSMS控控制范圍圍內的資資產以及及這些資資產的所所有者；在已確確定的IISMSS范圍內內，對所所有的信信息資產產進行列列表識別別。信息息資產包包括文檔檔/數據據、軟件件/系統統、硬件件/設施施、人力力資源、服務、無形資資產等。對每一一項信息息資產，根據重重要信息息資產判判斷依據據確定

23、是是否為重重要信息息資產，形成信息資資產識別別表。2) 識識別對這這些資產產的威脅脅，一項項資產可可能面對對若干個個威脅；3) 識識別可能能被威脅脅利用的的脆弱性性，一項項脆弱性性也可能能面對若若干個威威脅；4) 識識別保密密性、完完整性和和可用性性損失可可能對資資產造成成的影響響。解釋： “所有者者”代表已已被授權權的個人人或實體體，對資資產的生生產、開開發(fā)、維維護、使使用、安安全負有有管理責責任。“所有者者”不代表表個人對對資產具具有真正正的財產產權。e) 分分析并評評價風險險：1) 在在資產識識別的基基礎上，針對每每一項重重要信息息資產，依據風險評評估原則則中的的信息資資產CIIAB分分

24、級標準準，進行行CIAAB的資資產賦值值計算；2) 針針對每一一項重要要信息資資產，參參考風風險評估估原則中的威脅參參考表及以往往的安全全事故（事件）記錄、信息資資產所處處的環(huán)境境等因素素，識別別出重要要信息資資產所面面臨的所所有威脅脅；3)按照照風險險評估原原則中中的威威脅分級級標準對每一一個威脅脅發(fā)生的的可能性性進行賦賦值；4)針對對每一項項威脅，考慮現現有的控控制措施施，參考考風險險評估原原則中中的脆脆弱性參參考表識別出出被該威威脅可能能利用的的所有薄薄弱點，并根據據風險險評估原原則中中的脆脆弱性分分級標準準對每每一個脆脆弱性被被威脅利利用的難難易程度度進行賦賦值；5)按照照風險評評估模

25、型型結合威威脅和脆脆弱性賦賦值對風風險發(fā)生生可能性性進行評評價。6)按照照風險評評估模型型結合資資產和脆脆弱性賦賦值對風風險發(fā)生生的損失失進行評評價。7) 按按照風險險評估模模型對風風險發(fā)生生可能性性和風險險發(fā)生的的損失進進行計算算得出風風險評估估賦值，并按照照風險險評估原原則中中的風風險等級級標準評價出出信息安安全風險險等級。8)對于于信息安安全風險險，在考考慮控制制措施與與費用平平衡的原原則下制制定的信信息安全全風險接接受準則則，按照照該準則則確定何何種等級級的風險險為不可可接受風風險。f) 識識別并評評價風險險處理的的選擇：對于信息息安全風風險，應應考慮控控制措施施與費用用的平衡衡原則，

26、選用以以下適當當的措施施：1) 應應用適當當的控制制以降低低風險：這可能能是降低低事件發(fā)發(fā)生的可可能性，也可能能是降低低安全失失敗(保保密性、完整性性或可用用性丟失失)的業(yè)業(yè)務損害害。2) 如如果能證證明風險險滿足公公司的方方針和風風險接受受準則，有意的的、客觀觀的接受受風險；一般針針對那些些不可避避免的風風險，而而且技術術上、資資源上不不可能采采取對策策來降低低，或者者降低對對公司來來說不經經濟。 “接受風風險”是針對對判斷為為不可接接受的風風險所采采取的處處理方法法，而不不是針對對那些低低于風險險接受水水平的本本來就可可接受的的風險。3) 避避免風險險；對于于不是公公司的核核心工作作內容的

27、的活動，公司可可以采取取避免某某項活動動或者避避免采用用某項不不成熟的的產品技技術等來來回避可可能產生生的風險險。4) 將將有關的的業(yè)務風風險轉移移到其他他方，例例如保險險公司、供方。信息安全全委員會會應組織織有關部部門根據據風險評評估的結結果，形形成風風險處理理計劃，該計計劃應明明確風險險處理責責任部門門、方法法及時間間。g) 為為風險的的處理選選擇控制制目標與與控制措措施。應選擇并并實施控控制目標標和控制制措施，以滿足足風險評評估和風風險處理理過程所所識別的的要求。選擇時時，應考考慮接受受風險的的準則以以及法律律法規(guī)和和合同要要求。信息安全全委員會會根據信信息安全全方針、業(yè)務發(fā)發(fā)展要求求及

28、風險險評估的的結果，組織有有關部門門制定信信息安全全目標，并將目目標分解解到有關關部門。信息安安全目標標應獲得得信息安安全最高高責任者者的批準準。從附錄AA中選擇擇的控制制目標和和控制措措施應作作為這一一過程的的一部分分，并滿滿足上述述要求。公司也也可根據據需要選選擇另外外的控制制目標和和控制措措施。注：附錄錄A包含含了組織織內一般般要用到到的全面面的控制制目標和和控制措措施的列列表。本本標準用用戶可將將附錄AA作為選選擇控制制措施的的出發(fā)點點，以確確保不會會遺漏重重要的控控制可選選措施。h) 獲獲得最高高管理者者對建議議的剩余余風險的的批準，剩余風風險接受受批準應應該在風險評評估表上留下下記

29、錄。i) 獲獲得管理理者對實實施和運運行ISSMS的的授權。ISMMS管理理者代表表的任命命和授權權、ISSMS文文檔的簽簽署可以以作為實實施和運運作ISSMS的的授權證證據。j) 準準備適用用性聲明明，內容容應包括括：1)所選選擇的控控制目標標和控制制措施，以及選選擇的原原因；2) 當當前實施施的控制制目標和和控制措措施；3) 附附錄A中中控制目目標和控控制措施施的刪減減，以及及刪減的的理由。4)質量量與項目目管理中中心負責責組織編編制信信息安全全適用性性聲明。注：適用用性聲明明提供了了一個風風險處理理決策的的總結。通過判判斷刪減減的理由由，再次次確認控控制目標標沒有被被無意識識的遺漏漏。4

30、.2.2 實實施并運運作ISSMS為確保IISMSS有效實實施，對對已識別別的風險險進行有有效處理理，本公公司開展展以下活活動：a) 制制定風險險處理計計劃闡明明為控制制信息安安全風險險確定的的適當的的管理活活動、職職責以及及優(yōu)先權權。b) 為為了達到到所確定定的控制制目標，實施風風險處理理計劃，包括考考慮資金金以及角角色和職職責的分分配，明明確各崗崗位的信信息安全全職責；c) 實實施所選選的控制制措施，以滿足足控制目目標。d) 確確定如何何測量所所選擇的的一個/組控制制措施的的有效性性，并規(guī)規(guī)定這些些測量措措施如何何用于評評估控制制的有效效性以得得出可比比較的、可重復復的結果果。注：測量量控

31、制措措施的有有效性允允許管理理者和相相關人員員來確定定這些控控制措施施實現策策劃的控控制目標標的程度度。e) 實實施培訓訓和意識識計劃。f) 對對ISMMS的運運作進行行管理。g) 對對ISMMS的資資源進行行管理。h) 實實施能夠夠快速檢檢測安全全事情、響應安安全事件件的程序序和其它它控制。4.2.3 監(jiān)監(jiān)控并評評審ISSMSa) 本本公司通通過實施施不定期期安全檢檢查、內內部審核核、事故故報告調調查處理理、電子子監(jiān)控、定期技技術檢查查等控制制措施并并報告結結果以實實現：1）快速速檢測處處理結果果中的錯錯誤；2）快速速識別失失敗的和和成功的的安全破破壞和事事件；3）能使使管理者者確認人人工或

32、自自動執(zhí)行行的安全全活動達達到預期期的結果果；4) 幫幫助檢測測安全事事情，并并利用指指標預防防安全事事件；5）確定定解決安安全破壞壞所采取取的措施施是否有有效。b) 定定期評審審ISMMS的有有效性（包括安安全方針針和目標標的符合合性，對對安全控控制措施施的評審審），考考慮安全全審核、事件、有效性性測量的的結果，以及所所有相關關方的建建議和反反饋。c) 測測量控制制措施的的有效性性，以證證實安全全要求已已得到滿滿足。d) 按按照計劃劃的時間間間隔，評審風風險評估估，評審審剩余風風險以及及可接受受風險的的等級，考慮到到下列變變化：1) 組組織機構構和職責責；2) 技技術；3) 業(yè)業(yè)務目標標和過

33、程程；4) 已已識別的的威脅；5) 實實施控制制的有效效性； 6) 外外部事件件，例如如法律或或規(guī)章環(huán)環(huán)境的變變化、合合同責任任的變化化以及社社會環(huán)境境的變化化。e) 按按照計劃劃的時間間間隔（不超過過一年）進行IISMSS內部審審核。注：內部部審核，也稱為為第一方方審核，是為了了內部的的目的，由公司司或以公公司的名名義進行行的審核核。f) 定定期對IISMSS進行管管理評審審，以確確保范圍圍的充分分性，并并識別IISMSS過程的的改進。g) 考考慮監(jiān)視視和評審審活動的的發(fā)現，更新安安全計劃劃。h) 記記錄可能能對ISSMS有有效性或或業(yè)績有有影響的的活動和和事情。4.2.4 保保持并持持續(xù)改

34、進進ISMMS本公司開開展以下下活動，以確保保ISMMS的持持續(xù)改進進：a) 實實施已識識別的IISMSS改進措措施。 b) 采采取適當當的糾正正和預防防措施。吸取從從其他公公司的安安全經驗驗以及組組織自身身安全實實踐中得得到的教教訓。c) 與與所有相相關方溝溝通措施施和改進進。溝通通的詳細細程度應應與環(huán)境境相適宜宜，必要要時，應應約定如如何進行行。d) 確確保改進進達到其其預期的的目標。4.3 文件要要求4.3.1 總總則本公司信信息安全全管理體體系文件件包括：A:信息息安全管管理手冊冊(包括括文件化化的方針針、控制制目標、管理體體系的范范圍及信息安安全適應應性聲明明、信息息安全策策略)；B

35、:程序序文件；C:作業(yè)業(yè)指導書書；D:風險險評估方方法的描描述.，風險評評估報告告及風險險處理計計劃； E:外來來文件；F:表單單。4.3.2 信信息安全全管理手手冊A:編寫寫目的：向公司司內部或或外部提提供關于于信息安安全管理理體系的的基本信信息，用用于對公公司的信信息安全全管理體體系做綱綱領性和和概括性性的描述述。B:信息息安全管管理手冊冊的編寫寫：由管管理者代代表負責責組織編編寫，總總經理批批準后發(fā)發(fā)布實施施。C:信息息安全管管理手冊冊的管理理：質量量與項目目管理中中心負責責保管及及發(fā)放管管理。D:信息息安全管管理手冊冊的發(fā)放放：手冊冊分“受控”和 “非受控控”兩種。受控手手冊在封封面上

36、加加蓋紅色色“受控文文件”章，僅僅限于公公司內部部使用，當修訂訂或換版版時進行行相應控控制，且且人員調調離時應應予歸還還；非受受控手冊冊不蓋任任何印章章，發(fā)放放對象為為認證機機構、客客戶等，在修訂訂和換版版時不予予控制。4.3.3 文文件和資資料管理理公司建立立文件件管理程程序，規(guī)定以以下方面面的控制制要求：A:文件件在發(fā)放放前應按按規(guī)定的的審核和和批準權權限進行行批準后后才能發(fā)發(fā)布；B:必要要時對文文件進行行評審與與更新，并按規(guī)規(guī)定的權權限重新新批準；C:由質質量與項項目管理理中心對文文件的現現行修訂訂狀態(tài)進進行標識識，文件件更改由由相應更更改部門門進行標標識，確確保文件件的更改改狀態(tài)清清晰

37、明了了；D: 質質量與項項目管理理中心應確確保所有有使用文文件的場場所能夠夠獲得有有關文件件的有效效版本；E:各部部門應愛愛護文件件，確保保文件清清晰，易易于辨識識；F:各部部門獲得得外來文文件應統統一交相相關部門門保存，進行標標識并控控制發(fā)放放；G: 質質量與項項目管理理中心應控控制作廢廢文件的的使用，若各部部門有必必要保存存作廢文文件時，應向質質量與項項目管理理中心報告告并由質質量與項項目管理理中心加蓋蓋“作廢”章。4.3.4 記記錄控制制公司建立立記錄錄管理程程序，規(guī)定公公司有關關記錄的的標識、貯存、保護、檢索、保存期期限和過過期的處處理方法法等，以以提供產產品符合合要求和和信息安安全管

38、理理體系有有效運行行的客觀觀證據。ISMMS記錄錄應該考考慮任何何相關的的法律和和法規(guī)要要求以及及合同責責任，記記錄中應應該包含含所有過過程的業(yè)業(yè)績，以以及發(fā)生生的、與與ISMMS相關關的重大大安全事事件。4.3.5 相相關文件件文件控控制程序序記錄控控制程序序5.管理理職責5.1 管理者者承諾：公司總經經理的承承諾是：建立和和實施信信息安全全管理體體系，持持續(xù)改善善其有效效性，確確保提交交給客戶戶滿意的的產品和和服務，并通過過開展以以下活動動為以上上承諾提提供證據據：5.1.1 向向公司內內部員工工傳達滿滿足方針針目標、滿足客客戶需求求、符合合法律法法規(guī)和持持續(xù)改進進的重要要性；5.1.2

39、制制定信息息安全方方針；5.1.3 確確保信息息安全控控制目標標的制定定；5.1.4 進進行管理理評審；5.1.5規(guī)定定職責和和權限；5.1.6確保保內部審審核的實實施；5.1.7決定定信息安安全接受受風險的的準則和和風險的的可接受受等級；5.1.8 確確保為公公司管理理體系配配備必要要的資源源。公司的組組織機構構見附件件。5.1.9 職職責和權權限A:公司司總經理理確定組組織結構構圖，明明確公司司的組織織機構形形式，并并確定各各部門的的職責和和權限，予以發(fā)發(fā)布實施施。(詳詳見信信息安全全委員會會組織結結構圖)B:各部部門應了了解本部部門的職職責、權權限及相相互關系系，以便便更好地地開展工工作

40、，保保證體系系的有效效性，各各崗位具具體信息息安全職職責見崗位說說明書。C:各部部門職責責和權限限a)總經經理：任命管理理者代表表，明確確管理者者代表的的職責和和權限；確保在內內部傳達達滿足客客戶和法法律法規(guī)規(guī)的重要要性；為信息安安全管理理體系配配備必要要的資源源；主持管理理評審；負責公司司信息安安全管理理和企業(yè)業(yè)管理的的計劃、組織、協調、監(jiān)督、控制和和考核工工作；遵守公司司信息安安全的相相關規(guī)定定以及本本崗位相相關的保保密要求求。b) 管管理代表表者：負責建立立、實施施、保持持和改進進信息安安全管理理體系，保證信信息安全全體系的的有效運運行；負責公司司信息安安全管理理手冊的的審核，程序文文件

41、的批批準，組組織并領領導公司司內部IISMSS審核工工作； 負責向總總經理報報告信息息安全體體系運行行的業(yè)績績和任何何改進的的需求；負責就信信息安全全管理體體系有關關事宜的的對外聯聯絡；遵守公司司信息安安全的相相關規(guī)定定以及本本崗位相相關的保保密要求求。C) 軟軟件研發(fā)發(fā)中心：軟件研發(fā)發(fā)中心下下設6個部門門，其中中JAVVA技術術部、.NETT技術部部、稅務務研發(fā)部部、通信信事業(yè)部部這4個部門門根據不不同業(yè)務務領域進進行軟件件產品的的研制與與研發(fā)，其職責責是：需求調研研；負責與顧顧客溝通通與聯系系；提供顧客客產品的的資料；軟件產品品的開發(fā)發(fā)方案的的設計與與制作；進行軟件件產品的的開發(fā)；項目實施

42、施的計劃劃編排與與控制；對開發(fā)完完成的產產品進行行及時的的業(yè)務培培訓；技術支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。綜合維護護部的職職責是：市場信息息的搜集集；解決方案案的設計計與制作作；對開發(fā)完完成的產產品進行行及時的的業(yè)務培培訓；售后服務務的技術術支持；外包服務務的提供供；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。測試部的的職責是是：軟件產品品的測試試；測試資源源的管理理與維護護；數據分析析；負責工作作過程中中的信息息安

43、全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。d)系統統集成中中心：系統集成成中心下下設技術術支持中中心、工工程中心心和采購購中心，其中技技術支持持中心和和工程中中心的職職責是：需求調研研；解決方案案的設計計與制作作；項目實施施的計劃劃編排與與控制；檢驗規(guī)范范的制定定與管理理；外包服務務的提供供；技術支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。采購中心心的職責責是：供方的選選擇與評評估；采購產品品、不合合格品的的檢驗與與處理；負責工作作過程中中的信息息安全實

44、實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。e)業(yè)務務中心：業(yè)務中心心下設五五個部門門，其中中海外業(yè)業(yè)務部專專門從事事軟件外外包業(yè)務務的開拓拓。該中中心的下下設部門門的職責責為：市場信息息的搜集集；負責同客客戶進行行業(yè)務溝溝通工作作；提供顧客客產品的的資料；市場開拓拓；合約、定定單的審審查及變變更的處處理；負責根據據簽訂的的顧客要要求安排排生產；顧客報怨怨的受理理與回饋饋；顧客滿意意度的調調查；顧客售后后服務的的受理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。f)服

45、務務中心：市場信息息的搜集集；負責與顧顧客溝通通與聯系系；提供顧客客產品的的資料；市場開拓拓；合約、定定單的審審查及變變更的處處理；顧客報怨怨的受理理與回饋饋；顧客滿意意度的調調查；顧客售后后服務的的受理；技術支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。g)行政政管理部部：行政管理理部下設設管理部部和網管管中心，其職責責為：負責公司司計算機機及網絡絡設備的的管理和和維護；負責了解解世界計計算機及及網絡技技術的發(fā)發(fā)展趨勢勢，為公公司計算算機及網網絡設備備的更新新和升級級提出建建議并予予以實施施；負責客戶戶大規(guī)

46、模模電子文文件的接接收和發(fā)發(fā)送；負責公司司網站的的管理、維護和和內容更更新；保障公司司IT方面面的信息息安全；負責公司司應用系系統軟件件的管理理和維護護；負責公司司信息安安全內部部審核的的管理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。h)人力力資源部部：負責人力力資源管管理工作作，確保保人員的的信息安安全；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。I)質量量與項目目管理中中心：項目實施施的監(jiān)控控與管理理；合約、定定單的審審查及變變

47、更的處處理；監(jiān)督并審審核質量量執(zhí)行與與達成狀狀況；監(jiān)督各部部門主管管落實質質量方針針，實現現質量目目標；質量異常常矯正措措施的監(jiān)監(jiān)督；不合格品品管理的的監(jiān)督；顧客抱怨怨處理與與對策的的追蹤；顧客滿意意度調查查后的匯匯整分析析及改進進；質量體系系內部審審核的計計劃編制制與執(zhí)行行；數據分析析與改進進；公司所有有體系文文件、文文檔資料料的管理理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。j)財務務部：實行日常常財務管管理和會會計核算算，編制制和執(zhí)行行企業(yè)財財務計劃劃；控制企業(yè)業(yè)運作成成本，按按月進行行各類財財務分析析，

48、為管管理層提提供決策策依據；向有關管管理部門門上交各各類財務務報表，如實反反映企業(yè)業(yè)經營狀狀況；與各結算算銀行進進行業(yè)務務溝通和和聯系，向國家家稅務部部門按時時繳納各各項稅金金。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。k)分支支機構：倫敦辦事事處主要要職責：負責公司司與海外外合作公公司的溝溝通；負責海外外市場的的拓展；負責海外外合作項項目的跟跟蹤、監(jiān)監(jiān)控和協協調。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。北京辦事事處主要要職責：負

49、責公司司的重大大項目的的協調工工作。負責公司司對外分分支機構構選址和和建立。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。蘇州、無無錫、常常州辦事事處主要要職責：開拓公司司稅務產產品的市市場以及及售后服服務工作作；負責江蘇蘇省內各各個代理理的管理理；負責公司司產品在在其它地地區(qū)的銷銷售和維維護工作作。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關規(guī)規(guī)定以及及本崗位位相關的的保密要要求。5.2 資源管管理公司應確確定并提提供確保保客戶滿滿意，保保持信息息安全管管理體系系有效運運行并

50、持持續(xù)改進進所需的的資源，并對資資源進行行有效控控制和管管理。公司資源源包括：人力資資源、計計算機網網絡系統統、工作作環(huán)境及及技術、信息等等。5.2.1資源源提供建立實施施運行監(jiān)監(jiān)控評審審和維護護信息安安全管理理體系；確保信息息安全程程序支持持業(yè)務要要求；識別和強強調法律律法規(guī)要要求和合合同安全全責任；正確的應應用所有有實施的的控制措措施維護護足夠的的安全；通過管理理評審或或其他評評審活動動對資源源的充分分性進行行評審，并對評評審的結結果采取取適當措措施；f) 需需要時，改進信信息安全全管理體體系的有有效性。5.2.2培訓訓、意識識和能力力公司確定定從事與與信息安安全有關關的人員員所需的的能力

51、，采取以以下控制制確保這這些人員員能夠勝勝任工作作：確定從事事影響信信息安全全管理體體系的人人員所必必要的能能力，通通過崗位說說明書的任職職要求來來確定，并在招招聘活動動中確認認相關信信息安全全的任職職要求； 對人員提提供培訓訓或其他他措施滿滿足這些些要求；評價采取取培訓和和采取措措施的有有效性；建立并組組織實施施人力力資源管管理程序序，對對以上方方面進行行控制，并保存存與教育育、培訓訓、技能能、經驗驗及對員員工能力力評價的的記錄。 應確保所所有相關關人員認認識到他他們信息息安全活活動的相相關性和和重要性性，以及及他們如如何為實實現信息息安全管管理體系系目標做做貢獻。5.2.3 相相關文件件人

52、力資資源管理理程序信息安全全體系要要求與體體系文件件及部門門職能分分配表：ISO 270001條條文要求求責 任 部 門門總經理管理者代代表軟件研發(fā)發(fā)中心系統集成成中心業(yè)務中心心服務中心心行政管理理部人力資源源部質量與項項目管理理中心財務部分支機構構4信息安全全管理體體系4.1總要求4.2建立并管管理ISSMS4.2.1建立ISSMS4.2.2實施和運運行ISSMS4.2.3監(jiān)視和評評審ISSMS4.2.4保持和改改進ISSMS4.3文件要求求4.3.1總則4.3.2文件控制制4.3.3記錄控制制5管理職責責5.1管理者承承諾5.2資源管理理5.2.1資源提供供5.2.2培訓、意意識和能能力6

53、ISMSS內部審審核7ISMSS 管理理評審7.1 總則7.2 評審輸入入7.3 評審輸出出8ISMSS 改進進8.1持續(xù)改進進8.2糾正措施施8.3預防措施施附錄A條條文要求求責 任 部 門門總經理管理者代代表軟件研發(fā)發(fā)中心系統集成成中心業(yè)務中心心服務中心心行政管理理部人力資源源部質量與項項目管理理中心財務部分支機構構 A.5信息安全全策略A.5.1信息安全全方針 AA.6信息安全全組織A.6.1內部組織織A.6.2外部相關關方A.7資產管理理A.7.1資產責任任A.7.2信息分類類A.8人力資源源安全A.8.1聘用前A.8.2聘用期間間A.9物理和環(huán)環(huán)境安全全A.9.1安全區(qū)域域A.9.2

54、設備安全全A.100通信和運運作管理理A.100.1操作程序序和職責責A.100.2第三方服服務交付付管理A.100.3系統策劃劃與接收收A.100.4防范惡意意和可移移動代碼碼A.100.5備份A.100.6網絡安全全管理A.100.7介質的處處理A.100.8信息交換換A.100.9電子商務務服務（只包括括A.110.99.3公公共信息息）A.100.100監(jiān)控A.111訪問控制制A.111.1訪問控制制的業(yè)務務要求A.111.2用戶訪問問管理A.111.3用戶責任任A.111.4網絡訪問問控制A.111.5操作系統統訪問控控制A.111.6應用程序序及信息息訪問控控制A.111.7移動計

55、算算和遠程程工作A.122信息系統統獲取開開發(fā)和維維護A.122.1信息系統統的安全全需求A.122.2應用程序序的正確確處理A.122.3加密控制制A.122.4系統文件件安全A.122.5開發(fā)和支支持過程程的安全全（不包包括A.12.5.55）A.122.6技術薄弱弱點管理理A.133信息安全全事件管管理A.133.1報告信息息安全事事情和薄薄弱點A.133.2信息安全全事件和和改進管管理A.144業(yè)務連續(xù)續(xù)性管理理A.144.1業(yè)務連續(xù)續(xù)性管理理中的信信息安全全事項A.155符合性A.155.1符合法律律要求A.155.2符合安全全方針和和標準，以及技技術符合合A.155.3信息系統統審

56、核相相關事宜宜*注：領領導職責責以“”表示；監(jiān)督部部門以“”表表示；負負責部門門以“”表示示；相關關部門以以“”表示。6. IISMSS內部審審核A:公司司建立并并實施信息安安全內部部審核程程序，明確審審核的要要求，確確保公司司信息安安全管理理體系的的符合性性和有效效性，符符合已經經識別的的信息安安全要求求。B:公司司管理者者代表負負責督促促內部審審核的進進行，并并將審核核情況報報告總經經理。C:公司司按計劃劃的時間間間隔（不超過過一年）組織內內部審核核，審核核計劃的的安排應應考慮區(qū)區(qū)域的重重要性及及以往的的執(zhí)行情情況。D:應安安排具備備審核員員資格的的人員進進行審核核，審核核員不應應審核自自己部門門的工作作，以確確保審核核的公正正性和客客觀性。E:受審審核區(qū)域域應采取取適當的的措施，以消除除發(fā)現的的不合格格現象。F:審核核員應對對所采取取措施的的情況進進行跟蹤蹤驗證，確保不不合格的的結案。G:有關關審核的的所有記記錄應由由管理部部進行保保存。H:相關關文件：信息息安全內內部審核核程序7. IISMSS 管理理評審7.1.1公司司建立并并實施信息安安全管理理評審程程序，規(guī)定每每年組織織公司各各部門主主管進行行管理評評審，評評審的目目的是：A:確保保公司建建立的信信息安全全管理體體系的充充分性、適宜性性和有效效性；B:發(fā)現現信息安安全管理理體系的的