信息安全管理手冊樣本

保密級別公開文檔名稱信息安全管理手冊文檔編號ISMS/Sinosoft-h-01-發(fā)布組織Sinosoft信息安全委員會發(fā)布日期1月執(zhí)行日期1版本號A1.0信息安全管理手冊批準人簽字審核人簽字制定人簽字日期：/日期：/日期：/南京擎天科技有限公司NanjingSinosoftTechnologyCo.，Ltd.變更履歷序號版本編號或更改記錄編號變化狀態(tài)*簡要闡明(變更內(nèi)容、變更位置、變更因素和變更范疇)變更日期變更人審核人批準人批準日期1A1.0C創(chuàng)立，全頁。/許明星茅建平汪曉剛/*變化狀態(tài)：C——創(chuàng)立，A——增長，M——修改，D——刪除

公司簡介南京擎天科技有限公司(NanjingSinosoftTechnologyCo.，Ltd.簡稱Sinosoft)成立于1998年12月，通過持續(xù)創(chuàng)新，公司已成長為集應(yīng)用軟件開發(fā)、信息系統(tǒng)集成和專業(yè)征詢服務(wù)為一體國家級高新技術(shù)公司。，公司成功中標國稅總局“金稅三期出口退稅系統(tǒng)”建設(shè)工程。3月6日在倫敦證交所掛牌上市，市值達18億元，是國內(nèi)首家登陸英國資我市場軟件公司。Sinosoft總部設(shè)在南京，在南京市國家級高新技術(shù)開發(fā)區(qū)建有獨立研發(fā)與測試中心，在北京、蘇州、無錫、常州設(shè)有分支機構(gòu)及技術(shù)服務(wù)中心。公司以領(lǐng)先技術(shù)、穩(wěn)定可靠產(chǎn)品、優(yōu)質(zhì)完善服務(wù)，贏得了廣大客戶支持與信任，打造出“擎天”品牌。Sinosoft定位于應(yīng)用軟件開發(fā)，公司先后承擔國家、省、市重大科研開發(fā)項目數(shù)十項，公司擁有70多項自主開發(fā)產(chǎn)品，其中49項獲得國家版權(quán)局頒發(fā)著作權(quán)證書及關(guān)于國家專利，并積極參加全國性軟件原則制定工作。各種項目被列為“國家重點火炬籌劃”、“國家火炬籌劃”、“國家創(chuàng)新基金”、“國家重點新產(chǎn)品”。多項產(chǎn)品先后榮獲中華人民共和國先進軟件產(chǎn)品、江蘇省先進軟件產(chǎn)品獎(金慧獎)、江蘇省科技進步三等獎、南京市先進軟件一等獎、南京市科技進步一等獎、南京市科技進步二等獎。Sinosoft既有客戶30000余家，涉及巴斯夫、摩托羅拉、LG等世界500強知名公司。Sinosoft現(xiàn)已在中華人民共和國、英國、美國、香港地區(qū)、臺灣地區(qū)注冊商標，申請多項專利，此后還將繼續(xù)加大知識產(chǎn)權(quán)保護力度。通過近年積累，公司已獲得諸多資質(zhì)和榮譽，涉及：國家信息產(chǎn)業(yè)部計算機信息系統(tǒng)集成二級資質(zhì)通過國際軟件成熟度模型集成CMMI3級評估通過ISO9001：質(zhì)量管理體系認證，、順利通過復(fù)審國家智能化工程設(shè)計甲級資質(zhì)入選國家電子政務(wù)原則化總體構(gòu)成員單位入選國家金稅三期工程專家構(gòu)成員單位入選全國辦公自動化專業(yè)委員單位A級納稅單位資信級別為AAA榮獲江蘇省名牌稱號江蘇省百家重點哺育民營科技公司江蘇省重點服務(wù)外包公司南京市骨干軟件公司南京市百強科技工業(yè)公司江蘇軟件收入二十強通過近年市場開拓，Sinosoft先后承辦全國數(shù)百個大中型建設(shè)項目，積累了豐富工程技術(shù)經(jīng)驗。當前Sinosoft出口退稅系統(tǒng)系列產(chǎn)品在國家稅務(wù)總局、江蘇省國稅局、海南省國稅局等出口退稅部門和4萬余戶出口公司中應(yīng)用，并得到良好應(yīng)用，截止10月，“擎天出口退稅系統(tǒng)軟件”占全國產(chǎn)品市場總份額35%，全國同行業(yè)第一位。

Sinosoft不斷跟蹤國際信息技術(shù)及有關(guān)技術(shù)、管理規(guī)范最新發(fā)展，結(jié)合中華人民共和國國情和實際經(jīng)驗，不斷更新軟件開發(fā)、系統(tǒng)集成、工程管理等方面技術(shù)水平和規(guī)范原則，依托公司形成市場、技術(shù)、人才和產(chǎn)品良性循環(huán)，努力將“Sinosoft技術(shù)中心”建成全省共性軟件、平臺軟件和基本軟件新技術(shù)、新產(chǎn)品、新原則“輻射中心”，帶動本行業(yè)開發(fā)公司不斷向更高更新層次發(fā)展。信息安全方針批準令信息安全管理體系方針1．總體方針：實行風(fēng)險管理，技術(shù)管理同步，保證信息安全，滿足有關(guān)方規(guī)定，實現(xiàn)可持續(xù)發(fā)展。2．詮釋：咱們通過計算機及網(wǎng)絡(luò)設(shè)備提供公司各種業(yè)務(wù)服務(wù)開展，因而，信息資產(chǎn)安全性對咱們來說是最重要事情。為了保證各種信息資產(chǎn)保密性、完整性、可用性，給客戶提供更加安心服務(wù)，咱們根據(jù)ISO/IEC27001:原則，建立信息安全管理體系，并承諾如下：2．1在公司內(nèi)各層次建立完整信息安全管理組織機構(gòu)，擬定信息安全方針、安全目的和控制辦法，明確信息安全管理職責(zé)；2．2辨認并滿足合用法律法規(guī)和政府、客戶等有關(guān)方信息安全規(guī)定；2．3定期進行信息安全風(fēng)險評估，體系評審，采用糾正防止辦法，保證我司信息安全體系持續(xù)有效性；2．4采用先進有效設(shè)施和技術(shù)，解決、傳遞、儲存和保護各類信息；2．5對全體員工進行持續(xù)信息安全教誨和培訓(xùn)，不斷增強員工信息安全意識和能力；2．6制定并保持完善業(yè)務(wù)持續(xù)性籌劃，實現(xiàn)可持續(xù)發(fā)展；2．7對于本基本方針合用性、充分性，將結(jié)合實際狀況定期評審，必要時予以修訂；2．8公司依照本信息安全管理體系方針制定各種方略。２００8年1月南京擎天科技有限公司總經(jīng)理：1.目和范疇為了建立、健全我司信息安全管理體系，擬定信息安全方針和目的，對信息安全風(fēng)險進行有效管理，保證全體員工理解并遵循執(zhí)行信息安全管理體系文獻、持續(xù)改進管理體系有效性，特制定本手冊。1.1本手冊按照ISO/IEC27001:《信息安全管理體系規(guī)定》，并結(jié)合我公司管理實際狀況編寫，用于在合同條件下向客戶和第三方證明我公司信息安全管理體系能滿足規(guī)定原則。1.2信息安全管理體系合用范疇本手冊合用于4.2.1條款擬定范疇內(nèi)信息安全管理活動。1)數(shù)據(jù)解決活動；2)我司范疇內(nèi)上訴業(yè)務(wù)流程涉及部門和員工；3)與2)所述活動有關(guān)應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包括所有信息資產(chǎn)；4)公司連接互聯(lián)網(wǎng)服務(wù)器及有關(guān)數(shù)據(jù)傳播活動。2.引用原則ISO/IEC17799：《信息技術(shù)—安全技術(shù)-信息安全管理實行細則》ISO/IEC27001:《信息安全管理體系規(guī)定》3.術(shù)語和定義本手冊采用ISO/IEC27001:中術(shù)語和定義。3.1規(guī)定明示、普通隱含或必要履行需求或盼望。3.2顧客滿意顧客對其規(guī)定已被滿足限度感受。3.3信息安全管理體系在信息安全面指揮和控制組織管理體系。3.4方針由組織最高管理者正式發(fā)布該組織總安全宗旨和方向。3.5目的在安全管理方面,所追求目。3.6持續(xù)改進增強滿足規(guī)定能力循環(huán)活動。3.7顧客接受產(chǎn)品組織或個人。3.8供方提供產(chǎn)品組織或個人。3.9組織職責(zé)、權(quán)限和互有關(guān)系得到安排一組人員及設(shè)施。3.10有關(guān)方與組織業(yè)績或成就有利益關(guān)系個人或團隊。3.11過程一組將輸入轉(zhuǎn)化為輸出互有關(guān)聯(lián)或互相作用活動。3.12產(chǎn)品過程成果。3.13可追溯性追溯所考慮對象歷史、應(yīng)用狀況或所處場合能力。3.14防止辦法為消除潛在不合格或其她潛在不盼望狀況因素所采用辦法。3.15糾正辦法為消除已發(fā)現(xiàn)不合格或其她不盼望狀況因素所采用辦法。3.16手冊規(guī)定組織安全管理體系文獻。3.17審核為獲得審核證據(jù)并對其進行客觀評價,以擬定滿足審核準則限度所進行系統(tǒng)、獨立并形成文獻過程。3.18評審為擬定主題事項達到規(guī)定目的適當性、充分性和有效性所進行活動。3.19記錄闡明所獲得成果或提供所完畢活動證據(jù)文獻。3.20規(guī)范闡明規(guī)定文獻。3.21資產(chǎn)對組織有價值任何事物。[ISO/IEC13335-1:]3.22可用性已授權(quán)實體一旦需要就可訪問和使用特性。[ISO/IEC13335-1:]3.23保密性使信息不泄露給未授權(quán)個人、實體、過程或不使信息為其運用特性。[ISO/IEC13335-1:]3.24信息安全保持信息保密性、完整性和可用性；此外，還也許涉及真實性、可核查性、抗抵賴和可靠性。[ISO/IEC17799：]3.25信息安全事情系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)已經(jīng)確認發(fā)生顯示也許違背信息安全方針或安全故障，或也許與安全有關(guān)此前未知狀況[ISO/IECTR18044:]3.26信息安全事件單一或一系列不必要或不盼望有危及業(yè)務(wù)運作和威脅信息安全重大也許信息安全事件[ISO/IECTR18044:]3.27信息安全管理體系(ISMS)組織整個管理體系一某些，以業(yè)務(wù)風(fēng)險辦法為基本，建立、實行、運作、監(jiān)視、評審、保持并持續(xù)改進信息安全。注：管理體系涉及：組織構(gòu)造、方針、籌劃活動、職責(zé)、規(guī)范、程序、過程和資源。3.28完整性保護資產(chǎn)精確性和完備性特性。[ISO/IEC13335-1:]3.29剩余風(fēng)險通過風(fēng)險解決后殘留風(fēng)險。[ISO/IEC73指南:]3.30風(fēng)險接受接受某一風(fēng)險決定。[ISO/IEC73指南:]3.31風(fēng)險分析系統(tǒng)使用信息，以辨認來源并預(yù)計風(fēng)險。[ISO/IEC73指南:]3.32風(fēng)險評估整個風(fēng)險分析和風(fēng)險評價過程。[ISO/IEC73指南:]3.33風(fēng)險評價根據(jù)給定風(fēng)險準則比較已預(yù)計風(fēng)險，以擬定風(fēng)險嚴重限度過程。[ISO/IEC73指南:]3.34風(fēng)險管理指引并控制組織關(guān)于風(fēng)險協(xié)調(diào)活動。[ISO/IEC73指南:]3.35風(fēng)險解決選取并實行辦法以減少風(fēng)險過程。[ISO/IEC73指南:]3.36合用性聲明描述關(guān)于并合用于組織ISMS控制目的和控制辦法文獻。注：控制目的和控制辦法是建立在風(fēng)險評估和解決過程成果和結(jié)論、法律法規(guī)規(guī)定、合同義務(wù)和組織信息安全業(yè)務(wù)規(guī)定基本上。3.37關(guān)于縮寫術(shù)語ISO-國際原則化組織IEC-國際電工委員會GB-國標ISMS-信息安全管理體系Sinosoft-南京擎天科技有限公司

4.信息安全管理體系4.1總規(guī)定公司根據(jù)ISO/IEC27001:原則規(guī)定，建立、實行、運營、監(jiān)視、評審、保持和改進信息安全管理體系，形成文獻;我司全體員工將有效地貫徹執(zhí)行并持續(xù)改進有效性，對過程應(yīng)用和管理詳見《信息安全管理體系過程模式圖》（圖1）。信息安全管理體系是在公司整體經(jīng)營活動和經(jīng)營風(fēng)險架構(gòu)下，針對信息安全風(fēng)險管理體系；輸入輸入輸出有關(guān)方信息安全規(guī)定和盼望有關(guān)方管理信息安全建立ISMS實行和運營ISMS保持和改進ISMS監(jiān)視和評審ISMSPlanDoCheckAction圖1信息安全管理體系過程模式圖

4.2建立和管理ISMS4.2.1建立ISMS公司應(yīng)：a)依照公司業(yè)務(wù)特性、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義ISMS范疇和邊界，涉及在范疇內(nèi)任何刪減細節(jié)和理由（見原則1.2）。我司ISMS范疇和邊界涉及：1)數(shù)據(jù)解決活動；2)我司范疇內(nèi)上訴業(yè)務(wù)流程涉及部門和員工；3)與2)所述活動有關(guān)應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包括所有信息資產(chǎn)；4)公司連接互聯(lián)網(wǎng)服務(wù)器及有關(guān)數(shù)據(jù)傳播活動。b)依照公司業(yè)務(wù)特性、組織構(gòu)造、地理位置、資產(chǎn)和技術(shù)定義ISMS方針，必要滿足如下規(guī)定：1)為ISMS目的建立一種框架并為信息安全活動建立整體方向和原則；2)考慮業(yè)務(wù)及法律或法規(guī)規(guī)定，以及合同安全義務(wù)；3)與公司戰(zhàn)略和風(fēng)險管理相一致環(huán)境下，建立和保持ISMS；4)建立風(fēng)險評價準則；5)總經(jīng)理批準發(fā)布ISMS方針。c)定義公司風(fēng)險評估辦法。質(zhì)量與項目管理中心負責(zé)建立《信息安全風(fēng)險評估管理程序》并組織實行。《信息安全風(fēng)險評估管理程序》涉及可接受風(fēng)險準則和可接受水平。1)辨認合用于ISMS和已經(jīng)辨認業(yè)務(wù)信息安全、法律和法規(guī)規(guī)定風(fēng)險評估辦法。2)建立接受風(fēng)險準則并辨認風(fēng)險可接受級別。選取風(fēng)險評估辦法應(yīng)保證風(fēng)險評估能產(chǎn)生可比較和可重復(fù)成果。注：風(fēng)險評估具備不同辦法。詳細參照ISO/IECTR13335-3，《信息技術(shù)——IT安全管理指南——IT安全管理技術(shù)》。3)公司風(fēng)險評估流程信息資產(chǎn)辨認--重要信息資產(chǎn)（通過資產(chǎn)評估原則）--信息資產(chǎn)威脅辨認和評價--薄弱點辨認和評價（相應(yīng)威脅）--確認已經(jīng)采用安全控制辦法—擬定風(fēng)險級別（風(fēng)險級別原則）d)辨認風(fēng)險：1)辨認ISMS控制范疇內(nèi)資產(chǎn)以及這些資產(chǎn)所有者；在已擬定ISMS范疇內(nèi)，對所有信息資產(chǎn)進行列表辨認。信息資產(chǎn)涉及文檔/數(shù)據(jù)、軟件/系統(tǒng)、硬件/設(shè)施、人力資源、服務(wù)、無形資產(chǎn)等。對每一項信息資產(chǎn)，依照重要信息資產(chǎn)判斷根據(jù)擬定與否為重要信息資產(chǎn)，形成《信息資產(chǎn)辨認表》。2)辨認對這些資產(chǎn)威脅，一項資產(chǎn)也許面對若干個威脅；3)辨認也許被威脅運用脆弱性，一項脆弱性也也許面對若干個威脅；4)辨認保密性、完整性和可用性損失也許對資產(chǎn)導(dǎo)致影響。解釋：“所有者”代表已被授權(quán)個人或?qū)嶓w，對資產(chǎn)生產(chǎn)、開發(fā)、維護、使用、安全負有管理責(zé)任?！八姓摺辈淮韨€人對資產(chǎn)具備真正財產(chǎn)權(quán)。e)分析并評價風(fēng)險：1)在資產(chǎn)辨認基本上，針對每一項重要信息資產(chǎn)，根據(jù)《風(fēng)險評估原則》中信息資產(chǎn)CIAB分級原則，進行CIAB資產(chǎn)賦值計算；2)針對每一項重要信息資產(chǎn)，參照《風(fēng)險評估原則》中《威脅參照表》及以往安全事故（事件）記錄、信息資產(chǎn)所處環(huán)境等因素，辨認出重要信息資產(chǎn)所面臨所有威脅；3)按照《風(fēng)險評估原則》中《威脅分級原則》對每一種威脅發(fā)生也許性進行賦值；4)針對每一項威脅，考慮既有控制辦法，參照《風(fēng)險評估原則》中《脆弱性參照表》辨認出被該威脅也許運用所有薄弱點，并依照《風(fēng)險評估原則》中《脆弱性分級原則》對每一種脆弱性被威脅運用難易限度進行賦值；5)按照風(fēng)險評估模型結(jié)合威脅和脆弱性賦值對風(fēng)險發(fā)生也許性進行評價。6)按照風(fēng)險評估模型結(jié)合資產(chǎn)和脆弱性賦值對風(fēng)險發(fā)生損失進行評價。7)按照風(fēng)險評估模型對風(fēng)險發(fā)生也許性和風(fēng)險發(fā)生損失進行計算得出風(fēng)險評估賦值，并按照《風(fēng)險評估原則》中《風(fēng)險級別原則》評價出信息安全風(fēng)險級別。8)對于信息安全風(fēng)險，在考慮控制辦法與費用平衡原則下制定信息安全風(fēng)險接受準則，按照該準則擬定何種級別風(fēng)險為不可接受風(fēng)險。f)辨認并評價風(fēng)險解決選取：對于信息安全風(fēng)險，應(yīng)考慮控制辦法與費用平衡原則，選用如下恰當辦法：1)應(yīng)用恰當控制以減少風(fēng)險：這也許是減少事件發(fā)生也許性，也也許是減少安全失敗(保密性、完整性或可用性丟失)業(yè)務(wù)損害。2)如果能證明風(fēng)險滿足公司方針和風(fēng)險接受準則，故意、客觀接受風(fēng)險；普通針對那些不可避免風(fēng)險，并且技術(shù)上、資源上不也許采用對策來減少，或者減少對公司來說不經(jīng)濟。“接受風(fēng)險”是針對判斷為不可接受風(fēng)險所采用解決辦法，而不是針對那些低于風(fēng)險接受水平本來就可接受風(fēng)險。3)避免風(fēng)險；對于不是公司核心工作內(nèi)容活動，公司可以采用避免某項活動或者避免采用某項不成熟產(chǎn)品技術(shù)等來回避也許產(chǎn)生風(fēng)險。4)將關(guān)于業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其她方，例如保險公司、供方。信息安全委員會應(yīng)組織關(guān)于部門依照風(fēng)險評估成果，形成《風(fēng)險解決籌劃》，該籌劃應(yīng)明確風(fēng)險解決責(zé)任部門、辦法及時間。g)為風(fēng)險解決選取控制目的與控制辦法。應(yīng)選取并實行控制目的和控制辦法，以滿足風(fēng)險評估和風(fēng)險解決過程所辨認規(guī)定。選取時，應(yīng)考慮接受風(fēng)險準則以及法律法規(guī)和合同規(guī)定。信息安全委員會依照信息安全方針、業(yè)務(wù)發(fā)展規(guī)定及風(fēng)險評估成果，組織關(guān)于部門制定信息安全目的，并將目的分解到關(guān)于部門。信息安全目的應(yīng)獲得信息安全最高責(zé)任者批準。從附錄A中選取控制目的和控制辦法應(yīng)作為這一過程一某些，并滿足上述規(guī)定。公司也可依照需要選取此外控制目的和控制辦法。注：附錄A包括了組織內(nèi)普通要用到全面控制目的和控制辦法列表。本原則顧客可將附錄A作為選取控制辦法出發(fā)點，以保證不會漏掉重要控制可選辦法。h)獲得最高管理者對建議剩余風(fēng)險批準，剩余風(fēng)險接受批準應(yīng)當在《風(fēng)險評估表》上留下記錄。i)獲得管理者對實行和運營ISMS授權(quán)。ISMS管理者代表任命和授權(quán)、ISMS文檔訂立可以作為實行和運作ISMS授權(quán)證據(jù)。j)準備合用性聲明，內(nèi)容應(yīng)涉及：1)所選取控制目的和控制辦法，以及選取因素；2)當前實行控制目的和控制辦法；3)附錄A中控制目的和控制辦法刪減，以及刪減理由。4)質(zhì)量與項目管理中心負責(zé)組織編制《信息安全合用性聲明》。注：合用性聲明提供了一種風(fēng)險解決決策總結(jié)。通過判斷刪減理由，再次確認控制目的沒有被無意識漏掉。4.2.2實行并運作ISMS為保證ISMS有效實行，對已辨認風(fēng)險進行有效解決，我司開展如下活動：a)制定風(fēng)險解決籌劃闡明為控制信息安全風(fēng)險擬定恰當管理活動、職責(zé)以及優(yōu)先權(quán)。b)為了達到所擬定控制目的，實行風(fēng)險解決籌劃，涉及考慮資金以及角色和職責(zé)分派，明確各崗位信息安全職責(zé)；c)實行所選控制辦法，以滿足控制目的。d)擬定如何測量所選取一種/組控制辦法有效性，并規(guī)定這些測量辦法如何用于評估控制有效性以得出可比較、可重復(fù)成果。注：測量控制辦法有效性容許管理者和有關(guān)人員來擬定這些控制辦法實現(xiàn)策劃控制目的限度。e)實行培訓(xùn)和意識籌劃。f)對ISMS運作進行管理。g)對ISMS資源進行管理。h)實行可以迅速檢測安全事情、響應(yīng)安全事件程序和其他控制。4.2.3監(jiān)控并評審ISMSa)我司通過實行不定期安全檢查、內(nèi)部審核、事故報告調(diào)查解決、電子監(jiān)控、定期技術(shù)檢查等控制辦法并報告成果以實現(xiàn)：1）迅速檢測解決成果中錯誤；2）迅速辨認失敗和成功安全破壞和事件；3）能使管理者確認人工或自動執(zhí)行安全活動達到預(yù)期成果；4)協(xié)助檢測安全事情，并運用指標防止安全事件；5）擬定解決安全破壞所采用辦法與否有效。b)定期評審ISMS有效性（涉及安全方針和目的符合性，對安全控制辦法評審），考慮安全審核、事件、有效性測量成果，以及所有有關(guān)方建議和反饋。c)測量控制辦法有效性，以證明安全規(guī)定已得到滿足。d)按照籌劃時間間隔，評審風(fēng)險評估，評審剩余風(fēng)險以及可接受風(fēng)險級別，考慮到下列變化：1)組織機構(gòu)和職責(zé)；2)技術(shù)；3)業(yè)務(wù)目的和過程；4)已辨認威脅；5)實行控制有效性；6)外部事件，例如法律或規(guī)章環(huán)境變化、合同責(zé)任變化以及社會環(huán)境變化。e)按照籌劃時間間隔（不超過一年）進行ISMS內(nèi)部審核。注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部目，由公司或以公司名義進行審核。f)定期對ISMS進行管理評審，以保證范疇充分性，并辨認ISMS過程改進。g)考慮監(jiān)視和評審活動發(fā)現(xiàn)，更新安全籌劃。h)記錄也許對ISMS有效性或業(yè)績有影響活動和事情。4.2.4保持并持續(xù)改進ISMS我司開展如下活動，以保證ISMS持續(xù)改進：a)實行已辨認ISMS改進辦法。b)采用恰當糾正和防止辦法。吸取從其她公司安全經(jīng)驗以及組織自身安全實踐中得到教訓(xùn)。c)與所有有關(guān)方溝通辦法和改進。溝通詳細限度應(yīng)與環(huán)境相適當，必要時，應(yīng)商定如何進行。d)保證改進達到其預(yù)期目的。4.3文獻規(guī)定4.3.1總則我司信息安全管理體系文獻涉及：A:信息安全管理手冊(涉及文獻化方針、控制目的、管理體系范疇及信息安全適應(yīng)性聲明、信息安全方略)；B:程序文獻；C:作業(yè)指引書；D:風(fēng)險評估辦法描述.，風(fēng)險評估報告及風(fēng)險解決籌劃；E:外來文獻；F:表單。4.3.2信息安全管理手冊A:編寫目：向公司內(nèi)部或外部提供關(guān)于信息安全管理體系基本信息，用于對公司信息安全管理體系做大綱性和概括性描述。B:信息安全管理手冊編寫：由管理者代表負責(zé)組織編寫，總經(jīng)理批準后發(fā)布實行。C:信息安全管理手冊管理：質(zhì)量與項目管理中心負責(zé)保管及發(fā)放管理。D:信息安全管理手冊發(fā)放：手冊分“受控”和“非受控”兩種。受控手冊在封面上加蓋紅色“受控文獻”章，僅限于公司內(nèi)部使用，當修訂或換版時進行相應(yīng)控制，且人員調(diào)離時應(yīng)予歸還；非受控手冊不蓋任何印章，發(fā)放對象為認證機構(gòu)、客戶等，在修訂和換版時不予控制。4.3.3文獻和資料管理公司建立《文獻管理程序》，規(guī)定如下方面控制規(guī)定：A:文獻在發(fā)放前應(yīng)按規(guī)定審核和批準權(quán)限進行批準后才干發(fā)布；B:必要時對文獻進行評審與更新，并按規(guī)定權(quán)限重新批準；C:由質(zhì)量與項目管理中心對文獻現(xiàn)行修訂狀態(tài)進行標記，文獻更改由相應(yīng)更改部門進行標記，保證文獻更改狀態(tài)清晰明了；D：質(zhì)量與項目管理中心應(yīng)保證所有使用文獻場合可以獲得關(guān)于文獻有效版本；E:各部門應(yīng)愛護文獻，保證文獻清晰，易于辨識；F:各部門獲得外來文獻應(yīng)統(tǒng)一交有關(guān)部門保存，進行標記并控制發(fā)放；G：質(zhì)量與項目管理中心應(yīng)控制作廢文獻使用，若各部門有必要保存作廢文獻時，應(yīng)向質(zhì)量與項目管理中心報告并由質(zhì)量與項目管理中心加蓋“作廢”章。4.3.4記錄控制公司建立《記錄管理程序》，規(guī)定公司關(guān)于記錄標記、貯存、保護、檢索、保存期限和過期解決辦法等，以提供產(chǎn)品符合規(guī)定和信息安全管理體系有效運營客觀證據(jù)。ISMS記錄應(yīng)當考慮任何有關(guān)法律和法規(guī)規(guī)定以及合同責(zé)任，記錄中應(yīng)當包括所有過程業(yè)績，以及發(fā)生、與ISMS有關(guān)重大安全事件。4.3.5有關(guān)文獻《文獻控制程序》《記錄控制程序》5.管理職責(zé)5.1管理者承諾：公司總經(jīng)理承諾是：建立和實行信息安全管理體系，持續(xù)改進其有效性，保證提交給客戶滿意產(chǎn)品和服務(wù)，并通過開展如下活動為以上承諾提供證據(jù)：5.1.1向公司內(nèi)部員工傳達滿足方針目的、滿足客戶需求、符合法律法規(guī)和持續(xù)改進重要性；5.1.2制定信息安全方針；5.1.3保證信息安全控制目的制定；5.1.4進行管理評審；5.1.5規(guī)定職責(zé)和權(quán)限；5.1.6保證內(nèi)部審核算施；5.1.7決定信息安全接受風(fēng)險準則和風(fēng)險可接受級別；5.1.8保證為公司管理體系配備必要資源。公司組織機構(gòu)見附件。5.1.9職責(zé)和權(quán)限A:公司總經(jīng)理擬定組織構(gòu)造圖，明確公司組織機構(gòu)形式，并擬定各部門職責(zé)和權(quán)限，予以發(fā)布實行。(詳見《信息安全委員會組織構(gòu)造圖》)B:各部門應(yīng)理解本部門職責(zé)、權(quán)限及互有關(guān)系，以便更好地開展工作，保證體系有效性，各崗位詳細信息安全職責(zé)見《崗位闡明書》。C:各部門職責(zé)和權(quán)限a)總經(jīng)理：任命管理者代表，明確管理者代表職責(zé)和權(quán)限；保證在內(nèi)部傳達滿足客戶和法律法規(guī)重要性；為信息安全管理體系配備必要資源；主持管理評審；負責(zé)公司信息安全管理和公司管理籌劃、組織、協(xié)調(diào)、監(jiān)督、控制和考核工作；遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。b)管理代表者：負責(zé)建立、實行、保持和改進信息安全管理體系，保證信息安全體系有效運營；負責(zé)公司信息安全管理手冊審核，程序文獻批準，組織并領(lǐng)導(dǎo)公司內(nèi)部ISMS審核工作；負責(zé)向總經(jīng)理報告信息安全體系運營業(yè)績和任何改進需求；負責(zé)就信息安全管理體系關(guān)于事宜對外聯(lián)系；遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。C)軟件研發(fā)中心：軟件研發(fā)中心下設(shè)6個部門，其中JAVA技術(shù)部、.NET技術(shù)部、稅務(wù)研發(fā)部、通信事業(yè)部這4個部門依照不同業(yè)務(wù)領(lǐng)域進行軟件產(chǎn)品研制與研發(fā)，其職責(zé)是：需求調(diào)研；負責(zé)與顧客溝通與聯(lián)系；提供顧客產(chǎn)品資料；軟件產(chǎn)品開發(fā)方案設(shè)計與制作；進行軟件產(chǎn)品開發(fā)；項目實行籌劃編排與控制；對開發(fā)完畢產(chǎn)品進行及時業(yè)務(wù)培訓(xùn)；技術(shù)支持；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。綜合維護部職責(zé)是：市場信息收集；解決方案設(shè)計與制作；對開發(fā)完畢產(chǎn)品進行及時業(yè)務(wù)培訓(xùn)；售后服務(wù)技術(shù)支持；外包服務(wù)提供；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。測試部職責(zé)是：軟件產(chǎn)品測試；測試資源管理與維護；數(shù)據(jù)分析；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。d)系統(tǒng)集成中心：系統(tǒng)集成中心下設(shè)技術(shù)支持中心、工程中心和采購中心，其中技術(shù)支持中心和工程中心職責(zé)是：需求調(diào)研；解決方案設(shè)計與制作；項目實行籌劃編排與控制；檢查規(guī)范制定與管理；外包服務(wù)提供；技術(shù)支持；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。采購中心職責(zé)是：供方選取與評估；采購產(chǎn)品、不合格品檢查與解決；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。e)業(yè)務(wù)中心：業(yè)務(wù)中心下設(shè)五個部門，其中海外業(yè)務(wù)部專門從事軟件外包業(yè)務(wù)開拓。該中心下設(shè)部門職責(zé)為：市場信息收集；負責(zé)同客戶進行業(yè)務(wù)溝通工作；提供顧客產(chǎn)品資料；市場開拓；合約、定單審查及變更解決；負責(zé)依照訂立顧客規(guī)定安排生產(chǎn)；顧客報怨受理與回饋；顧客滿意度調(diào)查；顧客售后服務(wù)受理；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。f)服務(wù)中心：市場信息收集；負責(zé)與顧客溝通與聯(lián)系；提供顧客產(chǎn)品資料；市場開拓；合約、定單審查及變更解決；顧客報怨受理與回饋；顧客滿意度調(diào)查；顧客售后服務(wù)受理；技術(shù)支持；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。g)行政管理部：行政管理部下設(shè)管理部和網(wǎng)管中心，其職責(zé)為：負責(zé)公司計算機及網(wǎng)絡(luò)設(shè)備管理和維護；負責(zé)理解世界計算機及網(wǎng)絡(luò)技術(shù)發(fā)展趨勢，為公司計算機及網(wǎng)絡(luò)設(shè)備更新和升級提出建議并予以實行；負責(zé)客戶大規(guī)模電子文獻接受和發(fā)送；負責(zé)公司網(wǎng)站管理、維護和內(nèi)容更新；保障公司IT方面信息安全；負責(zé)公司應(yīng)用系統(tǒng)軟件管理和維護；負責(zé)公司信息安全內(nèi)部審核管理；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。h)人力資源部：負責(zé)人力資源管理工作，保證人員信息安全；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。I)質(zhì)量與項目管理中心：項目實行監(jiān)控與管理；合約、定單審查及變更解決；監(jiān)督并審核質(zhì)量執(zhí)行與達到狀況；監(jiān)督各部門主管貫徹質(zhì)量方針，實現(xiàn)質(zhì)量目的；質(zhì)量異常矯正辦法監(jiān)督；不合格品管理監(jiān)督；顧客抱怨解決與對策追蹤；顧客滿意度調(diào)查后匯整分析及改進；質(zhì)量體系內(nèi)部審核籌劃編制與執(zhí)行；數(shù)據(jù)分析與改進；公司所有體系文獻、文檔資料管理；負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。j)財務(wù)部：實行尋常財務(wù)管理和會計核算，編制和執(zhí)行公司財務(wù)籌劃；控制公司運作成本，按月進行各類財務(wù)分析，為管理層提供決策根據(jù)；向關(guān)于管理部門上交各類財務(wù)報表，如實反映公司經(jīng)營狀況；與各結(jié)算銀行進行業(yè)務(wù)溝通和聯(lián)系，向國家稅務(wù)部門準時繳納各項稅金。負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。k)分支機構(gòu)：倫敦辦事處重要職責(zé)：

負責(zé)公司與海外合伙公司溝通；負責(zé)海外市場拓展；負責(zé)海外合伙項目跟蹤、監(jiān)控和協(xié)調(diào)。負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。北京辦事處重要職責(zé)：負責(zé)公司重大項目協(xié)調(diào)工作。負責(zé)公司對外分支機構(gòu)選址和建立。負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。蘇州、無錫、常州辦事處重要職責(zé)：開拓公司稅務(wù)產(chǎn)品市場以及售后服務(wù)工作；負責(zé)江蘇省內(nèi)各個代理管理；負責(zé)公司產(chǎn)品在其他地區(qū)銷售和維護工作。負責(zé)工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關(guān)規(guī)定以及本崗位有關(guān)保密規(guī)定。5.2資源管理公司應(yīng)擬定并提供保證客戶滿意，保持信息安全管理體系有效運營并持續(xù)改進所需資源，并對資源進行有效控制和管理。公司資源涉及：人力資源、計算機網(wǎng)絡(luò)系統(tǒng)、工作環(huán)境及技術(shù)、信息等。5.2.1資源提供建立實行運營監(jiān)控評審和維護信息安全管理體系；保證信息安全程序支持業(yè)務(wù)規(guī)定；辨認和強調(diào)法律法規(guī)規(guī)定和合同安全責(zé)任；對的應(yīng)用所有實行控制辦法維護足夠安全；通過管理評審或其她評審活動對資源充分性進行評審，并對評審成果采用恰當辦法；f)需要時，改進信息安全管理體系有效性。5.2.2培訓(xùn)、意識和能力公司擬定從事與信息安全關(guān)于人員所需能力，采用如下控制保證這些人員可以勝任工作：擬定從事影響信息安全管理體系人員所必要能力，通過《崗位闡明書》任職規(guī)定來擬定，并在招聘活動中確認有關(guān)信息安全任職規(guī)定；對人員提供培訓(xùn)或其她辦法滿足這些規(guī)定；評價采用培訓(xùn)和采用辦法有效性；建立并組織實行《人力資源管理程序》，對以上方面進行控制，并保存與教誨、培訓(xùn)、技能、經(jīng)驗及對員工能力評價記錄。應(yīng)保證所有有關(guān)人員結(jié)識到她們信息安全活動有關(guān)性和重要性，以及她們?nèi)绾螢閷崿F(xiàn)信息安全管理體系目的做貢獻。5.2.3有關(guān)文獻《人力資源管理程序》信息安全體系規(guī)定與體系文獻及部門職能分派表：ISO27001條文規(guī)定責(zé)任部門總經(jīng)理管理者代表軟件研發(fā)中心系統(tǒng)集成中心業(yè)務(wù)中心服務(wù)中心行政管理部人力資源部質(zhì)量與項目管理中心財務(wù)部分支機構(gòu)4信息安全管理體系4.1總規(guī)定◆○○○○○○○○○○4.2建立并管理ISMS4.2.1建立ISMS◆○○○○○○△○○4.2.2實行和運營ISMS◆○○○○○○△○○4.2.3監(jiān)視和評審ISMS◆○○○○○○△○○4.2.4保持和改進ISMS◆○○○○○○△○○4.3文獻規(guī)定4.3.1總則◆○○○○○○△○○4.3.2文獻控制○○○○○○○△○○4.3.3記錄控制○○○○○○○△○○5管理職責(zé)5.1管理者承諾◆○○○○○○○○○○5.2資源管理5.2.1資源提供◆○○○○○○○○○○5.2.2培訓(xùn)、意識和能力○◆○○○○○△○○○6ISMS內(nèi)部審核○◆○○○○○○△○○7ISMS管理評審7.1總則◆○○○○○○○△○○7.2評審輸入○◆○○○○○○△○○7.3評審輸出○◆○○○○○○△○○8ISMS改進8.1持續(xù)改進○◆○○○○○○△○○8.2糾正辦法○◆○○○○○○△○○8.3防止辦法○◆○○○○○○△○○附錄A條文規(guī)定責(zé)任部門總經(jīng)理管理者代表軟件研發(fā)中心系統(tǒng)集成中心業(yè)務(wù)中心服務(wù)中心行政管理部人力資源部質(zhì)量與項目管理中心財務(wù)部分支機構(gòu)A.5信息安全方略A.5.1信息安全方針◆○○○○○○○△○○A.6信息安全組織A.6.1內(nèi)部組織○◆○○○○○○△○○A.6.2外部有關(guān)方○◆○○○○○○△○○A.7資產(chǎn)管理A.7.1資產(chǎn)責(zé)任○◆○○○○○○△○○A.7.2信息分類○◆○○○○○○△○○A.8人力資源安全A.8.1聘任前○○○○○○○△○○○A.8.2聘任期間○○○○○○○△○○○A.9物理和環(huán)境安全A.9.1安全區(qū)域○◆○○○○△○●○○A.9.2設(shè)備安全○◆○○○○△○●○○A.10通信和運作管理A.10.1操作程序和職責(zé)○○○○○○△○●○○A.10.2第三方服務(wù)交付管理○○○○○○△○●○○A.10.3系統(tǒng)策劃與接受○○○○○○△○●○○A.10.4防范惡意和可移動代碼○○○○○○△○●○○A.10.5備份○○○○○○△○●○○A.10.6網(wǎng)絡(luò)安全管理○○○○○○△○●○○A.10.7介質(zhì)解決○○○○○○△○●○○A.10.8信息互換○○○○○○△○●○○A.10.9電子商務(wù)服務(wù)（只涉及A.10.9.3公共信息）○○○○○○△○●○○A.10.10監(jiān)控○○○○○○△○●○○A.11訪問控制A.11.1訪問控制業(yè)務(wù)規(guī)定○○○○○○△○●○○A.11.2顧客訪問管理○○○○○○△○●○○A.11.3顧客責(zé)任○○○○○○△○●○○A.11.4網(wǎng)絡(luò)訪問控制○○○○○○△○●○○A.11.5操作系統(tǒng)訪問控制○○○○○○△○●○○A.11.6應(yīng)用程序及信息訪問控制○○○○○○△○●○○A.11.7移動計算和遠程工作○○○○○○△○●○○A.12信息系統(tǒng)獲取開發(fā)和維護A.12.1信息系統(tǒng)安全需求○○○○○○△○●○○A.12.2應(yīng)用程序?qū)Φ慕鉀Q○○○○○○△○●○○A.12.3加密控制○○○○○○△○●○○A.12.4系統(tǒng)文獻安全○○○○○○△○●○○A.12.5開發(fā)和支持過程安全（不涉及A.12.5.5）○○○○○○△○●○○A.12.6技術(shù)薄弱點管理○○○○○○△○●○○A.13信息安全事件管理A.13.1報告信息安全事情和薄弱點○○○○○○△○●○○A.13.2信息安全事件和改進管理○○○○○○△○●○○A.14業(yè)務(wù)持續(xù)性管理A.14.1業(yè)務(wù)持續(xù)性管理中信息安全事項○◆○○○○△○●○○A.15符合性A.15.1符合法律規(guī)定○○○○○○△○●○○A.15.2符合安全方針和原則，以及技術(shù)符合○◆○○○○△○●○○A.15.3信息系統(tǒng)審核有關(guān)事宜○◆○○○○△○●○○*注：領(lǐng)導(dǎo)職責(zé)以“◆”表達；監(jiān)督部門以“●”表達；負責(zé)部門以“△”表達；有關(guān)部門以“○”表達。6.ISMS內(nèi)部審核A:公司建立并實行《信息安全內(nèi)部審核程序》，明確審核規(guī)定，保證公司信息安全管理體系符合性和有效性，符合已經(jīng)辨認信息安全規(guī)定。B:公司管理者代表負責(zé)督促內(nèi)部審核進行，并將審核狀況報告總經(jīng)理。C:公司按籌劃時間間隔（不超過一年）組織內(nèi)部審核，審核籌劃安排應(yīng)考慮區(qū)域重要性及以往執(zhí)行狀況。D:應(yīng)安排具備審核員資格人員進行審核，審核員不應(yīng)審核自己部門工作，以保證審核公正性和客觀性。E:受審核區(qū)域應(yīng)采用恰當辦法，以消除發(fā)現(xiàn)不合格現(xiàn)象。F:審核員應(yīng)對所采用辦法狀況進行跟蹤驗證，保證不合格結(jié)案。G:關(guān)于審核所有記錄應(yīng)由管理部進行保存。H:有關(guān)文獻：《信息安全內(nèi)部審核程序》7.ISMS管理評審7.1.1公司建立并實行《信息安全管理評審