信息安全管理手冊(cè)2

ISMSS公開(kāi)

inoso

fth01

XX信

息安

全管

理手

冊(cè)

信息安全管理手文檔名稱(chēng)信息安全管理手冊(cè)

文檔編號(hào)ISMS/Sinosoft-h-01-2008

公布組織Sinosoft信息安全委員會(huì)

冊(cè)公布日期2008年1月1日

執(zhí)行日期2008年1月1日

版本號(hào)A1.0

批準(zhǔn)人簽字審核人簽字制訂人簽字

日期：2008/1/I日期：2008/1/I日期：2008/1/I

南京擎天科技有限公司

NanjingSinosoftTechnologyCo.,Ltc.

變更履歷

序版本編號(hào)變化簡(jiǎn)要■說(shuō)明i變更內(nèi)容、變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期

號(hào)或者更換狀態(tài)變更位置、變更原因與

記錄編號(hào)*變更范圍）

1A1.0C創(chuàng)建，全頁(yè)。2008/1/1許明星茅建平汪曉剛2008/1/1

*變化狀態(tài)：C——?jiǎng)?chuàng)建，A——增加，M——修改，D-刪除

公司介紹

南京擎天科技有限公司(NanjingSinosoftTechnologyCo.,Ltd.簡(jiǎn)稱(chēng)

Sinosoft)成立于1998年12月，通過(guò)持續(xù)創(chuàng)新，公司已成長(zhǎng)為集應(yīng)用軟件開(kāi)發(fā)、

信息系統(tǒng)集成與專(zhuān)業(yè)咨詢(xún)服務(wù)為一體的國(guó)家級(jí)高新技術(shù)企業(yè)。2005年，公司成

功中標(biāo)國(guó)稅總局的“金稅三期出口退稅系統(tǒng)”建設(shè)工程。2006年3月6日在倫

敦證交所掛牌上市，市值達(dá)18億元，是國(guó)內(nèi)首家登陸英國(guó)資本市場(chǎng)的軟件企業(yè)。

Sinosoft總部設(shè)在南京，在南京市國(guó)家級(jí)高新技術(shù)開(kāi)發(fā)區(qū)建有獨(dú)立的研發(fā)

與測(cè)試中心，在北京、蘇州、無(wú)錫、常州設(shè)有分支機(jī)構(gòu)及技術(shù)服務(wù)中心。公司

以領(lǐng)先的技術(shù)、穩(wěn)固可靠的產(chǎn)品、優(yōu)質(zhì)完善的服務(wù)，贏得了廣大客戶(hù)的支持與

信任，打造出“擎天”品牌。

Sinosoft定位于應(yīng)用軟件的開(kāi)發(fā)，公司先后承擔(dān)國(guó)家、省、市重大科研開(kāi)

發(fā)項(xiàng)目數(shù)十項(xiàng)，公司擁有70多項(xiàng)自主開(kāi)發(fā)產(chǎn)品，其中49項(xiàng)獲得國(guó)家版權(quán)局頒

發(fā)的著作權(quán)證書(shū)及有關(guān)國(guó)家專(zhuān)利，并積極參與全國(guó)性的軟件標(biāo)準(zhǔn)制訂工作。多

個(gè)項(xiàng)目被列為“國(guó)家重點(diǎn)火炬計(jì)劃”、“國(guó)家火炬計(jì)劃”、“國(guó)家創(chuàng)新基金”、

“國(guó)家重點(diǎn)新產(chǎn)品”。多項(xiàng)產(chǎn)品先后榮獲中國(guó)優(yōu)秀軟件產(chǎn)品、江蘇省優(yōu)秀軟件

產(chǎn)品獎(jiǎng)(金慧獎(jiǎng))、江蘇省科技進(jìn)步三等獎(jiǎng)、南京市優(yōu)秀軟件一等獎(jiǎng)、南京市科

技進(jìn)步一等獎(jiǎng)、南京市科技進(jìn)步二等獎(jiǎng)。Sinosoft現(xiàn)有客戶(hù)30000余家，包含

巴斯夫、摩托羅拉、LG等世界500強(qiáng)知名企業(yè)。Sinosoft現(xiàn)已在中國(guó)、英國(guó)、

美國(guó)、香港地區(qū)、臺(tái)灣地區(qū)注冊(cè)商標(biāo)，申請(qǐng)多項(xiàng)專(zhuān)利，今后還將繼續(xù)加大知識(shí)

產(chǎn)權(quán)的保護(hù)力度。通過(guò)多年的積存，公司己獲得諸多資質(zhì)與榮譽(yù)，包含：

?國(guó)家信息產(chǎn)業(yè)部計(jì)算機(jī)信息系統(tǒng)集成二級(jí)資質(zhì)

?通過(guò)國(guó)際軟件成熟度模型集成CMMI3級(jí)評(píng)估

?通過(guò)IS09001：2000質(zhì)量管理體系認(rèn)證，04年、07年順利通過(guò)復(fù)審國(guó)家智

能化工程設(shè)計(jì)甲級(jí)資質(zhì)

?入選國(guó)家電子政務(wù)標(biāo)準(zhǔn)化總體構(gòu)成員單位

?入選國(guó)家金稅三期工程專(zhuān)家構(gòu)成員單位

?入選全國(guó)辦公自動(dòng)化專(zhuān)業(yè)委員單位

?A級(jí)納稅單位

?資信等級(jí)為AAA

?榮獲江蘇省名牌稱(chēng)號(hào)

?江蘇省百家重點(diǎn)培養(yǎng)民營(yíng)科技企業(yè)

?江蘇省重點(diǎn)服務(wù)外包企業(yè)

?南京市骨干軟件企業(yè)

?南京市百?gòu)?qiáng)科技工業(yè)企業(yè)

?江蘇軟件收入二十強(qiáng)

通過(guò)多年的市場(chǎng)開(kāi)拓，Sinosoft先后承接全國(guó)數(shù)百個(gè)大中型建設(shè)項(xiàng)目，

積存了豐富的工程技術(shù)經(jīng)驗(yàn)。目前Sinosoft的出口退稅系統(tǒng)系列產(chǎn)品在國(guó)家

稅務(wù)總局、江蘇省國(guó)稅局、海南省國(guó)稅局等出口退稅部門(mén)與4萬(wàn)余戶(hù)出口企業(yè)

中應(yīng)用，并得到良好的應(yīng)用，截止2007年10月，“擎天出口退稅系統(tǒng)軟件”

占全國(guó)產(chǎn)品市場(chǎng)總份額的35%,全國(guó)同行業(yè)第一位。

Sinosoft不斷跟蹤國(guó)際信息技術(shù)及有關(guān)技術(shù)、管理規(guī)范的最新進(jìn)展，結(jié)

合中國(guó)國(guó)情與實(shí)際經(jīng)驗(yàn)，不斷更新軟件開(kāi)發(fā)、系統(tǒng)集成、工程管理等方面的技

術(shù)水平與規(guī)范標(biāo)準(zhǔn)，依托企業(yè)形成市場(chǎng)、技術(shù)、人才與產(chǎn)品的良性循環(huán)，努力

將“Sinosoft技術(shù)中心”建成全省共性軟件、平臺(tái)軟件與基礎(chǔ)軟件新技術(shù)、

新產(chǎn)品、新標(biāo)準(zhǔn)的“輻射中心”，帶動(dòng)本行業(yè)開(kāi)發(fā)企業(yè)不斷向更高更新的層次

進(jìn)展。

信息安全方針批準(zhǔn)令

信息安全管理體系方針

1.總體方針：

實(shí)施風(fēng)險(xiǎn)管理，技術(shù)管理同步，確保信息安全，滿(mǎn)足有關(guān)方要求，實(shí)現(xiàn)可持續(xù)進(jìn)展。

2.詮釋:

我們通過(guò)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供公司各類(lèi)業(yè)務(wù)服務(wù)的開(kāi)展，因此，信息資產(chǎn)的安全性對(duì)

我們來(lái)說(shuō)是最重要的情況。為了保證各類(lèi)信息資產(chǎn)的保密性、完整性、可用性，給客戶(hù)提供

更加安心的服務(wù)，我們根據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，并承諾如

下：

2.1在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目

標(biāo)與操縱措施，明確信息安全的管理職責(zé)：

2.2識(shí)別并滿(mǎn)足適用法律法規(guī)與政府、客戶(hù)等有關(guān)方的信息安全要求：

2.3定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，體系評(píng)審，采取糾正預(yù)防措施，保證本公司信息安

全體系的持續(xù)有效性；

2.4使用先進(jìn)有效的設(shè)施與技術(shù)，處理、傳遞、儲(chǔ)存與保護(hù)各類(lèi)信息：

2.5對(duì)全體員工進(jìn)行持續(xù)的信息安全教育與培訓(xùn)，不斷增強(qiáng)員工信息安全意識(shí)與能力：

2.6制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)戈ij,實(shí)現(xiàn)可持續(xù)進(jìn)展；

2.7關(guān)于本基本方針的適用性、充分性，將結(jié)合實(shí)際狀況定期評(píng)審，必要時(shí)予以修訂；

2.8公司根據(jù)本信息安全管理體系方針制定各類(lèi)策略。

2008年1月

南京擎天科技有限公司

總經(jīng)理：

1.目的與范圍

為了建立、健全本公司信息安全管理體系，確定信息安全方針與目標(biāo)，對(duì)信息安全風(fēng)

險(xiǎn)進(jìn)行有效管理，確保全體員工懂得并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)管理體

系的有效性，特制定本手冊(cè)。

1.1本手冊(cè)按照ISO/IEC27001:2005《信息安全管理體系要求》，并結(jié)合我公司管理的實(shí)

際情況編寫(xiě)，用于在合同條件下向客戶(hù)與第三方證明我公司的信息安全管理體系能滿(mǎn)足規(guī)

定的標(biāo)準(zhǔn)。

1.2信息安全管理體系適用范圍

本手冊(cè)適用于4.2.1條款確定范圍內(nèi)的信息安全管理活動(dòng).

1）數(shù)據(jù)處理活動(dòng)；

2）本公司范圍內(nèi)的上訴業(yè)務(wù)流程包含的部門(mén)與員工；

3）與2）所述活動(dòng)有關(guān)的應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；

4）公司連接互聯(lián)網(wǎng)的服務(wù)器及有關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)。

2.引用標(biāo)準(zhǔn)

ISO/IEC17799:2005《信息技術(shù)一安全技術(shù)-信息安全管理實(shí)施細(xì)則》

ISO/IEC27001:2005《信息安全管理體系要求》

3.術(shù)語(yǔ)與定義

本手冊(cè)使用ISO/IEC27001:2005中的術(shù)語(yǔ)與定義。

3.1要求

明示的、通常隱含的或者務(wù)必履行的需求或者期望。

3.2顧客滿(mǎn)意

顧客對(duì)其要求已被滿(mǎn)足的程度的感受。

3.3信息安全管理體系

在信息安全方面指揮與操縱組織的管理體系。

3.4方針

由組織的最高管理者正式公布的該組織總的安全宗旨與方向。

3.5目標(biāo)

在安全管理方面,所追求的目的。

3.6持續(xù)改進(jìn)

增強(qiáng)滿(mǎn)足要求的能力的循環(huán)活動(dòng)。

3.7顧客

同意產(chǎn)品的組織或者個(gè)人。

3.8供方

提供產(chǎn)品的組織或者個(gè)人。

3.9組織

職貨、權(quán)限與相互關(guān)系得到安排的?組人員及設(shè)施。

3.10有關(guān)方

與組織的業(yè)績(jī)或者成就有利益關(guān)系的個(gè)人或者團(tuán)體。

3.11過(guò)程

一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或者相互作用的活動(dòng).

3.12產(chǎn)品

過(guò)程的結(jié)果。

3.13可追溯性

追溯所考慮對(duì)象的歷史、應(yīng)用情況或者所處場(chǎng)所的能力。

3.14預(yù)防措施

為消除潛在不合格或者其他潛在不期望情況的原因所采取的措施。

3.15糾正措施

為消除已發(fā)現(xiàn)的不合格或者其他不期望情況的原因所采取的措施。

3.16手冊(cè)

規(guī)定組織安全管理體系的文件。

3.17審核

為獲得審核證據(jù)并勸其進(jìn)行客觀的評(píng)價(jià)，以確定滿(mǎn)足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)

的、獨(dú)立的并形成文件的過(guò)程。

3.18評(píng)審

為確定主題事項(xiàng)達(dá)到規(guī)定目標(biāo)的適宜性、充分性與有效性所進(jìn)行的活動(dòng)。

3.19記錄

闡明所取得的結(jié)果或者提供所完成活動(dòng)的證據(jù)的文件。

3.20規(guī)范

闡明要求的文件。

3.21資產(chǎn)

對(duì)組織有價(jià)值的任何事物。[IS0/IEC13335-1:2004]

3.22可用性

己授權(quán)實(shí)體一旦需要就可訪問(wèn)與使用的特性。[IS0/IEC13335-1:2004]

3.23保密性

使信息不泄露給未授權(quán)的個(gè)人、實(shí)體、過(guò)程或者不使信息為其利用的特性。[IS0/IEC

13335-1:2004]

3.24信息安全

保持信息的保密性、完整性與可用性；另外，還可能包含其實(shí)性、可核查性、抗抵賴(lài)

與可靠性。[1S0/IEC17799：2005]

3.25信息安全情況

系統(tǒng)、服務(wù)或者網(wǎng)絡(luò)狀態(tài)已經(jīng)確認(rèn)發(fā)生顯示可能違背信息安全方針或者安全故障，或

者可能與安全有關(guān)的往常未知的情況[1SO/IECTR18044:2004]

3.26信息安全事件

單一或者?系列不必要的或者不期望的有危及業(yè)務(wù)運(yùn)作與威脅信息安全的重大可能

的信息安全事件[ISO/IECTR18044:2004]

3.27信息安全管理體系([SMS)

組織整個(gè)管理體系的一部分，以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)

審、保持并持續(xù)改進(jìn)信息安全。

注：管理體系包含：組織結(jié)構(gòu)、方針、計(jì)劃活動(dòng)、職責(zé)、規(guī)范、程序、過(guò)程與資源。

3.28完整性

保護(hù)費(fèi)產(chǎn)準(zhǔn)確性與完備性的特性。[ISO/IEC13335-1:2004]

3.29剩余風(fēng)險(xiǎn)

通過(guò)風(fēng)險(xiǎn)處理后殘留的風(fēng)險(xiǎn)。[ISO/IEC73指南:2002]

3.30風(fēng)險(xiǎn)同意

同意某一風(fēng)險(xiǎn)的決定。[ISO/IEC73指南:2002]

3.31風(fēng)險(xiǎn)分析

系統(tǒng)的使用信息，以識(shí)別來(lái)源并估計(jì)風(fēng)險(xiǎn)。USO/IEC73指南:20()2]

3.32風(fēng)險(xiǎn)評(píng)估

整個(gè)風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程。[ISO/IEC73指南:2002]

3.33風(fēng)險(xiǎn)評(píng)價(jià)

根據(jù)給定的風(fēng)險(xiǎn)準(zhǔn)則比較已估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重程度的過(guò)程。[ISO/IEC73

指南:2002]

3.34風(fēng)險(xiǎn)管理

指導(dǎo)并操縱組織有關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。[IS0/1EC73指南:2002]

3.35風(fēng)險(xiǎn)處理

選擇并實(shí)施措施以降低風(fēng)險(xiǎn)的過(guò)程。[ISO/IEC73指南:2002]

3.36適用性聲明

描述關(guān)于并適用于組織的TSMS的操縱目標(biāo)與操縱措施的文件。

注：操縱目標(biāo)與操縱措施足建立在風(fēng)險(xiǎn)評(píng)估與處理過(guò)程的結(jié)果與結(jié)論、法律法規(guī)要求、

合同義務(wù)與組織的信息安全業(yè)務(wù)要求的基礎(chǔ)上。

3.37有關(guān)縮寫(xiě)的術(shù)語(yǔ)

ISO-國(guó)際標(biāo)準(zhǔn)化組織

IEC-國(guó)際電工委員會(huì)

GB-國(guó)家標(biāo)準(zhǔn)

ISMS-信息安全管埋體系

Sinosoft-南京擎天科技有限公司

4.信息安全管理體系

4.1總要求

公司根據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持與

改進(jìn)信息安全管理體系，形成文件;本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，

對(duì)過(guò)程的應(yīng)用與管理詳見(jiàn)《信息安全管理體系過(guò)程模式圖》（圖1）。

信息安全管理體系是在公司整體經(jīng)營(yíng)活動(dòng)與經(jīng)營(yíng)風(fēng)險(xiǎn)架構(gòu)下，針對(duì)信息安全風(fēng)險(xiǎn)的管理

體系：

圖1信息安全管理體系過(guò)程模式圖

4.2建立與管理ISMS

4.2.1建立ISMS

公司應(yīng)：

a）根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)與技術(shù)定義ISMS范圍與邊界，包含在

范圍內(nèi)任何刪減的細(xì)節(jié)與理由（見(jiàn)標(biāo)準(zhǔn)1.2）。

本公司ISMS的范圍與邊界包含：

1）數(shù)據(jù)處理活動(dòng)；

2）本公司范圍內(nèi)的上訴業(yè)務(wù)流程包含的部門(mén)與員工；

3）與2）所述活動(dòng)有關(guān)的應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；

4）公司連接互聯(lián)網(wǎng)的服務(wù)器及有關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)。

b）根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)與技術(shù)定義ISMS方針，務(wù)必滿(mǎn)足下列

要求：

1）為ISMS目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向與原則；

2）考慮業(yè)務(wù)及法律或者法規(guī)的要求，與合同的安全義務(wù)；

3）與公司戰(zhàn)略與風(fēng)險(xiǎn)管理相?致的環(huán)境下，建立與保存ISMS；

4）建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；

5）總經(jīng)理批準(zhǔn)公布ISMS方針。

c）定義公司風(fēng)險(xiǎn)評(píng)估方法。

質(zhì)量與項(xiàng)目管理中心負(fù)責(zé)建立《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》并組織實(shí)施。《信息安

全風(fēng)險(xiǎn)評(píng)估管理程序》包含可同意風(fēng)險(xiǎn)準(zhǔn)則與可同意水平。

1）識(shí)別適用于ISMS與己經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律與法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方

法。

2）建立同意風(fēng)險(xiǎn)的掛則并識(shí)別風(fēng)險(xiǎn)的可同意等級(jí)。

選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的與可重復(fù)的結(jié)果。

注：風(fēng)險(xiǎn)評(píng)估具有小一致的方法。具體參照TSO/IECTR13335-3,《信息技術(shù)一一IT

安全管理指南一一IT安全管理技術(shù)》。

3）公司的風(fēng)險(xiǎn)評(píng)估的流程

信息資產(chǎn)識(shí)別一重要信息資產(chǎn)（通過(guò)資產(chǎn)評(píng)估標(biāo)準(zhǔn)）一信息資產(chǎn)的威脅識(shí)別與評(píng)價(jià)

一薄弱點(diǎn)識(shí)別與評(píng)價(jià)（對(duì)應(yīng)威脅）一確認(rèn)已經(jīng)采取的安全操縱措施一確定風(fēng)險(xiǎn)等級(jí)（風(fēng)險(xiǎn)等

級(jí)標(biāo)準(zhǔn)）

d）識(shí)別風(fēng)險(xiǎn)：

1）識(shí)別ISMS操縱范圍內(nèi)的資產(chǎn)與這些資產(chǎn)的所有者：在己確定的ISMS范圍內(nèi)，

對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包含文檔/數(shù)據(jù)、軟件/系統(tǒng)、硬件/設(shè)施、人力

資源、服務(wù)、無(wú)形資產(chǎn)等。對(duì)每?項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)推斷根據(jù)確定是否為重要

信息資產(chǎn)，形成《信息資產(chǎn)識(shí)別表譏

2）識(shí)別對(duì)這些資產(chǎn)的威脅，一項(xiàng)資產(chǎn)可能面對(duì)若干個(gè)威脅；

3）識(shí)別可能被威脅利用的脆弱性，一項(xiàng)脆弱性也可能面對(duì)若干個(gè)威脅；

4）識(shí)別保密性、完整性與可用性缺失可能對(duì)資產(chǎn)造成的影響。

解釋?zhuān)骸八姓摺贝硪驯皇跈?quán)的個(gè)人或者實(shí)體，對(duì)資產(chǎn)的生產(chǎn)、開(kāi)發(fā)、保護(hù)、

使用、安全負(fù)有管理責(zé)任?！八姓摺辈淮韨€(gè)人對(duì)資產(chǎn)具有真正的財(cái)產(chǎn)權(quán)。

e）分析并評(píng)價(jià)風(fēng)險(xiǎn)：

1）在資產(chǎn)識(shí)別的基礎(chǔ)上，針對(duì)每?項(xiàng)重要信息資產(chǎn)，根據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的

信息資產(chǎn)CIAB分級(jí)標(biāo)準(zhǔn)，進(jìn)行CIAB的資產(chǎn)賦值計(jì)算：

2）針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅參考表》及以往

的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出重要信息資產(chǎn)所面臨的所有

威脅：

3）按照《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅分級(jí)標(biāo)準(zhǔn)》對(duì)每一個(gè)威脅發(fā)生的可能性進(jìn)行賦

值；

4）針對(duì)每?項(xiàng)威脅，考慮現(xiàn)有的操縱措施，參考《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性參

考表》識(shí)別出被該威脅可能利用的所有薄弱點(diǎn)，并根據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性分級(jí)

標(biāo)準(zhǔn)》對(duì)每?個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值；

5）按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合威脅與脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評(píng)價(jià)。

6）按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合資產(chǎn)與脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生的缺失進(jìn)行評(píng)價(jià)。

7）按照風(fēng)險(xiǎn)評(píng)估模型對(duì)風(fēng)險(xiǎn)發(fā)生可能性與風(fēng)險(xiǎn)發(fā)生的缺失進(jìn)行計(jì)算得出風(fēng)險(xiǎn)評(píng)估

賦值，并按照《風(fēng)險(xiǎn)評(píng)估原則》中的《風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)》評(píng)價(jià)出信息安全風(fēng)險(xiǎn)等級(jí)。

8）關(guān)于信息安全風(fēng)險(xiǎn)，在考慮操縱措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險(xiǎn)同

意準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可同意風(fēng)險(xiǎn)。

f）識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇：

關(guān)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮操縱措施與費(fèi)用的平衡原則，選用下列適當(dāng)?shù)拇胧?/p>

1）應(yīng)用適當(dāng)?shù)牟倏v以降低風(fēng)險(xiǎn)：這可能是降低事件發(fā)生的可能性，也可能是降低

安全失?。ūＣ苄?、完整性或者可用性丟失）的業(yè)務(wù)損害。

2）假如能證明風(fēng)險(xiǎn)滿(mǎn)足公司的方針與風(fēng)險(xiǎn)同意潴則，有意的、客觀的同意風(fēng)險(xiǎn)：

通常針對(duì)那些不可避免的風(fēng)險(xiǎn)，而且技術(shù)上、資源上不可能采取計(jì)策來(lái)降低，或者者降低對(duì)

公司來(lái)說(shuō)不經(jīng)濟(jì)?！巴怙L(fēng)險(xiǎn)”是針對(duì)推斷為不可同意的風(fēng)險(xiǎn)所采取的處理方法，而不是

針對(duì)那些低于風(fēng)險(xiǎn)同意水平的本來(lái)就可同意的風(fēng)險(xiǎn)。

3）避免風(fēng)險(xiǎn)：關(guān)于不是公司的核心工作內(nèi)容的活動(dòng)，公司能夠采取避免某項(xiàng)活動(dòng)

或者者避免使用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來(lái)回避可能產(chǎn)生的風(fēng)險(xiǎn)。

4）將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，比如保險(xiǎn)公司、供方。

信息安全委員會(huì)應(yīng)組織有關(guān)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成《風(fēng)險(xiǎn)處理計(jì)劃》，該

計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處埋責(zé)任部門(mén)、方法及時(shí)間。

g）為風(fēng)險(xiǎn)的處理選擇操縱目標(biāo)與操縱措施。

應(yīng)選擇并實(shí)施操縱目標(biāo)與操縱措施，以滿(mǎn)足風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處理過(guò)程所識(shí)別的要

求。選擇時(shí)，應(yīng)考慮同意風(fēng)險(xiǎn)的準(zhǔn)則與法律法規(guī)與合同要求。

信息安全委員會(huì)根據(jù)信息安全方針、業(yè)務(wù)進(jìn)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部

門(mén)制定信息安全目標(biāo)，并將目標(biāo)分解到右.關(guān)部門(mén)。信息安全目標(biāo)應(yīng)獲得信息安全最高責(zé)任者

的批準(zhǔn)。

從附錄A中選擇的操縱目標(biāo)與操縱措施應(yīng)作為這一過(guò)程的一部分，并滿(mǎn)足上述要

求。公司也可根據(jù)需要選擇另外的操縱目標(biāo)與操縱措施。

注：附錄A包含了組織內(nèi)通常要用到的全面的操縱目標(biāo)與操縱措施的列表。木標(biāo)準(zhǔn)

用戶(hù)可將附錄A作為選擇操縱措施的出發(fā)點(diǎn)，以確保不可能遺漏重要的操縱可選措施。

h）獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)，剩余風(fēng)險(xiǎn)同意批準(zhǔn)應(yīng)該在《風(fēng)險(xiǎn)評(píng)估表》上

留下記錄。

i）獲得管理者對(duì)實(shí)施與運(yùn)行ISMS的授權(quán)。ISMS管理者代表的任命與授權(quán)、ISMS文檔的簽

署能夠作為實(shí)施與運(yùn)作ISMS的授權(quán)證據(jù)。

j）準(zhǔn)備適用性聲明，內(nèi)容應(yīng)包含：

1）所選擇的操縱目標(biāo)與操縱措施，與選擇的原因；

2）當(dāng)前實(shí)施的操縱目標(biāo)與操縱措施：

3）附錄A中操縱目標(biāo)與操縱措施的刪減，與刪減的理由。

4）質(zhì)量與項(xiàng)目管理中心負(fù)責(zé)組織編制《信息安全適用性聲明》。

注：適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。通過(guò)推斷刪減的理由，再次確認(rèn)

操縱目標(biāo)沒(méi)有被無(wú)意識(shí)的遺漏。

4.2.2實(shí)施并運(yùn)作ISMS

為確保ISMS有效實(shí)施，咐己識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開(kāi)展下列活動(dòng)：

a）制定風(fēng)險(xiǎn)處理計(jì)劃闡明為操縱信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)與優(yōu)

先權(quán)。

b）為了達(dá)到所確定的操縱目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包含考慮資金與角色與職責(zé)

的分配，明確各崗位的信息安全職責(zé)；

c）實(shí)施所選的操縱措施，以滿(mǎn)足操縱目標(biāo)。

d）確定如何測(cè)量所選擇的?個(gè)/組操縱措施的有效性，并規(guī)定這些測(cè)量措施如何用

于評(píng)估操縱的有效性以得出可比較的、可重復(fù)的結(jié)果。

注：測(cè)量操縱措施的有效性同意管理者與有關(guān)人員來(lái)確定這些操縱措施實(shí)現(xiàn)策劃的

操縱目標(biāo)的程度。

e）實(shí)施培訓(xùn)與意識(shí)計(jì)劃。

f）時(shí)ISMS的運(yùn)作進(jìn)行管理。

g）對(duì)ISMS的資源進(jìn)行管理。

h）實(shí)施能夠快速檢測(cè)安全情況、響應(yīng)安全事件的程序與其它操縱。

4.2.3監(jiān)控并評(píng)審1SMS

a）本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、

定期技術(shù)檢查等操縱措施并報(bào)告結(jié)果以實(shí)現(xiàn)：

1）快速檢測(cè)處理結(jié)果中的錯(cuò)誤；

2）快速識(shí)別失敗的與成功的安全破壞與事件；

3）能使管理者確認(rèn)人工或者自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果；

4）幫助檢測(cè)安全情況，并利用指標(biāo)預(yù)防安全事件：

5）確定解決安全破壞所采取的措施是否有效.

b）定期評(píng)審ISMS的有效性（包含安全方針與目標(biāo)的符合性，對(duì)安全操縱措施的評(píng)

審），考慮安全審核、事件、有效性測(cè)量的結(jié)果，與所有有關(guān)方的建議與反饋。

c）測(cè)量操縱措施的有效性，以證實(shí)安全要求已得到滿(mǎn)足。

d）按照計(jì)劃的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估，評(píng)審剩余風(fēng)險(xiǎn)與可同意風(fēng)險(xiǎn)的等級(jí)，考

慮到下列變化：

1）組織機(jī)構(gòu)與職責(zé)：

2）技術(shù);

3）業(yè)務(wù)目標(biāo)與過(guò)程：

4）己識(shí)別的威脅：

5）實(shí)施操縱的有效性：

6）外部事件，比如法律或者規(guī)章環(huán)境的變化、合同責(zé)任的變化與社會(huì)環(huán)境

的變化。

e）按照計(jì)劃的時(shí)間間隔（不超過(guò)一年）進(jìn)行ISMS內(nèi)部審核。

注：內(nèi)部審核，也稱(chēng)之第一方審核，是為了內(nèi)部的目的，由公司或者以公司

的名義進(jìn)行的審核。

f）定期對(duì)ISMS進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別ISMS過(guò)程的改進(jìn)。

g）考慮監(jiān)視與評(píng)審洱?動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。

h）記錄可能對(duì)ISMS有效性或者業(yè)績(jī)有影響的活動(dòng)與情況。

4.2.4保持并持續(xù)改進(jìn)ISMS

本公司開(kāi)展下列活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：

a）實(shí)施已識(shí)別的ISUS改進(jìn)措施。

b）采取適當(dāng)?shù)募m正與預(yù)防措施。吸取從其他公司的安全經(jīng)驗(yàn)與組織自身安全實(shí)踐

中得到的教訓(xùn)。

c）與所有有關(guān)方溝通措施與改進(jìn)。溝通的全面程度應(yīng)與環(huán)境相適宜，必要時(shí)，應(yīng)

約定如何進(jìn)行。

d）確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)。

4.3文件要求

4.3.1總則

本公司信息安全管理體系文件包含：

A:信息安全管理手冊(cè)（包含文件化的方針、操縱目標(biāo)、管理體系的范圍及信

息安全習(xí)慣性聲明、信息安全策略）；

B:程序文件；

c：作業(yè)指導(dǎo)書(shū)；

D:風(fēng)險(xiǎn)評(píng)估方法的描述.，風(fēng)險(xiǎn)評(píng)估報(bào)告及風(fēng)險(xiǎn)處理計(jì)劃；

E:外來(lái)文件；

F:表單。

4.3.2信息安全管理手冊(cè)

A:編寫(xiě)目的：向公司內(nèi)部或者外部提供關(guān)于信息安全管理體系的基本信息，

用于對(duì)公司的信息安全管理體系做綱領(lǐng)性與概括性的描述。

B:信息安全管理手冊(cè)的編寫(xiě)：由管理者代表負(fù)責(zé)紐織編寫(xiě)，總經(jīng)理批準(zhǔn)后公

布實(shí)施。

C:信息安全管理手冊(cè)的管理：質(zhì)量與項(xiàng)目管理中心負(fù)責(zé)保管及發(fā)放管理。

D:信息安全管理手冊(cè)的發(fā)放：手冊(cè)分“受控”與“非受控”兩種。受控手

冊(cè)在封面上加蓋紅色“受控文件”章，僅限于公司內(nèi)部使用，當(dāng)修訂或者換版時(shí)進(jìn)行相應(yīng)

操縱，且人員調(diào)離時(shí)應(yīng)予歸還；非受控手冊(cè)不蓋任何印章，發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶(hù)等,

在修訂與換版時(shí)不予操縱。

4.3.3文件與資料管理

公司建立《文件管理程序》，規(guī)定下列方面的操縱要求：

A:文件在發(fā)放前應(yīng)按規(guī)定的審核與批準(zhǔn)權(quán)限進(jìn)行批準(zhǔn)后才能公布；

B:必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并按規(guī)定的權(quán)限重新批準(zhǔn)；

C:由質(zhì)量與項(xiàng)目管理中心對(duì)文件的現(xiàn)行修訂狀態(tài)進(jìn)行標(biāo)識(shí)，文件更換由相應(yīng)

更換部門(mén)進(jìn)行標(biāo)識(shí)，確保文件的更換狀態(tài)清晰明了：

D：質(zhì)量與項(xiàng)目管理中心應(yīng)確保所有使用文件的場(chǎng)所能夠獲得有關(guān)文件的有

效版本：

E:各部門(mén)應(yīng)愛(ài)護(hù)文件，確保文件清晰，易于辨識(shí)；

F:各部門(mén)獲得外來(lái)文件應(yīng)統(tǒng)一交有關(guān)部門(mén)儲(chǔ)存，進(jìn)行標(biāo)識(shí)并操縱發(fā)放；

G:質(zhì)量與項(xiàng)目管理中心應(yīng)操縱作廢文件的使用，若各部門(mén)有必要儲(chǔ)存作廢

文件時(shí)，應(yīng)向質(zhì)量與項(xiàng)目管理中心報(bào)告并由質(zhì)量與項(xiàng)目管理中心加蓋“作廢”章。

4.3.4記錄操縱

公司建立《記錄管理程序》，規(guī)定公司有關(guān)記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、儲(chǔ)存

期限與過(guò)期的處理方法等，以提供產(chǎn)品符合要求與信息安全管理體系有效運(yùn)行的客觀證

據(jù)。ISMS記錄應(yīng)該考慮任何有關(guān)的法律與法規(guī)要求與合同責(zé)任，記錄中應(yīng)該包含所有過(guò)

程的業(yè)績(jī)，與發(fā)生的、與ISMS有關(guān)的重大安全事件。

4.3.5有關(guān)文件

《文件操縱程序》

《記錄操縱程序》

5.管理職責(zé)

5.1管理者承諾:

公司總經(jīng)理的承諾是：建立與實(shí)施信息安全管理體系，持續(xù)改善其有效性，確保提交

給客戶(hù)滿(mǎn)意的產(chǎn)品與服務(wù)，并通過(guò)開(kāi)展下列活動(dòng)為以上承諾提洪證據(jù)：

5.1.1向公司內(nèi)部員工傳達(dá)滿(mǎn)足方針目標(biāo)、滿(mǎn)足客戶(hù)需求、符合法律法規(guī)與持續(xù)改進(jìn)的重

要性：

5.1.2制定信息安全方針；

5.1.3確保信息安全操縱目標(biāo)的制定：

5.1.4進(jìn)行管理評(píng)審；

5.1.5規(guī)定職責(zé)與權(quán)限：

5.1.6確保內(nèi)部審核的實(shí)施；

5.1.7決定信息安全同意風(fēng)險(xiǎn)妁準(zhǔn)則與風(fēng)險(xiǎn)的可同意等級(jí)；

5.1.8確保為公司管理體系配備必要的資源。

公司的組織機(jī)構(gòu)見(jiàn)附件。

5.1.9職責(zé)與權(quán)限

A:公司總經(jīng)理確定組織結(jié)構(gòu)圖，明確公司的組織機(jī)構(gòu)形式，并確定各部門(mén)的

職責(zé)與權(quán)限，予以公布實(shí)施。（詳見(jiàn)《信息安全委員會(huì)組織結(jié)構(gòu)圖》）

B：各部門(mén)應(yīng)熟悉本部門(mén)的職責(zé)、權(quán)限及相互關(guān)系，以便更好地開(kāi)展工作，保

證體系的有效性，各崗位具體信息安全職責(zé)見(jiàn)《崗位說(shuō)明書(shū)》。

C:各部門(mén)職責(zé)與權(quán)限

a）總經(jīng)理：

?任命管理者代表，明確管理者代表的職責(zé)與權(quán)限：

?確保在內(nèi)部傳達(dá)滿(mǎn)足客戶(hù)與法律法規(guī)的重要性；

?為信息安全管理體系配備必要的資源；

?主持管理評(píng)審：

?負(fù)貢公司信息安全管理與企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、操

縱與考核工作；

?遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保密要求。

b）管理代表者：

?負(fù)責(zé)建立、實(shí)施、保持與改進(jìn)信息安全管理體系，保證信息安全體

系的有效運(yùn)行：

?負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo)

公司內(nèi)部1SMS審核JL作：

?負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)與任何改進(jìn)的需求；

?負(fù)責(zé)就宿息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)；

?遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保密要求。

0軟件研發(fā)中心：

軟件研發(fā)中心下設(shè)6個(gè)部門(mén)，其中JAVA技術(shù)部、.NET技術(shù)部、稅務(wù)研發(fā)部、

通信事業(yè)部這4個(gè)部門(mén)根據(jù)不一致業(yè)務(wù)領(lǐng)域進(jìn)行軟件產(chǎn)品的研制與研發(fā)，其職

責(zé)是：

?需求調(diào)研：

?負(fù)責(zé)與領(lǐng)客溝通與聯(lián)系；

?提供顧客產(chǎn)品的資料；

?軟件產(chǎn)品的開(kāi)發(fā)方案的設(shè)計(jì)與制作；

?進(jìn)行軟件產(chǎn)品的開(kāi)發(fā)；

?項(xiàng)目實(shí)施的計(jì)劃編排與操縱；

?對(duì)開(kāi)發(fā)完成的產(chǎn)品進(jìn)行及時(shí)的業(yè)務(wù)培訓(xùn)：

?技術(shù)支持；

?負(fù)責(zé)工年過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定馬木崗位有關(guān)的保

密要求。

綜合保護(hù)部的職責(zé)是：

?市場(chǎng)信息的搜集；

?解決方案的設(shè)計(jì)與制作：

?對(duì)開(kāi)發(fā)完成的產(chǎn)品進(jìn)行及時(shí)的業(yè)務(wù)培訓(xùn)：

?售后服務(wù)的技術(shù)支持；

?外包服務(wù)的提供：

?負(fù)責(zé)工，’乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

測(cè)試部的職責(zé)是：

?軟件產(chǎn)品的測(cè)試；

?測(cè)試資源的管理與保護(hù)；

?數(shù)據(jù)分析；

?負(fù)員工年過(guò)程中的信息安全實(shí)施；

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

d）系統(tǒng)集成中心：

系統(tǒng)集成中心下設(shè)技術(shù)支持中心、工程中心與采購(gòu)中心，其中技術(shù)支持中

心與工程中心的職責(zé)是：

?需求調(diào)研：

?解決方案的設(shè)計(jì)與制作；

?項(xiàng)目實(shí)施的計(jì)劃編排與操縱：

?檢驗(yàn)規(guī)范的制定與管理；

?外包服務(wù)的提供：

?技術(shù)支持；

?負(fù)責(zé)工年過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

采購(gòu)中心的職責(zé)是：

?供方的逃擇與評(píng)估；

?采購(gòu)產(chǎn)品、不合格品的檢驗(yàn)與處理；

?負(fù)責(zé)?工年過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

e）業(yè)務(wù)中心：

業(yè)務(wù)中心下設(shè)五個(gè)部門(mén)，其中海外業(yè)務(wù)部專(zhuān)門(mén)從事軟件外包業(yè)務(wù)的開(kāi)拓。

該中心的下設(shè)部門(mén)的職責(zé)為：

?市場(chǎng)信息的搜集；

?負(fù)責(zé)同客戶(hù)進(jìn)行業(yè)務(wù)溝通工作：

?提供顧客產(chǎn)品的資料；

?市場(chǎng)開(kāi)拓；

?合約、定單的審查及變更的處理；

?負(fù)責(zé)根據(jù)簽訂的顧客要求安排生產(chǎn)；

?顧客報(bào)怨的受理與回饋；

?顧客滿(mǎn)意度的調(diào)查;

?顧客售后服務(wù)的受理；

?負(fù)責(zé)工年過(guò)程中的信息安全實(shí)施；

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

f）服務(wù)中心：

?市場(chǎng)信息的搜集:

?負(fù)責(zé)與顧客溝通與聯(lián)系；

?提供顧客產(chǎn)品的資料；

?市場(chǎng)開(kāi)拓：

?合約、定單的審查及變更的處理：

?顧客報(bào)怨的受理與回饋；

?顧客滿(mǎn)意度的調(diào)查；

?顧客售后服務(wù)的受理；

?技術(shù)支待；

?負(fù)貢工，'乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

g）行政管理部：

行政管理部下設(shè)管理部與網(wǎng)管中心，其職責(zé)為：

?負(fù)責(zé)公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理與保護(hù)；

?負(fù)責(zé)熟悉世界計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的進(jìn)展趨勢(shì)，為公司計(jì)算機(jī)及網(wǎng)絡(luò)

設(shè)備的更新與升級(jí)提出建議并予以實(shí)施：

?負(fù)責(zé)客戶(hù)大規(guī)模電子文件的接收與發(fā)送；

?負(fù)責(zé)公司網(wǎng)站的管理、保護(hù)與內(nèi)容更新：

?保障公司IT方面的信息安全；

?負(fù)貨公司應(yīng)用系統(tǒng)軟件的管理與保護(hù)；

?負(fù)貢公司信息安全內(nèi)部審核的管理；

?負(fù)責(zé)工年過(guò)程中的信息安全實(shí)施；

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

h）人力資源部：

?負(fù)責(zé)人力資源管理工作，確保人員的信息安全；

?負(fù)貢工，’乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

1）質(zhì)量與項(xiàng)目管埋中心：

?項(xiàng)目實(shí)施的監(jiān)控與管理；

?合約、定單的審查及變更的處理；

?監(jiān)督并審核質(zhì)量執(zhí)行與達(dá)成狀況；

?監(jiān)督各部門(mén)主管落實(shí)質(zhì)量方針，實(shí)現(xiàn)質(zhì)量目標(biāo)；

?質(zhì)量特殊矯正措施的監(jiān)督；

?不合格品管理的監(jiān)督；

?顧客埋怨處理與計(jì)策的追蹤；

?顧客滿(mǎn)意度調(diào)查后的匯整分析及改進(jìn)；

?質(zhì)量體系內(nèi)部審核的計(jì)劃編制與執(zhí)行；

?數(shù)據(jù)分析與改進(jìn)：

?公司所有體系文件、文檔資料的管理；

?負(fù)責(zé)工，’乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

j）財(cái)務(wù)部：

?實(shí)行日常財(cái)務(wù)管理與會(huì)計(jì)核算，編制與執(zhí)行企業(yè)財(cái)務(wù)計(jì)劃；

?操縱企業(yè)運(yùn)作成本，按月進(jìn)行各類(lèi)財(cái)務(wù)分析?，為管理層提供決策根

據(jù)；

?向有關(guān)管理部門(mén)上交各類(lèi)財(cái)務(wù)報(bào)表，如實(shí)反映企業(yè)經(jīng)營(yíng)狀況；

?與各結(jié)算銀行進(jìn)行業(yè)務(wù)溝通與聯(lián)系，向國(guó)家稅務(wù)部門(mén)按時(shí)繳納各項(xiàng)

稅金。

?負(fù)責(zé)工，’乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

k）分支機(jī)構(gòu):

倫敦辦事處要緊職賁：

?負(fù)貢公司與海外合作公司的溝通：

?負(fù)責(zé)海外市場(chǎng)的拓展；

?負(fù)責(zé)海外合作項(xiàng)目的跟蹤、監(jiān)控與協(xié)調(diào)。

?負(fù)責(zé)工，'乍過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

北京辦事處要緊職責(zé)：

?負(fù)責(zé)公司的重大項(xiàng)目的協(xié)調(diào)工作。

?負(fù)責(zé)公司對(duì)外分支機(jī)構(gòu)選址與建立。

?負(fù)責(zé)工作過(guò)程中的信息安全實(shí)施：

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

蘇州、無(wú)錫、常州辦事處要緊職責(zé)：

?開(kāi)拓公司稅務(wù)產(chǎn)品的市場(chǎng)與售后服務(wù)工作；

?負(fù)責(zé)江蘇省內(nèi)各個(gè)代理的管理；

?負(fù)責(zé)公司產(chǎn)品在其它地區(qū)的銷(xiāo)售與保護(hù)工作。

?負(fù)責(zé)工作過(guò)程中的信息安全實(shí)施；

?本部門(mén)人員務(wù)必遵守公司信息安全的有關(guān)規(guī)定與本崗位有關(guān)的保

密要求。

5.2資源管理

公司應(yīng)確定并提供確?？蛻?hù)滿(mǎn)意，保持信息安全管理體系有效運(yùn)行并持續(xù)改進(jìn)所需的

資源，并對(duì)資源進(jìn)行有效操縱與管理。

公司資源包含：人力資源、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、工作環(huán)境及技術(shù)、信息等。

5.2.1資源提供

a）建立實(shí)施運(yùn)行監(jiān)控評(píng)審與保護(hù)信息安全管理，本系：

b）確保信息安全程序支持業(yè)務(wù)要求；

c）識(shí)別與強(qiáng)調(diào)法律法規(guī)要求與合同安全責(zé)任；

d）正確的應(yīng)用所有實(shí)施的操縱措施保護(hù)足夠的安全：

e）通過(guò)管理評(píng)審或者其他評(píng)審活動(dòng)對(duì)資源的充分性進(jìn)行評(píng)審，并對(duì)評(píng)審的

結(jié)果采取適當(dāng)措施：

f）需要時(shí).，改進(jìn)信息安全管理體系的有效性。

5.2.2培訓(xùn)、意識(shí)與能力

公司確定從事與信息安全有關(guān)的人員所需的能力，采取下列操縱確保這些人員能夠勝

任工作：

u）確定從事影響信息安全管理體系的人員所必要的能力，通過(guò)《崗位說(shuō)明

書(shū)》的任職要求來(lái)確定，并在招聘活動(dòng)中確認(rèn)有關(guān)信息安全的任職要求：

b）對(duì)人員提供培訓(xùn)或者其他措施滿(mǎn)足這些要求；

c）評(píng)價(jià)采取培訓(xùn)與采取措施的有效性：

d）建立并組織實(shí)施《人力資源管理程序》，對(duì)以上方面進(jìn)行操縱，并儲(chǔ)存

與教育、培訓(xùn)、技能、經(jīng)驗(yàn)及對(duì)員工能力評(píng)價(jià)的記錄。

應(yīng)確保所有有關(guān)人員認(rèn)識(shí)到他們信息安全活動(dòng)的有關(guān)性與羽要性，與他們?nèi)?/p>

何為實(shí)現(xiàn)信息安全管理體系目標(biāo)做奉獻(xiàn)。

5.2.3有關(guān)文件

《人力資源管理程序》

信息安全體系要求與體系文件及部門(mén)職能分配表:

責(zé)任部門(mén)

質(zhì)

系量

軟

統(tǒng)

分

管

行人與

件

服

業(yè)財(cái)

理

總

政

集

支

研

務(wù)力項(xiàng)

務(wù)

經(jīng)

條文要求者

ISO27001務(wù)管

成

發(fā)

中

機(jī)

理資

代

理