ISMSSinosoft信息安全管理手冊

1、保密等級公開文檔名稱信息安全管理手冊文檔編號ISMS/Si nosoft-h-01-2008發(fā)布組織Sinosoft信息安全委員會發(fā)布日期2008年1月1日執(zhí)行日期2008年1月1日版本號A1.0信息安全管理手冊批準人簽字審核人簽字制訂人簽字日期：2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanji ng Sinosoft Tech no logy Co., Ltd.變更履歷序號版本編號或更改記錄編號變化狀態(tài)*簡要說明（變更內(nèi)容、變更位置、變 更原因和變更范 圍）變更日期變更人審核人批準人批準日期1A1.0C創(chuàng)建，全頁。2008/1 /1許明星茅建平

2、汪曉剛2008/1 /1*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D一一刪除公司介紹南京擎天科技有限公司 (Nanjing Sinosoft Technology Co., Ltd. 簡稱 Sinosoft) 成立于 1998 年 12 月，通過持續(xù)創(chuàng)新， 公司已成長為集應用軟件開發(fā)、 信息系統(tǒng)集成和專業(yè)咨詢服務為一體的國家級高新技術企業(yè)。2005 年，公司成功中標國稅總局的“金稅三期出口退稅系統(tǒng)”建設工程。 2006年 3月 6 日在倫 敦證交所掛牌上市， 市值達 18 億元，是國內(nèi)首家登陸英國資本市場的軟件企業(yè)。Sinosoft 總部設在南京，在南京市國家級高新技術開發(fā)區(qū)建有獨立的研發(fā) 與測試中

3、心，在北京、蘇州、無錫、常州設有分支機構及技術服務中心。公司 以領先的技術、穩(wěn)定可靠的產(chǎn)品、優(yōu)質(zhì)完善的服務，贏得了廣大客戶的支持與 信任，打造出“擎天”品牌。Sinosoft 定位于應用軟件的開發(fā)，公司先后承擔國家、省、市重大科研開 發(fā)項目數(shù)十項，公司擁有 70 多項自主開發(fā)產(chǎn)品，其中 49項獲得國家版權局頒 發(fā)的著作權證書及有關國家專利，并積極參與全國性的軟件標準制訂工作。多 個項目被列為“國家重點火炬計劃”、“國家火炬計劃”、“國家創(chuàng)新基金”、 “國家重點新產(chǎn)品”。多項產(chǎn)品先后榮獲中國優(yōu)秀軟件產(chǎn)品、江蘇省優(yōu)秀軟件 產(chǎn)品獎(金慧獎) 、江蘇省科技進步三等獎、南京市優(yōu)秀軟件一等獎、南京市科 技

4、進步一等獎、南京市科技進步二等獎。 Sinosoft 現(xiàn)有客戶 30000 余家，包括 巴斯夫、摩托羅拉、LG等世界500強知名企業(yè)。Sinosoft現(xiàn)已在中國、英國、 美國、香港地區(qū)、臺灣地區(qū)注冊商標，申請多項專利，今后還將繼續(xù)加大知識 產(chǎn)權的保護力度。經(jīng)過多年的積累，公司已獲得諸多資質(zhì)和榮譽，包括：國家信息產(chǎn)業(yè)部計算機信息系統(tǒng)集成二級資質(zhì)通過國際軟件成熟度模型集成 CMMI3級評估通過 ISO9001：2000 質(zhì)量管理體系認證， 04年、 07年順利通過復審國家智 能化工程設計甲級資質(zhì)入選國家電子政務標準化總體組成員單位入選國家金稅三期工程專家組成員單位 入選全國辦公自動化專業(yè)委員單位A

5、級納稅單位資信等級為 AAA榮獲江蘇省名牌稱號 江蘇省百家重點培育民營科技企業(yè) 江蘇省重點服務外包企業(yè)南京市骨干軟件企業(yè) 南京市百強科技工業(yè)企業(yè)江蘇軟件收入二十強經(jīng)過多年的市場開拓， Sinosoft 先后承接全國數(shù)百個大中型建設項目， 積累了豐富的工程技術經(jīng)驗。目前 Sinosoft 的出口退稅系統(tǒng)系列產(chǎn)品在國家 稅務總局、 江蘇省國稅局、 海南省國稅局等出口退稅部門和 4 萬余戶出口企業(yè) 中應用，并得到良好的應用， 截止 2007年 10月，“擎天出口退稅系統(tǒng)軟件” 占全國產(chǎn)品市場總份額的 35%，全國同行業(yè)第一位。Sinosoft 不斷跟蹤國際信息技術及相關技術、 管理規(guī)范的最新發(fā)展，

6、結合中國國情和實際經(jīng)驗， 不斷更新軟件開發(fā)、 系統(tǒng)集成、 工程管理等方面的 技術水平和規(guī)范標準，依托企業(yè)形成市場、技術、人才和產(chǎn)品的良性循環(huán)，努 力將“ Sinosoft 技術中心”建成全省共性軟件、 平臺軟件和基礎軟件新技術、 新產(chǎn)品、 新標準的“輻射中心”， 帶動本行業(yè)開發(fā)企業(yè)不斷向更高更新的層次 發(fā)展。信息安全方針批準令信息安全管理體系方針1總體方針： 實施風險管理，技術管理同步，確保信息安全，滿足相關方要求，實現(xiàn)可持續(xù)發(fā)展。 2詮釋：我們通過計算機及網(wǎng)絡設備提供公司各種業(yè)務服務的開展， 因此， 信息資產(chǎn)的安全性對 我們來說是最重要的事情。為了保證各種信息資產(chǎn)的保密性、 完整性、 可用性

7、，給客戶提供 更加安心的服務，我們依據(jù) ISO/IEC 27001:2005 標準，建立信息安全管理體系，并承諾如 下：2 1 在公司內(nèi)各層次建立完整的信息安全管理組織機構，確定信息安全方針、安全目 標和控制措施，明確信息安全的管理職責；2 2 識別并滿足適用法律法規(guī)和政府、客戶等相關方的信息安全要求；2 3 定期進行信息安全風險評估，體系評審，采取糾正預防措施，保證本公司信息安 全體系的持續(xù)有效性；2 4 采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息；25 對全體員工進行持續(xù)的信息安全教育和培訓， 不斷增強員工信息安全意識和能力； 2 6 制定并保持完善的業(yè)務連續(xù)性計劃，實現(xiàn)可持

8、續(xù)發(fā)展；27 對于本基本方針的適用性、 充分性， 將結合實際狀況定期評審，必要時予以修訂； 2 8 公司根據(jù)本信息安全管理體系方針制定各種策略。2 0 0 8年1月南京擎天科技有限公司 總經(jīng)理：1. 目的和范圍為了建立、 健全本公司信息安全管理體系， 確定信息安全方針和目標， 對信息安全風 險進行有效管理， 確保全體員工理解并遵照執(zhí)行信息安全管理體系文件、 持續(xù)改進管理體 系的有效性，特制定本手冊。1.1 本手冊按照 ISO/IEC 27001:2005 信息安全管理體系要求 ，并結合我公司管理的實 際情況編寫， 用于在合同條件下向客戶和第三方證明我公司的信息安全管理體系能滿足規(guī) 定的標準。1

9、.2 信息安全管理體系適用范圍本手冊適用于 4.2.1 條款確定范圍內(nèi)的信息安全管理活動。1）數(shù)據(jù)處理活動；2）本公司范圍內(nèi)的上訴業(yè)務流程包括的部門和員工；3）與 2） 所述活動相關的應用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；4）公司連接互聯(lián)網(wǎng)的服務器及相關數(shù)據(jù)傳輸?shù)幕顒印?. 引用標準ISO/IEC 17799:2005 信息技術安全技術 - 信息安全管理實施細則ISO/IEC 27001:2005 信息安全管理體系要求3. 術語和定義本手冊采用 ISO/IEC 27001:2005 中的術語和定義。3.1 要求 明示的、通常隱含的或必須履行的需求或期望。3.2 顧客滿意 顧客對其要求

10、已被滿足的程度的感受。3.3 信息安全管理體系 在信息安全方面指揮和控制組織的管理體系。3.4 方針 由組織的最高管理者正式發(fā)布的該組織總的安全宗旨和方向。3.5 目標 在安全管理方面 , 所追求的目的。3.6 持續(xù)改進 增強滿足要求的能力的循環(huán)活動。3.7 顧客 接受產(chǎn)品的組織或個人。3.8 供方 提供產(chǎn)品的組織或個人。3.9 組織職責、權限和相互關系得到安排的一組人員及設施。3.10 相關方 與組織的業(yè)績或成就有利益關系的個人或團體。3.11 過程 一組將輸入轉(zhuǎn)化為輸出的相互關聯(lián)或相互作用的活動。3.12 產(chǎn)品 過程的結果。3.13 可追溯性 追溯所考慮對象的歷史、應用情況或所處場所的能力

11、。3.14 預防措施 為消除潛在不合格或其他潛在不期望情況的原因所采取的措施。3.15 糾正措施 為消除已發(fā)現(xiàn)的不合格或其他不期望情況的原因所采取的措施。3.16 手冊 規(guī)定組織安全管理體系的文件。3.17 審核 為獲得審核證據(jù)并對其進行客觀的評價, 以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。3.18 評審 為確定主題事項達到規(guī)定目標的適宜性、充分性和有效性所進行的活動。3.19 記錄 闡明所取得的結果或提供所完成活動的證據(jù)的文件。3.20 規(guī)范 闡明要求的文件。3.21 資產(chǎn) 對組織有價值的任何事物。 ISO/IEC 13335-1:20043.22 可用性 已授權實體

12、一旦需要就可訪問和使用的特性。ISO/IEC 13335-1:20043.23 保密性 使信息不泄露給未授權的個人、實體、過程或不使信息為其利用的特性。 ISO/IEC 13335-1:20043.24 信息安全 保持信息的保密性、完整性和可用性；另外，還可能包括真實性、可核查性、抗抵賴 和可靠性。 ISO/IEC 17799 ： 20053.25 信息安全事情系統(tǒng)、 服務或網(wǎng)絡狀態(tài)已經(jīng)確認發(fā)生顯示可能違背信息安全方針或安全故障，或可能與安全相關的以前未知的情況 ISO/IEC TR 18044:20043.26 信息安全事件單一或一系列不必要的或不期望的有危及業(yè)務運作和威脅信息安全的重大可能

13、的信 息安全事件 ISO/IEC TR 18044:20043.27 信息安全管理體系 (ISMS) 組織整個管理體系的一部分，以業(yè)務風險方法為基礎，建立、實施、運作、監(jiān)視、評 審、保持并持續(xù)改進信息安全。注：管理體系包括：組織結構、方針、計劃活動、職責、規(guī)范、程序、過程和資源。3.28 完整性 保護資產(chǎn)準確性和完備性的特性。 ISO/IEC 13335-1:20043.29 剩余風險 經(jīng)過風險處理后殘留的風險。 ISO/IEC 73 指南 :20023.30 風險接受 接受某一風險的決定。 ISO/IEC 73 指南 :20023.31 風險分析 系統(tǒng)的使用信息，以識別來源并估計風險。 IS

14、O/IEC 73 指南 :20023.32 風險評估 整個風險分析和風險評價過程。 ISO/IEC 73 指南 :20023.33 風險評價 依據(jù)給定的風險準則比較已估計的風險，以確定風險嚴重程度的過程。 ISO/IEC 73 指南 :20023.34 風險管理 指導并控制組織有關風險的協(xié)調(diào)的活動。 ISO/IEC 73 指南 :20023.35 風險處理 選擇并實施措施以降低風險的過程。 ISO/IEC 73 指南 :20023.36 適用性聲明描述關于并適用于組織的 ISMS的控制目標和控制措施的文件。 注：控制目標和控制措施是建立在風險評估和處理過程的結果和結論、 法律法規(guī)要求、 合同義

15、務和組織的信息安全業(yè)務要求的基礎上。3.37 有關縮寫的術語ISO-國際標準化組織IEC- 國際電工委員會GB-國家標準ISMS-信息安全管理體系Sinosoft- 南京擎天科技有限公司4. 信息安全管理體系4.1 總要求公司依據(jù)ISO/IEC 27001:2005 標準的要求，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進有效性，對過程的應用和管理詳見信息安全管理體系過程模式圖（圖1 ）。信息安全管理體系是在公司整體經(jīng)營活動和經(jīng)營風險架構下，針對信息安全風險的管理體系；圖1信息安全管理體系過程模式圖4.2 建立和管理 ISMS4.

16、2.1 建立 ISMS公司應：a）根據(jù)公司的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義ISMS范圍和邊界，包括在范圍內(nèi)任何刪減的細節(jié)和理由（見標準 1.2 ）。本公司ISMS的范圍和邊界包括：1）數(shù)據(jù)處理活動；2）本公司范圍內(nèi)的上訴業(yè)務流程包括的部門和員工；3）與 2） 所述活動相關的應用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；4 ） 公司連接互聯(lián)網(wǎng)的服務器及相關數(shù)據(jù)傳輸?shù)幕顒?。b）根據(jù)公司的業(yè)務特征、組織結構、地理位置、資產(chǎn)和技術定義ISMS方針，必須滿足以下要求：1）為ISMS目標建立一個框架并為信息安全活動建立整體的方向和原則；2）考慮業(yè)務及法律或法規(guī)的要求，以及合同的安全義務；3

17、）與公司戰(zhàn)略和風險管理相一致的環(huán)境下，建立和保持ISMS；4）建立風險評價的準則；5）總經(jīng)理批準發(fā)布ISMS方針。c）定義公司風險評估方法。質(zhì)量與項目管理中心負責建立 信息安全風險評估管理程序 并組織實施。信息安 全風險評估管理程序包括可接受風險準則和可接受水平。1）識別適用于 ISMS 和已經(jīng)識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方 法。2）建立接受風險的準則并識別風險的可接受等級 。 選擇的風險評估方法應確保風險評估能產(chǎn)生可比較的和可重復的結果。注：風險評估具有不同的方法。具體參照 ISO/IEC TR 13335-3 ，信息技術 IT 安 全管理指南 IT 安全管理技術 。3）公司

18、的風險評估的流程信息資產(chǎn)識別 - 重要信息資產(chǎn) （通過資產(chǎn)評估標準） - 信息資產(chǎn)的威脅識別和評價 - 薄弱點識別和評價 （對應威脅） - 確認已經(jīng)采取的安全控制措施確定風險等級 （風險等 級標準）d）識別風險：1）識別ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的ISMS范圍內(nèi)，對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括文檔 /數(shù)據(jù)、軟件 / 系統(tǒng)、硬件 / 設施、人力 資源、 服務、無形資產(chǎn)等。 對每一項信息資產(chǎn)， 根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要 信息資產(chǎn)，形成信息資產(chǎn)識別表 。2）識別對這些資產(chǎn)的威脅，一項資產(chǎn)可能面對若干個威脅；3）識別可能被威脅利用的脆弱性，一項脆弱

19、性也可能面對若干個威脅；4) 識別保密性、完整性和可用性損失可能對資產(chǎn)造成的影響。解釋： “所有者”代表已被授權的個人或?qū)嶓w，對資產(chǎn)的生產(chǎn)、開發(fā)、維護、使 用、安全負有管理責任。 “所有者”不代表個人對資產(chǎn)具有真正的財產(chǎn)權。e) 分析并評價風險：1) 在資產(chǎn)識別的基礎上，針對每一項重要信息資產(chǎn)，依據(jù)風險評估原則中的信息資產(chǎn)CIAB分級標準，進行 CIAB的資產(chǎn)賦值計算；2) 針對每一項重要信息資產(chǎn)，參考風險評估原則中的威脅參考表及以往 的安全事故 (事件) 記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出重要信息資產(chǎn)所面臨的所有 威脅；3) 按照風險評估原則 中的威脅分級標準對每一個威脅發(fā)生的可能性進行

20、賦值；4) 針對每一項威脅，考慮現(xiàn)有的控制措施，參考風險評估原則中的脆弱性參 考表識別出被該威脅可能利用的所有薄弱點，并根據(jù)風險評估原則中的脆弱性分級 標準對每一個脆弱性被威脅利用的難易程度進行賦值；5) 按照風險評估模型結合威脅和脆弱性賦值對風險發(fā)生可能性進行評價。6) 按照風險評估模型結合資產(chǎn)和脆弱性賦值對風險發(fā)生的損失進行評價。7) 按照風險評估模型對風險發(fā)生可能性和風險發(fā)生的損失進行計算得出風險評估 賦值，并按照風險評估原則中的風險等級標準評價出信息安全風險等級。8) 對于信息安全風險， 在考慮控制措施與費用平衡的原則下制定的信息安全風險接 受準則，按照該準則確定何種等級的風險為不可接

21、受風險。f) 識別并評價風險處理的選擇：對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧?) 應用適當?shù)目刂埔越档惋L險：這可能是降低事件發(fā)生的可能性，也可能是降低 安全失敗 (保密性、完整性或可用性丟失 ) 的業(yè)務損害。2) 如果能證明風險滿足公司的方針和風險接受準則，有意的、客觀的接受風險； 一般針對那些不可避免的風險， 而且技術上、 資源上不可能采取對策來降低， 或者降低對公 司來說不經(jīng)濟。 “接受風險”是針對判斷為不可接受的風險所采取的處理方法，而不是針 對那些低于風險接受水平的本來就可接受的風險。3) 避免風險；對于不是公司的核心工作內(nèi)容的活動，公司可以采取避免某

22、項活動 或者避免采用某項不成熟的產(chǎn)品技術等來回避可能產(chǎn)生的風險。4) 將有關的業(yè)務風險轉(zhuǎn)移到其他方，例如保險公司、供方。信息安全委員會應組織有關部門根據(jù)風險評估的結果，形成風險處理計劃，該計劃應明確風險處理責任部門、方法及時間。g) 為風險的處理選擇控制目標與控制措施。應選擇并實施控制目標和控制措施，以滿足風險評估和風險處理過程所識別的要 求。選擇時，應考慮接受風險的準則以及法律法規(guī)和合同要求。信息安全委員會根據(jù)信息安全方針、 業(yè)務發(fā)展要求及風險評估的結果， 組織有關部 門制定信息安全目標， 并將目標分解到有關部門。 信息安全目標應獲得信息安全最高責任者 的批準。從附錄 A 中選擇的控制目標和

23、控制措施應作為這一過程的一部分，并滿足上述要 求。公司也可根據(jù)需要選擇另外的控制目標和控制措施。注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄 A 作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的控制可選措施。h) 獲得最高管理者對建議的剩余風險的批準，剩余風險接受批準應該在風險評估表上 留下記錄。i) 獲得管理者對實施和運行 ISMS的授權。ISMS管理者代表的任命和授權、ISMS文檔的簽 署可以作為實施和運作 ISMS的授權證據(jù)。j) 準備適用性聲明，內(nèi)容應包括：1) 所選擇的控制目標和控制措施，以及選擇的原因；2) 當前實施的控制目標和控制措施；3

24、) 附錄A中控制目標和控制措施的刪減，以及刪減的理由。4) 質(zhì)量與項目管理中心負責組織編制信息安全適用性聲明 。注：適用性聲明提供了一個風險處理決策的總結。 通過判斷刪減的理由， 再次確認 控制目標沒有被無意識的遺漏。4.2.2 實施并運作 ISMS為確保ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a) 制定風險處理計劃闡明為控制信息安全風險確定的適當?shù)墓芾砘顒?、職責以?優(yōu)先權。b) 為了達到所確定的控制目標，實施風險處理計劃，包括考慮資金以及角色和職責的分配，明確各崗位的信息安全職責；c) 實施所選的控制措施，以滿足控制目標。d) 確定如何測量所選擇的一個 / 組控制

25、措施的有效性， 并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果。注：測量控制措施的有效性允許管理者和相關人員來確定這些控制措施實現(xiàn)策劃的 控制目標的程度。e) 實施培訓和意識計劃。f) 對ISMS的運作進行管理。g) 對ISMS的資源進行管理。h) 實施能夠快速檢測安全事情、響應安全事件的程序和其它控制。4.2.3 監(jiān)控并評審 ISMSa) 本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、 定期技術檢查等控制措施并報告結果以實現(xiàn)：1) 快速檢測處理結果中的錯誤；2) 快速識別失敗的和成功的安全破壞和事件；3) 能使管理者確認人工或自動執(zhí)行的安全活動達

26、到預期的結果；4) 幫助檢測安全事情，并利用指標預防安全事件；5) 確定解決安全破壞所采取的措施是否有效。b) 定期評審ISMS的有效性(包括安全方針和目標的符合性，對安全控制措施的評審)，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。c) 測量控制措施的有效性，以證實安全要求已得到滿足。d) 按照計劃的時間間隔，評審風險評估，評審剩余風險以及可接受風險的等級， 考慮到下列變化：1) 組織機構和職責；2) 技術；3) 業(yè)務目標和過程；4) 已識別的威脅；5) 實施控制的有效性；6) 外部事件， 例如法律或規(guī)章環(huán)境的變化、 合同責任的變化以及社會環(huán)境 的變化。e) 按照計劃的

27、時間間隔(不超過一年)進行ISMS內(nèi)部審核。注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司 的名義進行的審核。f) 定期對ISMS進行管理評審，以確保范圍的充分性，并識別ISMS過程的改進。g) 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。h) 記錄可能對ISMS有效性或業(yè)績有影響的活動和事情。4.2.4 保持并持續(xù)改進 ISMS本公司開展以下活動，以確保ISMS的持續(xù)改進：a) 實施已識別的ISMS改進措施。b) 采取適當?shù)募m正和預防措施。吸取從其他公司的安全經(jīng)驗以及組織自身安全實 踐中得到的教訓。c) 與所有相關方溝通措施和改進。溝通的詳細程度應與環(huán)境相適宜，必要時，應約定如

28、何進行。d) 確保改進達到其預期的目標。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：A：信息安全管理手冊(包括文件化的方針、控制目標、管理體系的范圍及信息安全適應性聲明、信息安全策略 ) ；B: 程序文件；C：作業(yè)指導書；D: 風險評估方法的描述 . ，風險評估報告及風險處理計劃；E: 外來文件；F: 表單。4.3.2 信息安全管理手冊A: 編寫目的： 向公司內(nèi)部或外部提供關于信息安全管理體系的基本信息， 用 于對公司的信息安全管理體系做綱領性和概括性的描述。B: 信息安全管理手冊的編寫： 由管理者代表負責組織編寫， 總經(jīng)理批準后發(fā) 布實施。C: 信息安全管理手冊的管理：質(zhì)

29、量與項目管理中心負責保管及發(fā)放管理。D：信息安全管理手冊的發(fā)放：手冊分“受控”和“非受控”兩種。受控手冊在封面上加蓋紅色 “受控文件”章，僅限于公司內(nèi)部使用， 當修訂或換版時進行相應控 制，且人員調(diào)離時應予歸還；非受控手冊不蓋任何印章，發(fā)放對象為認證機構、客戶等， 在修訂和換版時不予控制。4.3.3 文件和資料管理公司建立文件管理程序 ，規(guī)定以下方面的控制要求：A: 文件在發(fā)放前應按規(guī)定的審核和批準權限進行批準后才能發(fā)布；B: 必要時對文件進行評審與更新，并按規(guī)定的權限重新批準；C：由質(zhì)量與項目管理中心對文件的現(xiàn)行修訂狀態(tài)進行標識，文件更改由相應更改部門進行標識，確保文件的更改狀態(tài)清晰明了；D

30、: 質(zhì)量與項目管理中心應確保所有使用文件的場所能夠獲得有關文件的有 效版本；E: 各部門應愛護文件，確保文件清晰，易于辨識；F: 各部門獲得外來文件應統(tǒng)一交相關部門保存，進行標識并控制發(fā)放；G: 質(zhì)量與項目管理中心應控制作廢文件的使用，若各部門有必要保存作廢 文件時，應向質(zhì)量與項目管理中心報告并由質(zhì)量與項目管理中心加蓋“作廢”章。4.3.4 記錄控制公司建立記錄管理程序 ，規(guī)定公司有關記錄的標識、貯存、保護、檢索、保存 期限和過期的處理方法等，以提供產(chǎn)品符合要求和信息安全管理體系有效運行的客觀證 據(jù)。 ISMS 記錄應該考慮任何相關的法律和法規(guī)要求以及合同責任，記錄中應該包含所有 過程的業(yè)績，

31、以及發(fā)生的、與ISMS相關的重大安全事件。4.3.5 相關文件文件控制程序記錄控制程序5. 管理職責5.1 管理者承諾：公司總經(jīng)理的承諾是： 建立和實施信息安全管理體系， 持續(xù)改善其有效性， 確保提交給客戶滿意的產(chǎn)品和服務，并通過開展以下活動為以上承諾提供證據(jù)：5.1.1 向公司內(nèi)部員工傳達滿足方針目標、 滿足客戶需求、 符合法律法規(guī)和持續(xù)改進的重 要性；5.1.2 制定信息安全方針；5.1.3 確保信息安全控制目標的制定；5.1.4 進行管理評審；5.1.5 規(guī)定職責和權限；5.1.6 確保內(nèi)部審核的實施；5.1.7 決定信息安全接受風險的準則和風險的可接受等級；5.1.8 確保為公司管理體

32、系配備必要的資源。公司的組織機構見附件。5.1.9 職責和權限A:公司總經(jīng)理確定組織結構圖，明確公司的組織機構形式，并確定各部門的職責和權限，予以發(fā)布實施。 （ 詳見信息安全委員會組織結構圖 ）B: 各部門應了解本部門的職責、權限及相互關系，以便更好地開展工作， 保證體系的有效性，各崗位具體信息安全職責見崗位說明書 。C:各部門職責和權限a）總經(jīng)理：任命管理者代表，明確管理者代表的職責和權限； 確保在內(nèi)部傳達滿足客戶和法律法規(guī)的重要性； 為信息安全管理體系配備必要的資源； 主持管理評審； 負責公司信息安全管理和企業(yè)管理的計劃、組織、協(xié)調(diào)、監(jiān)督、控 制和考核工作； 遵守公司信息安全的相關規(guī)定以及

33、本崗位相關的保密要求。b） 管理代表者：負責建立、實施、保持和改進信息安全管理體系，保證信息安全體 系的有效運行； 負責公司信息安全管理手冊的審核，程序文件的批準，組織并領導 公司內(nèi)部ISMS審核工作； 負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求； 負責就信息安全管理體系有關事宜的對外聯(lián)絡； 遵守公司信息安全的相關規(guī)定以及本崗位相關的保密要求。C) 軟件研發(fā)中心：軟件研發(fā)中心下設 6個部門，其中JAVA技術部、.NET技術部、稅務研發(fā)部、通信事業(yè)部這 4 個部門根據(jù)不同業(yè)務領域進行軟件產(chǎn)品的研制與研發(fā)， 其 職責是：需求調(diào)研；負責與顧客溝通與聯(lián)系； 提供顧客產(chǎn)品的資料； 軟件產(chǎn)品的

34、開發(fā)方案的設計與制作； 進行軟件產(chǎn)品的開發(fā)； 項目實施的計劃編排與控制； 對開發(fā)完成的產(chǎn)品進行及時的業(yè)務培訓； 技術支持；負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。綜合維護部的職責是：市場信息的搜集； 解決方案的設計與制作； 對開發(fā)完成的產(chǎn)品進行及時的業(yè)務培訓； 售后服務的技術支持；外包服務的提供； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。測試部的職責是：軟件產(chǎn)品的測試； 測試資源的管理與維護； 數(shù)據(jù)分析； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)

35、定以及本崗位相關的 保密要求。d) 系統(tǒng)集成中心：系統(tǒng)集成中心下設技術支持中心、 工程中心和采購中心， 其中技術支持中 心和工程中心的職責是：需求調(diào)研；解決方案的設計與制作； 項目實施的計劃編排與控制； 檢驗規(guī)范的制定與管理； 外包服務的提供；技術支持； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。采購中心的職責是：供方的選擇與評估； 采購產(chǎn)品、不合格品的檢驗與處理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。e) 業(yè)務中心： 業(yè)務中心下設五個部門，其中海外業(yè)務部專門從事軟件外包業(yè)

36、務的開拓。 該中心的下設部門的職責為：市場信息的搜集； 負責同客戶進行業(yè)務溝通工作； 提供顧客產(chǎn)品的資料；市場開拓； 合約、定單的審查及變更的處理； 負責根據(jù)簽訂的顧客要求安排生產(chǎn)； 顧客報怨的受理與回饋； 顧客滿意度的調(diào)查； 顧客售后服務的受理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。f) 服務中心：市場信息的搜集；負責與顧客溝通與聯(lián)系； 提供顧客產(chǎn)品的資料； 市場開拓；合約、定單的審查及變更的處理； 顧客報怨的受理與回饋； 顧客滿意度的調(diào)查； 顧客售后服務的受理；技術支持； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司

37、信息安全的相關規(guī)定以及本崗位相關的 保密要求。g）行政管理部：行政管理部下設管理部和網(wǎng)管中心，其職責為： 負責公司計算機及網(wǎng)絡設備的管理和維護； 負責了解世界計算機及網(wǎng)絡技術的發(fā)展趨勢， 為公司計算機及網(wǎng)絡 設備的更新和升級提出建議并予以實施； 負責客戶大規(guī)模電子文件的接收和發(fā)送； 負責公司網(wǎng)站的管理、維護和內(nèi)容更新；保障公司 IT 方面的信息安全； 負責公司應用系統(tǒng)軟件的管理和維護； 負責公司信息安全內(nèi)部審核的管理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。h）人力資源部：負責人力資源管理工作，確保人員的信息安全； 負責工作過程中的

38、信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。I） 質(zhì)量與項目管理中心：項目實施的監(jiān)控與管理； 合約、定單的審查及變更的處理； 監(jiān)督并審核質(zhì)量執(zhí)行與達成狀況； 監(jiān)督各部門主管落實質(zhì)量方針，實現(xiàn)質(zhì)量目標； 質(zhì)量異常矯正措施的監(jiān)督； 不合格品管理的監(jiān)督； 顧客抱怨處理與對策的追蹤； 顧客滿意度調(diào)查后的匯整分析及改進； 質(zhì)量體系內(nèi)部審核的計劃編制與執(zhí)行； 數(shù)據(jù)分析與改進； 公司所有體系文件、文檔資料的管理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。j) 財務部： 實行日常財務管理和會計核算，編制和執(zhí)行企

39、業(yè)財務計劃； 控制企業(yè)運作成本，按月進行各類財務分析，為管理層提供決策依 據(jù)； 向有關管理部門上交各類財務報表，如實反映企業(yè)經(jīng)營狀況； 與各結算銀行進行業(yè)務溝通和聯(lián)系， 向國家稅務部門按時繳納各項 稅金。負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。k) 分支機構： 倫敦辦事處主要職責：負責公司與海外合作公司的溝通； 負責海外市場的拓展； 負責海外合作項目的跟蹤、監(jiān)控和協(xié)調(diào)。 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。北京辦事處主要職責：負責公司的重大項目的協(xié)調(diào)工作。 負責公司對外分

40、支機構選址和建立。負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。蘇州、無錫、常州辦事處主要職責：開拓公司稅務產(chǎn)品的市場以及售后服務工作； 負責江蘇省內(nèi)各個代理的管理； 負責公司產(chǎn)品在其它地區(qū)的銷售和維護工作。 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規(guī)定以及本崗位相關的 保密要求。5.2 資源管理公司應確定并提供確?？蛻魸M意， 保持信息安全管理體系有效運行并持續(xù)改進所需的 資源，并對資源進行有效控制和管理。公司資源包括：人力資源、計算機網(wǎng)絡系統(tǒng)、工作環(huán)境及技術、信息等。5.2.1 資源提供a) 建立實施運行監(jiān)控評

41、審和維護信息安全管理體系；b) 確保信息安全程序支持業(yè)務要求；c) 識別和強調(diào)法律法規(guī)要求和合同安全責任；d) 正確的應用所有實施的控制措施維護足夠的安全；e) 通過管理評審或其他評審活動對資源的充分性進行評審， 并對評審的結 果采取適當措施；f) 需要時，改進信息安全管理體系的有效性。5.2.2 培訓、意識和能力 公司確定從事與信息安全有關的人員所需的能力， 采取以下控制確保這些人員能夠勝 任工作：a) 確定從事影響信息安全管理體系的人員所必要的能力， 通過崗位說明 書的任職要求來確定，并在招聘活動中確認相關信息安全的任職要求；b) 對人員提供培訓或其他措施滿足這些要求；c) 評價采取培訓和

42、采取措施的有效性；d) 建立并組織實施人力資源管理程序 ，對以上方面進行控制，并保存 與教育、培訓、技能、經(jīng)驗及對員工能力評價的記錄。應確保所有相關人員認識到他們信息安全活動的相關性和重要性，以及他 們?nèi)绾螢閷崿F(xiàn)信息安全管理體系目標做貢獻。5.2.3 相關文件人力資源管理程序信息安全體系要求與體系文件及部門職能分配表:221 、-K> 立日 任 責總經(jīng)理管理者代表軟件研發(fā)中心系 統(tǒng) 集 成 中 心業(yè) 務 中 心服務中心行政管理部人 力 資 源 部質(zhì)量與項目管理中心財 務 部分 支 機 構4皿系 息體 信理4.1總要求OOOOOOOOOO4.2建立并管理ISMS建立ISMSOOOOOOOO

43、實施和運行ISMSOOOOOOOO監(jiān)視和評審ISMSOOOOOOOO保持和改進ISMSOOOOOOOO4.3文件要求總則OOOOOOOO文件控制OOOOOOOOO記錄控制OOOOOOOOO5管理職責5.1管理者承諾OOOOOOOOOO5.2資源管理資源提供OOOOOOOOOO培訓、意識和 能力OOOOOOOOO6ISMS內(nèi)部審 核OOOOOOOOO7ISMS管理評審7.1總則OOOOOOOOO7.2評審輸入OOOOOOOOO7.3評審輸出OOOOOOOOO8I SMS改進8.1持續(xù)改進OOOOOOOOO8.2糾正措施O.OOOOOOOO8.3預防措施O.OOOOOOOO責任部門附錄A條文要求總

44、經(jīng)理管理者代表軟件研發(fā)中心系 統(tǒng) 集 成 中 心業(yè) 務 中 心服務中心行政管理部人 力 資 源 部質(zhì)量與項目管理中心財 務 部分 支 機 構5A匚.5.1AOO.二丄O二O6 A織 組 全 自心Cn1 sA織 組 RH 立日 內(nèi)。OO.OO-OO.O2 s AOO。OOO。一。7 Am 二 S 管 產(chǎn) 資1A任責/、資OO。一。OO一。一。一27.A類 扮 自心OO。OO一。一8 AU88A前 用OOO。_。一OO一O。_o_28AOOO。_。OO一 O,。9 A19AOO。一O。29AOO。_。一O。_。_o_o1A10A責 職 和 ff序 程 作 操OOO。一O。oOOO。OO ooOOO

45、。O。_。o_代 動 移 可 和 意 惡加碼O2OOOAOO.o份 備OOO。O。OOO。O。oOOO。O。o.OOO。O。o電子商務服務（只包括公共信息）OOOOOOOOO監(jiān)控OOOOOOOOOA.11訪問控制訪問控制的業(yè)務要求OOOOOOOOO用戶訪問管理OOOOOOOOO用戶責任OOOOOOOOO網(wǎng)絡訪問控制OOOOOOOOO操作系統(tǒng)訪問控制OOOOOOOOO應用程序及信息訪問 控制OOOOOOOOO移動計算和遠程工作OOOOOOOOOA.12信息系統(tǒng)獲取開發(fā)和 維護信息系統(tǒng)的安全需求OOOOOOOOO應用程序的正確處理OOOOOOOOO加密控制OOOOOOOOO系統(tǒng)文件安全OOOOOO

46、OOO開發(fā)和支持過程的安全（不包括）OOOOOOOOO技術薄弱點管理OOOOOOOOOA.13信息安全事件管理報告信息安全事情和 薄弱點OOOOOOOOO信息安全事件和改進 管理OOOOOOOOOA.14業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理中的 信息安全事項OOOOOOOOA.15符合性符合法律要求OOOOOOOOO符合安全方針和標準，以及技術符合OOOOOOOO信息系統(tǒng)審核相關事 宜OOOOOOOO*注：領導職責以“”表示；監(jiān)督部門以“”表示；負責部門以“”表示；相關部門 以“O”表示。6. ISMS 內(nèi)部審核A: 公司建立并實施 信息安全內(nèi)部審核程序 ，明確審核的要求， 確保公司信息安全管 理體系

47、的符合性和有效性，符合已經(jīng)識別的信息安全要求。B：公司管理者代表負責督促內(nèi)部審核的進行，并將審核情況報告總經(jīng)理。C: 公司按計劃的時間間隔（不超過一年）組織內(nèi)部審核，審核計劃的安排應考慮區(qū)域 的重要性及以往的執(zhí)行情況。D：應安排具備審核員資格的人員進行審核，審核員不應審核自己部門的工作，以確保 審核的公正性和客觀性。E: 受審核區(qū)域應采取適當?shù)拇胧?，以消除發(fā)現(xiàn)的不合格現(xiàn)象。F: 審核員應對所采取措施的情況進行跟蹤驗證，確保不合格的結案。G:有關審核的所有記錄應由管理部進行保存。H:相關文件：信息安全內(nèi)部審核程序7. ISMS 管理評審7.1.1 公司建立并實施信息安全管理評審程序 ，規(guī)定每年組織公司各部門主管進行管 理評審，評審的目的是