信息安全管理手冊樣本

保密級別公開文檔名稱信息安全管理手冊文檔編號ISMS/Sinosoft-h-01-發(fā)布組織Sinosoft信息安全委員會發(fā)布日期1月執(zhí)行日期1版本號A1.0信息安全管理手冊批準人簽字審核人簽字制定人簽字日期：/日期：/日期：/南京擎天科技有限公司NanjingSinosoftTechnologyCo.，Ltd.變更履歷序號版本編號或更改記錄編號變化狀態(tài)*簡要闡明(變更內容、變更位置、變更因素和變更范疇)變更日期變更人審核人批準人批準日期1A1.0C創(chuàng)立，全頁。/許明星茅建平汪曉剛/*變化狀態(tài)：C——創(chuàng)立，A——增長，M——修改，D——刪除

公司簡介南京擎天科技有限公司(NanjingSinosoftTechnologyCo.，Ltd.簡稱Sinosoft)成立于1998年12月，通過持續(xù)創(chuàng)新，公司已成長為集應用軟件開發(fā)、信息系統(tǒng)集成和專業(yè)征詢服務為一體國家級高新技術公司。，公司成功中標國稅總局“金稅三期出口退稅系統(tǒng)”建設工程。3月6日在倫敦證交所掛牌上市，市值達18億元，是國內首家登陸英國資我市場軟件公司。Sinosoft總部設在南京，在南京市國家級高新技術開發(fā)區(qū)建有獨立研發(fā)與測試中心，在北京、蘇州、無錫、常州設有分支機構及技術服務中心。公司以領先技術、穩(wěn)定可靠產(chǎn)品、優(yōu)質完善服務，贏得了廣大客戶支持與信任，打造出“擎天”品牌。Sinosoft定位于應用軟件開發(fā)，公司先后承擔國家、省、市重大科研開發(fā)項目數(shù)十項，公司擁有70多項自主開發(fā)產(chǎn)品，其中49項獲得國家版權局頒發(fā)著作權證書及關于國家專利，并積極參加全國性軟件原則制定工作。各種項目被列為“國家重點火炬籌劃”、“國家火炬籌劃”、“國家創(chuàng)新基金”、“國家重點新產(chǎn)品”。多項產(chǎn)品先后榮獲中華人民共和國先進軟件產(chǎn)品、江蘇省先進軟件產(chǎn)品獎(金慧獎)、江蘇省科技進步三等獎、南京市先進軟件一等獎、南京市科技進步一等獎、南京市科技進步二等獎。Sinosoft既有客戶30000余家，涉及巴斯夫、摩托羅拉、LG等世界500強知名公司。Sinosoft現(xiàn)已在中華人民共和國、英國、美國、香港地區(qū)、臺灣地區(qū)注冊商標，申請多項專利，此后還將繼續(xù)加大知識產(chǎn)權保護力度。通過近年積累，公司已獲得諸多資質和榮譽，涉及：國家信息產(chǎn)業(yè)部計算機信息系統(tǒng)集成二級資質通過國際軟件成熟度模型集成CMMI3級評估通過ISO9001：質量管理體系認證，、順利通過復審國家智能化工程設計甲級資質入選國家電子政務原則化總體構成員單位入選國家金稅三期工程專家構成員單位入選全國辦公自動化專業(yè)委員單位A級納稅單位資信級別為AAA榮獲江蘇省名牌稱號江蘇省百家重點哺育民營科技公司江蘇省重點服務外包公司南京市骨干軟件公司南京市百強科技工業(yè)公司江蘇軟件收入二十強通過近年市場開拓，Sinosoft先后承辦全國數(shù)百個大中型建設項目，積累了豐富工程技術經(jīng)驗。當前Sinosoft出口退稅系統(tǒng)系列產(chǎn)品在國家稅務總局、江蘇省國稅局、海南省國稅局等出口退稅部門和4萬余戶出口公司中應用，并得到良好應用，截止10月，“擎天出口退稅系統(tǒng)軟件”占全國產(chǎn)品市場總份額35%，全國同行業(yè)第一位。

Sinosoft不斷跟蹤國際信息技術及有關技術、管理規(guī)范最新發(fā)展，結合中華人民共和國國情和實際經(jīng)驗，不斷更新軟件開發(fā)、系統(tǒng)集成、工程管理等方面技術水平和規(guī)范原則，依托公司形成市場、技術、人才和產(chǎn)品良性循環(huán)，努力將“Sinosoft技術中心”建成全省共性軟件、平臺軟件和基本軟件新技術、新產(chǎn)品、新原則“輻射中心”，帶動本行業(yè)開發(fā)公司不斷向更高更新層次發(fā)展。信息安全方針批準令信息安全管理體系方針1．總體方針：實行風險管理，技術管理同步，保證信息安全，滿足有關方規(guī)定，實現(xiàn)可持續(xù)發(fā)展。2．詮釋：咱們通過計算機及網(wǎng)絡設備提供公司各種業(yè)務服務開展，因而，信息資產(chǎn)安全性對咱們來說是最重要事情。為了保證各種信息資產(chǎn)保密性、完整性、可用性，給客戶提供更加安心服務，咱們根據(jù)ISO/IEC27001:原則，建立信息安全管理體系，并承諾如下：2．1在公司內各層次建立完整信息安全管理組織機構，擬定信息安全方針、安全目的和控制辦法，明確信息安全管理職責；2．2辨認并滿足合用法律法規(guī)和政府、客戶等有關方信息安全規(guī)定；2．3定期進行信息安全風險評估，體系評審，采用糾正防止辦法，保證我司信息安全體系持續(xù)有效性；2．4采用先進有效設施和技術，解決、傳遞、儲存和保護各類信息；2．5對全體員工進行持續(xù)信息安全教誨和培訓，不斷增強員工信息安全意識和能力；2．6制定并保持完善業(yè)務持續(xù)性籌劃，實現(xiàn)可持續(xù)發(fā)展；2．7對于本基本方針合用性、充分性，將結合實際狀況定期評審，必要時予以修訂；2．8公司依照本信息安全管理體系方針制定各種方略。２００8年1月南京擎天科技有限公司總經(jīng)理：1.目和范疇為了建立、健全我司信息安全管理體系，擬定信息安全方針和目的，對信息安全風險進行有效管理，保證全體員工理解并遵循執(zhí)行信息安全管理體系文獻、持續(xù)改進管理體系有效性，特制定本手冊。1.1本手冊按照ISO/IEC27001:《信息安全管理體系規(guī)定》，并結合我公司管理實際狀況編寫，用于在合同條件下向客戶和第三方證明我公司信息安全管理體系能滿足規(guī)定原則。1.2信息安全管理體系合用范疇本手冊合用于4.2.1條款擬定范疇內信息安全管理活動。1)數(shù)據(jù)解決活動；2)我司范疇內上訴業(yè)務流程涉及部門和員工；3)與2)所述活動有關應用系統(tǒng)及支持性信息管理系統(tǒng)包括所有信息資產(chǎn)；4)公司連接互聯(lián)網(wǎng)服務器及有關數(shù)據(jù)傳播活動。2.引用原則ISO/IEC17799：《信息技術—安全技術-信息安全管理實行細則》ISO/IEC27001:《信息安全管理體系規(guī)定》3.術語和定義本手冊采用ISO/IEC27001:中術語和定義。3.1規(guī)定明示、普通隱含或必要履行需求或盼望。3.2顧客滿意顧客對其規(guī)定已被滿足限度感受。3.3信息安全管理體系在信息安全面指揮和控制組織管理體系。3.4方針由組織最高管理者正式發(fā)布該組織總安全宗旨和方向。3.5目的在安全管理方面,所追求目。3.6持續(xù)改進增強滿足規(guī)定能力循環(huán)活動。3.7顧客接受產(chǎn)品組織或個人。3.8供方提供產(chǎn)品組織或個人。3.9組織職責、權限和互有關系得到安排一組人員及設施。3.10有關方與組織業(yè)績或成就有利益關系個人或團隊。3.11過程一組將輸入轉化為輸出互有關聯(lián)或互相作用活動。3.12產(chǎn)品過程成果。3.13可追溯性追溯所考慮對象歷史、應用狀況或所處場合能力。3.14防止辦法為消除潛在不合格或其她潛在不盼望狀況因素所采用辦法。3.15糾正辦法為消除已發(fā)現(xiàn)不合格或其她不盼望狀況因素所采用辦法。3.16手冊規(guī)定組織安全管理體系文獻。3.17審核為獲得審核證據(jù)并對其進行客觀評價,以擬定滿足審核準則限度所進行系統(tǒng)、獨立并形成文獻過程。3.18評審為擬定主題事項達到規(guī)定目的適當性、充分性和有效性所進行活動。3.19記錄闡明所獲得成果或提供所完畢活動證據(jù)文獻。3.20規(guī)范闡明規(guī)定文獻。3.21資產(chǎn)對組織有價值任何事物。[ISO/IEC13335-1:]3.22可用性已授權實體一旦需要就可訪問和使用特性。[ISO/IEC13335-1:]3.23保密性使信息不泄露給未授權個人、實體、過程或不使信息為其運用特性。[ISO/IEC13335-1:]3.24信息安全保持信息保密性、完整性和可用性；此外，還也許涉及真實性、可核查性、抗抵賴和可靠性。[ISO/IEC17799：]3.25信息安全事情系統(tǒng)、服務或網(wǎng)絡狀態(tài)已經(jīng)確認發(fā)生顯示也許違背信息安全方針或安全故障，或也許與安全有關此前未知狀況[ISO/IECTR18044:]3.26信息安全事件單一或一系列不必要或不盼望有危及業(yè)務運作和威脅信息安全重大也許信息安全事件[ISO/IECTR18044:]3.27信息安全管理體系(ISMS)組織整個管理體系一某些，以業(yè)務風險辦法為基本，建立、實行、運作、監(jiān)視、評審、保持并持續(xù)改進信息安全。注：管理體系涉及：組織構造、方針、籌劃活動、職責、規(guī)范、程序、過程和資源。3.28完整性保護資產(chǎn)精確性和完備性特性。[ISO/IEC13335-1:]3.29剩余風險通過風險解決后殘留風險。[ISO/IEC73指南:]3.30風險接受接受某一風險決定。[ISO/IEC73指南:]3.31風險分析系統(tǒng)使用信息，以辨認來源并預計風險。[ISO/IEC73指南:]3.32風險評估整個風險分析和風險評價過程。[ISO/IEC73指南:]3.33風險評價根據(jù)給定風險準則比較已預計風險，以擬定風險嚴重限度過程。[ISO/IEC73指南:]3.34風險管理指引并控制組織關于風險協(xié)調活動。[ISO/IEC73指南:]3.35風險解決選取并實行辦法以減少風險過程。[ISO/IEC73指南:]3.36合用性聲明描述關于并合用于組織ISMS控制目的和控制辦法文獻。注：控制目的和控制辦法是建立在風險評估和解決過程成果和結論、法律法規(guī)規(guī)定、合同義務和組織信息安全業(yè)務規(guī)定基本上。3.37關于縮寫術語ISO-國際原則化組織IEC-國際電工委員會GB-國標ISMS-信息安全管理體系Sinosoft-南京擎天科技有限公司

4.信息安全管理體系4.1總規(guī)定公司根據(jù)ISO/IEC27001:原則規(guī)定，建立、實行、運營、監(jiān)視、評審、保持和改進信息安全管理體系，形成文獻;我司全體員工將有效地貫徹執(zhí)行并持續(xù)改進有效性，對過程應用和管理詳見《信息安全管理體系過程模式圖》（圖1）。信息安全管理體系是在公司整體經(jīng)營活動和經(jīng)營風險架構下，針對信息安全風險管理體系；輸入輸入輸出有關方信息安全規(guī)定和盼望有關方管理信息安全建立ISMS實行和運營ISMS保持和改進ISMS監(jiān)視和評審ISMSPlanDoCheckAction圖1信息安全管理體系過程模式圖

4.2建立和管理ISMS4.2.1建立ISMS公司應：a)依照公司業(yè)務特性、組織構造、地理位置、資產(chǎn)和技術定義ISMS范疇和邊界，涉及在范疇內任何刪減細節(jié)和理由（見原則1.2）。我司ISMS范疇和邊界涉及：1)數(shù)據(jù)解決活動；2)我司范疇內上訴業(yè)務流程涉及部門和員工；3)與2)所述活動有關應用系統(tǒng)及支持性信息管理系統(tǒng)包括所有信息資產(chǎn)；4)公司連接互聯(lián)網(wǎng)服務器及有關數(shù)據(jù)傳播活動。b)依照公司業(yè)務特性、組織構造、地理位置、資產(chǎn)和技術定義ISMS方針，必要滿足如下規(guī)定：1)為ISMS目的建立一種框架并為信息安全活動建立整體方向和原則；2)考慮業(yè)務及法律或法規(guī)規(guī)定，以及合同安全義務；3)與公司戰(zhàn)略和風險管理相一致環(huán)境下，建立和保持ISMS；4)建立風險評價準則；5)總經(jīng)理批準發(fā)布ISMS方針。c)定義公司風險評估辦法。質量與項目管理中心負責建立《信息安全風險評估管理程序》并組織實行?！缎畔踩L險評估管理程序》涉及可接受風險準則和可接受水平。1)辨認合用于ISMS和已經(jīng)辨認業(yè)務信息安全、法律和法規(guī)規(guī)定風險評估辦法。2)建立接受風險準則并辨認風險可接受級別。選取風險評估辦法應保證風險評估能產(chǎn)生可比較和可重復成果。注：風險評估具備不同辦法。詳細參照ISO/IECTR13335-3，《信息技術——IT安全管理指南——IT安全管理技術》。3)公司風險評估流程信息資產(chǎn)辨認--重要信息資產(chǎn)（通過資產(chǎn)評估原則）--信息資產(chǎn)威脅辨認和評價--薄弱點辨認和評價（相應威脅）--確認已經(jīng)采用安全控制辦法—擬定風險級別（風險級別原則）d)辨認風險：1)辨認ISMS控制范疇內資產(chǎn)以及這些資產(chǎn)所有者；在已擬定ISMS范疇內，對所有信息資產(chǎn)進行列表辨認。信息資產(chǎn)涉及文檔/數(shù)據(jù)、軟件/系統(tǒng)、硬件/設施、人力資源、服務、無形資產(chǎn)等。對每一項信息資產(chǎn)，依照重要信息資產(chǎn)判斷根據(jù)擬定與否為重要信息資產(chǎn)，形成《信息資產(chǎn)辨認表》。2)辨認對這些資產(chǎn)威脅，一項資產(chǎn)也許面對若干個威脅；3)辨認也許被威脅運用脆弱性，一項脆弱性也也許面對若干個威脅；4)辨認保密性、完整性和可用性損失也許對資產(chǎn)導致影響。解釋：“所有者”代表已被授權個人或實體，對資產(chǎn)生產(chǎn)、開發(fā)、維護、使用、安全負有管理責任?！八姓摺辈淮韨€人對資產(chǎn)具備真正財產(chǎn)權。e)分析并評價風險：1)在資產(chǎn)辨認基本上，針對每一項重要信息資產(chǎn)，根據(jù)《風險評估原則》中信息資產(chǎn)CIAB分級原則，進行CIAB資產(chǎn)賦值計算；2)針對每一項重要信息資產(chǎn)，參照《風險評估原則》中《威脅參照表》及以往安全事故（事件）記錄、信息資產(chǎn)所處環(huán)境等因素，辨認出重要信息資產(chǎn)所面臨所有威脅；3)按照《風險評估原則》中《威脅分級原則》對每一種威脅發(fā)生也許性進行賦值；4)針對每一項威脅，考慮既有控制辦法，參照《風險評估原則》中《脆弱性參照表》辨認出被該威脅也許運用所有薄弱點，并依照《風險評估原則》中《脆弱性分級原則》對每一種脆弱性被威脅運用難易限度進行賦值；5)按照風險評估模型結合威脅和脆弱性賦值對風險發(fā)生也許性進行評價。6)按照風險評估模型結合資產(chǎn)和脆弱性賦值對風險發(fā)生損失進行評價。7)按照風險評估模型對風險發(fā)生也許性和風險發(fā)生損失進行計算得出風險評估賦值，并按照《風險評估原則》中《風險級別原則》評價出信息安全風險級別。8)對于信息安全風險，在考慮控制辦法與費用平衡原則下制定信息安全風險接受準則，按照該準則擬定何種級別風險為不可接受風險。f)辨認并評價風險解決選?。簩τ谛畔踩L險，應考慮控制辦法與費用平衡原則，選用如下恰當辦法：1)應用恰當控制以減少風險：這也許是減少事件發(fā)生也許性，也也許是減少安全失敗(保密性、完整性或可用性丟失)業(yè)務損害。2)如果能證明風險滿足公司方針和風險接受準則，故意、客觀接受風險；普通針對那些不可避免風險，并且技術上、資源上不也許采用對策來減少，或者減少對公司來說不經(jīng)濟?！敖邮茱L險”是針對判斷為不可接受風險所采用解決辦法，而不是針對那些低于風險接受水平本來就可接受風險。3)避免風險；對于不是公司核心工作內容活動，公司可以采用避免某項活動或者避免采用某項不成熟產(chǎn)品技術等來回避也許產(chǎn)生風險。4)將關于業(yè)務風險轉移到其她方，例如保險公司、供方。信息安全委員會應組織關于部門依照風險評估成果，形成《風險解決籌劃》，該籌劃應明確風險解決責任部門、辦法及時間。g)為風險解決選取控制目的與控制辦法。應選取并實行控制目的和控制辦法，以滿足風險評估和風險解決過程所辨認規(guī)定。選取時，應考慮接受風險準則以及法律法規(guī)和合同規(guī)定。信息安全委員會依照信息安全方針、業(yè)務發(fā)展規(guī)定及風險評估成果，組織關于部門制定信息安全目的，并將目的分解到關于部門。信息安全目的應獲得信息安全最高責任者批準。從附錄A中選取控制目的和控制辦法應作為這一過程一某些，并滿足上述規(guī)定。公司也可依照需要選取此外控制目的和控制辦法。注：附錄A包括了組織內普通要用到全面控制目的和控制辦法列表。本原則顧客可將附錄A作為選取控制辦法出發(fā)點，以保證不會漏掉重要控制可選辦法。h)獲得最高管理者對建議剩余風險批準，剩余風險接受批準應當在《風險評估表》上留下記錄。i)獲得管理者對實行和運營ISMS授權。ISMS管理者代表任命和授權、ISMS文檔訂立可以作為實行和運作ISMS授權證據(jù)。j)準備合用性聲明，內容應涉及：1)所選取控制目的和控制辦法，以及選取因素；2)當前實行控制目的和控制辦法；3)附錄A中控制目的和控制辦法刪減，以及刪減理由。4)質量與項目管理中心負責組織編制《信息安全合用性聲明》。注：合用性聲明提供了一種風險解決決策總結。通過判斷刪減理由，再次確認控制目的沒有被無意識漏掉。4.2.2實行并運作ISMS為保證ISMS有效實行，對已辨認風險進行有效解決，我司開展如下活動：a)制定風險解決籌劃闡明為控制信息安全風險擬定恰當管理活動、職責以及優(yōu)先權。b)為了達到所擬定控制目的，實行風險解決籌劃，涉及考慮資金以及角色和職責分派，明確各崗位信息安全職責；c)實行所選控制辦法，以滿足控制目的。d)擬定如何測量所選取一種/組控制辦法有效性，并規(guī)定這些測量辦法如何用于評估控制有效性以得出可比較、可重復成果。注：測量控制辦法有效性容許管理者和有關人員來擬定這些控制辦法實現(xiàn)策劃控制目的限度。e)實行培訓和意識籌劃。f)對ISMS運作進行管理。g)對ISMS資源進行管理。h)實行可以迅速檢測安全事情、響應安全事件程序和其他控制。4.2.3監(jiān)控并評審ISMSa)我司通過實行不定期安全檢查、內部審核、事故報告調查解決、電子監(jiān)控、定期技術檢查等控制辦法并報告成果以實現(xiàn)：1）迅速檢測解決成果中錯誤；2）迅速辨認失敗和成功安全破壞和事件；3）能使管理者確認人工或自動執(zhí)行安全活動達到預期成果；4)協(xié)助檢測安全事情，并運用指標防止安全事件；5）擬定解決安全破壞所采用辦法與否有效。b)定期評審ISMS有效性（涉及安全方針和目的符合性，對安全控制辦法評審），考慮安全審核、事件、有效性測量成果，以及所有有關方建議和反饋。c)測量控制辦法有效性，以證明安全規(guī)定已得到滿足。d)按照籌劃時間間隔，評審風險評估，評審剩余風險以及可接受風險級別，考慮到下列變化：1)組織機構和職責；2)技術；3)業(yè)務目的和過程；4)已辨認威脅；5)實行控制有效性；6)外部事件，例如法律或規(guī)章環(huán)境變化、合同責任變化以及社會環(huán)境變化。e)按照籌劃時間間隔（不超過一年）進行ISMS內部審核。注：內部審核，也稱為第一方審核，是為了內部目，由公司或以公司名義進行審核。f)定期對ISMS進行管理評審，以保證范疇充分性，并辨認ISMS過程改進。g)考慮監(jiān)視和評審活動發(fā)現(xiàn)，更新安全籌劃。h)記錄也許對ISMS有效性或業(yè)績有影響活動和事情。4.2.4保持并持續(xù)改進ISMS我司開展如下活動，以保證ISMS持續(xù)改進：a)實行已辨認ISMS改進辦法。b)采用恰當糾正和防止辦法。吸取從其她公司安全經(jīng)驗以及組織自身安全實踐中得到教訓。c)與所有有關方溝通辦法和改進。溝通詳細限度應與環(huán)境相適當，必要時，應商定如何進行。d)保證改進達到其預期目的。4.3文獻規(guī)定4.3.1總則我司信息安全管理體系文獻涉及：A:信息安全管理手冊(涉及文獻化方針、控制目的、管理體系范疇及信息安全適應性聲明、信息安全方略)；B:程序文獻；C:作業(yè)指引書；D:風險評估辦法描述.，風險評估報告及風險解決籌劃；E:外來文獻；F:表單。4.3.2信息安全管理手冊A:編寫目：向公司內部或外部提供關于信息安全管理體系基本信息，用于對公司信息安全管理體系做大綱性和概括性描述。B:信息安全管理手冊編寫：由管理者代表負責組織編寫，總經(jīng)理批準后發(fā)布實行。C:信息安全管理手冊管理：質量與項目管理中心負責保管及發(fā)放管理。D:信息安全管理手冊發(fā)放：手冊分“受控”和“非受控”兩種。受控手冊在封面上加蓋紅色“受控文獻”章，僅限于公司內部使用，當修訂或換版時進行相應控制，且人員調離時應予歸還；非受控手冊不蓋任何印章，發(fā)放對象為認證機構、客戶等，在修訂和換版時不予控制。4.3.3文獻和資料管理公司建立《文獻管理程序》，規(guī)定如下方面控制規(guī)定：A:文獻在發(fā)放前應按規(guī)定審核和批準權限進行批準后才干發(fā)布；B:必要時對文獻進行評審與更新，并按規(guī)定權限重新批準；C:由質量與項目管理中心對文獻現(xiàn)行修訂狀態(tài)進行標記，文獻更改由相應更改部門進行標記，保證文獻更改狀態(tài)清晰明了；D：質量與項目管理中心應保證所有使用文獻場合可以獲得關于文獻有效版本；E:各部門應愛護文獻，保證文獻清晰，易于辨識；F:各部門獲得外來文獻應統(tǒng)一交有關部門保存，進行標記并控制發(fā)放；G：質量與項目管理中心應控制作廢文獻使用，若各部門有必要保存作廢文獻時，應向質量與項目管理中心報告并由質量與項目管理中心加蓋“作廢”章。4.3.4記錄控制公司建立《記錄管理程序》，規(guī)定公司關于記錄標記、貯存、保護、檢索、保存期限和過期解決辦法等，以提供產(chǎn)品符合規(guī)定和信息安全管理體系有效運營客觀證據(jù)。ISMS記錄應當考慮任何有關法律和法規(guī)規(guī)定以及合同責任，記錄中應當包括所有過程業(yè)績，以及發(fā)生、與ISMS有關重大安全事件。4.3.5有關文獻《文獻控制程序》《記錄控制程序》5.管理職責5.1管理者承諾：公司總經(jīng)理承諾是：建立和實行信息安全管理體系，持續(xù)改進其有效性，保證提交給客戶滿意產(chǎn)品和服務，并通過開展如下活動為以上承諾提供證據(jù)：5.1.1向公司內部員工傳達滿足方針目的、滿足客戶需求、符合法律法規(guī)和持續(xù)改進重要性；5.1.2制定信息安全方針；5.1.3保證信息安全控制目的制定；5.1.4進行管理評審；5.1.5規(guī)定職責和權限；5.1.6保證內部審核算施；5.1.7決定信息安全接受風險準則和風險可接受級別；5.1.8保證為公司管理體系配備必要資源。公司組織機構見附件。5.1.9職責和權限A:公司總經(jīng)理擬定組織構造圖，明確公司組織機構形式，并擬定各部門職責和權限，予以發(fā)布實行。(詳見《信息安全委員會組織構造圖》)B:各部門應理解本部門職責、權限及互有關系，以便更好地開展工作，保證體系有效性，各崗位詳細信息安全職責見《崗位闡明書》。C:各部門職責和權限a)總經(jīng)理：任命管理者代表，明確管理者代表職責和權限；保證在內部傳達滿足客戶和法律法規(guī)重要性；為信息安全管理體系配備必要資源；主持管理評審；負責公司信息安全管理和公司管理籌劃、組織、協(xié)調、監(jiān)督、控制和考核工作；遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。b)管理代表者：負責建立、實行、保持和改進信息安全管理體系，保證信息安全體系有效運營；負責公司信息安全管理手冊審核，程序文獻批準，組織并領導公司內部ISMS審核工作；負責向總經(jīng)理報告信息安全體系運營業(yè)績和任何改進需求；負責就信息安全管理體系關于事宜對外聯(lián)系；遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。C)軟件研發(fā)中心：軟件研發(fā)中心下設6個部門，其中JAVA技術部、.NET技術部、稅務研發(fā)部、通信事業(yè)部這4個部門依照不同業(yè)務領域進行軟件產(chǎn)品研制與研發(fā)，其職責是：需求調研；負責與顧客溝通與聯(lián)系；提供顧客產(chǎn)品資料；軟件產(chǎn)品開發(fā)方案設計與制作；進行軟件產(chǎn)品開發(fā)；項目實行籌劃編排與控制；對開發(fā)完畢產(chǎn)品進行及時業(yè)務培訓；技術支持；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。綜合維護部職責是：市場信息收集；解決方案設計與制作；對開發(fā)完畢產(chǎn)品進行及時業(yè)務培訓；售后服務技術支持；外包服務提供；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。測試部職責是：軟件產(chǎn)品測試；測試資源管理與維護；數(shù)據(jù)分析；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。d)系統(tǒng)集成中心：系統(tǒng)集成中心下設技術支持中心、工程中心和采購中心，其中技術支持中心和工程中心職責是：需求調研；解決方案設計與制作；項目實行籌劃編排與控制；檢查規(guī)范制定與管理；外包服務提供；技術支持；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。采購中心職責是：供方選取與評估；采購產(chǎn)品、不合格品檢查與解決；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。e)業(yè)務中心：業(yè)務中心下設五個部門，其中海外業(yè)務部專門從事軟件外包業(yè)務開拓。該中心下設部門職責為：市場信息收集；負責同客戶進行業(yè)務溝通工作；提供顧客產(chǎn)品資料；市場開拓；合約、定單審查及變更解決；負責依照訂立顧客規(guī)定安排生產(chǎn)；顧客報怨受理與回饋；顧客滿意度調查；顧客售后服務受理；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。f)服務中心：市場信息收集；負責與顧客溝通與聯(lián)系；提供顧客產(chǎn)品資料；市場開拓；合約、定單審查及變更解決；顧客報怨受理與回饋；顧客滿意度調查；顧客售后服務受理；技術支持；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。g)行政管理部：行政管理部下設管理部和網(wǎng)管中心，其職責為：負責公司計算機及網(wǎng)絡設備管理和維護；負責理解世界計算機及網(wǎng)絡技術發(fā)展趨勢，為公司計算機及網(wǎng)絡設備更新和升級提出建議并予以實行；負責客戶大規(guī)模電子文獻接受和發(fā)送；負責公司網(wǎng)站管理、維護和內容更新；保障公司IT方面信息安全；負責公司應用系統(tǒng)軟件管理和維護；負責公司信息安全內部審核管理；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。h)人力資源部：負責人力資源管理工作，保證人員信息安全；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。I)質量與項目管理中心：項目實行監(jiān)控與管理；合約、定單審查及變更解決；監(jiān)督并審核質量執(zhí)行與達到狀況；監(jiān)督各部門主管貫徹質量方針，實現(xiàn)質量目的；質量異常矯正辦法監(jiān)督；不合格品管理監(jiān)督；顧客抱怨解決與對策追蹤；顧客滿意度調查后匯整分析及改進；質量體系內部審核籌劃編制與執(zhí)行；數(shù)據(jù)分析與改進；公司所有體系文獻、文檔資料管理；負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。j)財務部：實行尋常財務管理和會計核算，編制和執(zhí)行公司財務籌劃；控制公司運作成本，按月進行各類財務分析，為管理層提供決策根據(jù)；向關于管理部門上交各類財務報表，如實反映公司經(jīng)營狀況；與各結算銀行進行業(yè)務溝通和聯(lián)系，向國家稅務部門準時繳納各項稅金。負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。k)分支機構：倫敦辦事處重要職責：

負責公司與海外合伙公司溝通；負責海外市場拓展；負責海外合伙項目跟蹤、監(jiān)控和協(xié)調。負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。北京辦事處重要職責：負責公司重大項目協(xié)調工作。負責公司對外分支機構選址和建立。負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。蘇州、無錫、常州辦事處重要職責：開拓公司稅務產(chǎn)品市場以及售后服務工作；負責江蘇省內各個代理管理；負責公司產(chǎn)品在其他地區(qū)銷售和維護工作。負責工作過程中信息安全實行；本部門人員必要遵守公司信息安全有關規(guī)定以及本崗位有關保密規(guī)定。5.2資源管理公司應擬定并提供保證客戶滿意，保持信息安全管理體系有效運營并持續(xù)改進所需資源，并對資源進行有效控制和管理。公司資源涉及：人力資源、計算機網(wǎng)絡系統(tǒng)、工作環(huán)境及技術、信息等。5.2.1資源提供建立實行運營監(jiān)控評審和維護信息安全管理體系；保證信息安全程序支持業(yè)務規(guī)定；辨認和強調法律法規(guī)規(guī)定和合同安全責任；對的應用所有實行控制辦法維護足夠安全；通過管理評審或其她評審活動對資源充分性進行評審，并對評審成果采用恰當辦法；f)需要時，改進信息安全管理體系有效性。5.2.2培訓、意識和能力公司擬定從事與信息安全關于人員所需能力，采用如下控制保證這些人員可以勝任工作：擬定從事影響信息安全管理體系人員所必要能力，通過《崗位闡明書》任職規(guī)定來擬定，并在招聘活動中確認有關信息安全任職規(guī)定；對人員提供培訓或其她辦法滿足這些規(guī)定；評價采用培訓和采用辦法有效性；建立并組織實行《人力資源管理程序》，對以上方面進行控制，并保存與教誨、培訓、技能、經(jīng)驗及對員工能力評價記錄。應保證所有有關人員結識到她們信息安全活動有關性和重要性，以及她們如何為實現(xiàn)信息安全管理體系目的做貢獻。5.2.3有關文獻《人力資源管理程序》信息安全體系規(guī)定與體系文獻及部門職能分派表：ISO27001條文規(guī)定責任部門總經(jīng)理管理者代表軟件研發(fā)中心系統(tǒng)集成中心業(yè)務中心服務中心行政管理部人力資源部質量與項目管理中心財務部分支機構4信息安全管理體系4.1總規(guī)定◆○○○○○○○○○○4.2建立并管理ISMS4.2.1建立ISMS◆○○○○○○△○○4.2.2實行和運營ISMS◆○○○○○○△○○4.2.3監(jiān)視和評審ISMS◆○○○○○○△○○4.2.4保持和改進ISMS◆○○○○○○△○○4.3文獻規(guī)定4.3.1總則◆○○○○○○△○○4.3.2文獻控制○○○○○○○△○○4.3.3記錄控制○○○○○○○△○○5管理職責5.1管理者承諾◆○○○○○○○○○○5.2資源管理5.2.1資源提供◆○○○○○○○○○○5.2.2培訓、意識和能力○◆○○○○○△○○○6ISMS內部審核○◆○○○○○○△○○7ISMS管理評審7.1總則◆○○○○○○○△○○7.2評審輸入○◆○○○○○○△○○7.3評審輸出○◆○○○○○○△○○8ISMS改進8.1持續(xù)改進○◆○○○○○○△○○8.2糾正辦法○◆○○○○○○△○○8.3防止辦法○◆○○○○○○△○○附錄A條文規(guī)定責任部門總經(jīng)理管理者代表軟件研發(fā)中心系統(tǒng)集成中心業(yè)務中心服務中心行政管理部人力資源部質量與項目管理中心財務部分支機構A.5信息安全方略A.5.1信息安全方針◆○○○○○○○△○○A.6信息安全組織A.6.1內部組織○◆○○○○○○△○○A.6.2外部有關方○◆○○○○○○△○○A.7資產(chǎn)管理A.7.1資產(chǎn)責任○◆○○○○○○△○○A.7.2信息分類○◆○○○○○○△○○A.8人力資源安全A.8.1聘任前○○○○○○○△○○○A.8.2聘任期間○○○○○○○△○○○A.9物理和環(huán)境安全A.9.1安全區(qū)域○◆○○○○△○●○○A.9.2設備安全○◆○○○○△○●○○A.10通信和運作管理A.10.1操作程序和職責○○○○○○△○●○○A.10.2第三方服務交付管理○○○○○○△○●○○A.10.3系統(tǒng)策劃與接受○○○○○○△○●○○A.10.4防范惡意和可移動代碼○○○○○○△○●○○A.10.5備份○○○○○○△○●○○A.10.6網(wǎng)絡安全管理○○○○○○△○●○○A.10.7介質解決○○○○○○△○●○○A.10.8信息互換○○○○○○△○●○○A.10.9電子商務服務（只涉及A.10.9.3公共信息）○○○○○○△○●○○A.10.10監(jiān)控○○○○○○△○●○○A.11訪問控制A.11.1訪問控制業(yè)務規(guī)定○○○○○○△○●○○A.11.2顧客訪問管理○○○○○○△○●○○A.11.3顧客責任○○○○○○△○●○○A.11.4網(wǎng)絡訪問控制○○○○○○△○●○○A.11.5操作系統(tǒng)訪問控制○○○○○○△○●○○A.11.6應用程序及信息訪問控制○○○○○○△○●○○A.11.7移動計算和遠程工作○○○○○○△○●○○A.12信息系統(tǒng)獲取開發(fā)和維護A.12.1信息系統(tǒng)安全需求○○○○○○△○●○○A.12.2應用程序對的解決○○○○○○△○●○○A.12.3加密控制○○○○○○△○●○○A.12.4系統(tǒng)文獻安全○○○○○○△○●○○A.12.5開發(fā)和支持過程安全（不涉及A.12.5.5）○○○○○○△○●○○A.12.6技術薄弱點管理○○○○○○△○●○○A.13信息安全事件管理A.13.1報告信息安全事情和薄弱點○○○○○○△○●○○A.13.2信息安全事件和改進管理○○○○○○△○●○○A.14業(yè)務持續(xù)性管理A.14.1業(yè)務持續(xù)性管理中信息安全事項○◆○○○○△○●○○A.15符合性A.15.1符合法律規(guī)定○○○○○○△○●○○A.15.2符合安全方針和原則，以及技術符合○◆○○○○△○●○○A.15.3信息系統(tǒng)審核有關事宜○◆○○○○△○●○○*注：領導職責以“◆”表達；監(jiān)督部門以“●”表達；負責部門以“△”表達；有關部門以“○”表達。6.ISMS內部審核A:公司建立并實行《信息安全內部審核程序》，明確審核規(guī)定，保證公司信息安全管理體系符合性和有效性，符合已經(jīng)辨認信息安全規(guī)定。B:公司管理者代表負責督促內部審核進行，并將審核狀況報告總經(jīng)理。C:公司按籌劃時間間隔（不超過一年）組織內部審核，審核籌劃安排應考慮區(qū)域重要性及以往執(zhí)行狀況。D:應安排具備審核員資格人員進行審核，審核員不應審核自己部門工作，以保證審核公正性和客觀性。E:受審核區(qū)域應采用恰當辦法，以消除發(fā)現(xiàn)不合格現(xiàn)象。F:審核員應對所采用辦法狀況進行跟蹤驗證，保證不合格結案。G:關于審核所有記錄應由管理部進行保存。H:有關文獻：《信息安全內部審核程序》7.ISMS管理評審7.1.1公司建立并實行《信息安全管理評審