SWISMSA01信息安全管理手冊

[SWISMSA01]信息安全管理手冊

信息安全管理手冊

[SW-ISMS-A-OIJ

Verl.i

公布1」期2014年10月1LI

公布部門信息安全管理小組

實(shí)施日期2014年10月1日

版本變更履歷變更人/變更日期審核人/審核日期批準(zhǔn)人/批準(zhǔn)日期

1.0初次公布藍(lán)金桃/2014.10.1/2O14.10.1王楚標(biāo)

/2014.10.1

目錄

頒布令....................................................................................iii

授權(quán)書....................................................................................iv

0前言.....................................................................................1

1范圍.....................................................................................1

1.1總則...............................................................................1

1.2應(yīng)用...............................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語與定義..............................................................................2

3.1術(shù)語..............................................................................2

3.2縮寫..............................................................................2

4信息安全管理體系........................................................................2

4.1總要求............................................................................2

4.2建立與管理信息安全管理體系.......................................................3

4.3文件要求..........................................................................9

5管理職責(zé)................................................................................11

5.1管理承諾..........................................................................II

5.2資源管理.........................................................................11

6內(nèi)部信息安全管理體系審核..............................................................12

6.1總則..............................................................................12

6.2內(nèi)審策劃.........................................................................12

6.3內(nèi)審員............................................................................12

6.4內(nèi)審實(shí)施.........................................................................13

7管理評審................................................................................13

7.1總貝IJ............................................................................................................................................................13

7.2評審輸入.........................................................................13

7.3評審輸出.........................................................................14

8信息安全管理休系改進(jìn)...................................................................14

8.1持續(xù)改進(jìn).........................................................................14

8.2糾正措施.........................................................................14

8.3預(yù)防措施.........................................................................15

附錄1-組織概況...........................................................................16

附錄2-組織機(jī)構(gòu)圖.........................................................................16

附錄3-職能分配表.........................................................................16

附錄4-信息安全小構(gòu)成員...................................................................19

附錄5-方針文件清單.......................................................................22

附錄&程序文件清單.......................................................................22

附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖...................................錯(cuò)誤!未定義書簽.

頒布令

為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動(dòng)的正常進(jìn)行，防止由于信息安全事件(信

息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密)導(dǎo)致的公司與客戶的缺失，我公司開展貫徹

GBfT22080-2008idtIS0270()l:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》國際標(biāo)準(zhǔn)工作，建

立、實(shí)施與持續(xù)改進(jìn)文件化的信息安全管理體系，制定了佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司《信息安全

管理手冊》。

指導(dǎo)管理體系運(yùn)行的公司《信息安全管理體系手冊》經(jīng)評審后，現(xiàn)予以批準(zhǔn)公布。

《信息安全管理體系手冊》的公布，標(biāo)志著我公司從現(xiàn)在起，務(wù)必按照信息安全管理體系標(biāo)準(zhǔn)口勺

要求與公司《信息安全管理體系手冊》所描述的規(guī)定，不斷增強(qiáng)持續(xù)滿足顧客要求、有關(guān)方要求與法

律法規(guī)要求的能力，全心全意為顧客與有關(guān)方提供優(yōu)質(zhì)、安全的應(yīng)用軟件的開發(fā)與保護(hù)服務(wù)，以確立

公司在社會(huì)上的良好信譽(yù)。

《信息安全管理體系手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)

過程務(wù)必遵循的行動(dòng)準(zhǔn)則?！缎畔踩芾眢w系手冊》一經(jīng)公布，就是強(qiáng)制性文件，全體員工務(wù)必認(rèn)

真學(xué)習(xí)、切實(shí)執(zhí)行。

本手冊自2014年10月15E正式實(shí)施。

佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司

總經(jīng)理：王楚標(biāo)

2014年08月19日

授權(quán)書

為貫徹執(zhí)行ISO/IEC270012005《信息安全管理體系》，加強(qiáng)對信息管理體系運(yùn)行的領(lǐng)導(dǎo)，特授

權(quán)_藍(lán)金桃_女士為公司管理者代表。

授權(quán)信息安全管理者代表有如下職責(zé)與權(quán)限：

1）確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別與風(fēng)險(xiǎn)評估，全面建立、實(shí)施與保持信息安全管理體系:

2）負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)與聯(lián)絡(luò)工作：

3）確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識：

4）審核風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃：

5）批準(zhǔn)公布程序文件：

6）主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；

7）向最高管理者報(bào)告信息安全管理體系的業(yè)績與改進(jìn)要求，包含信息安全管理體系運(yùn)行情況、

內(nèi)外部審核情況。

本授權(quán)書自任命F1起生效執(zhí)行。

佛山市三維許算機(jī)網(wǎng)絡(luò)有限公司

2014年10月1日

0前言

＜佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司》《信息安全管理體系手冊》（下列簡稱本手冊）根據(jù)IS0/1EC

27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》，參照ISO/IEC27002:2005《信息技術(shù)-安

全技術(shù)-信息安全管理有用規(guī)則》，結(jié)合本行業(yè)信息安全的特點(diǎn)編寫。本手冊對本公司信息安全管理體

系作出了概括性描述，為建立、實(shí)施與保持信息安全管理體系提供框架。

1范圍

1.1總則

為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持與改進(jìn)文件化的信息安全管理體系，確定信息安全方針

與目標(biāo)，對信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工懂得并遵照執(zhí)行信息安全管理體系文件、持續(xù)

改進(jìn)信息安全管理體系的有效性，特制定本手冊。

1.2應(yīng)用

1.2.1覆蓋范圍

應(yīng)用范圍：

本《信息安全管理體系手冊》規(guī)定了＜佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司》信息安全管理體系涉及的

開發(fā)與保護(hù)信息安全管理、職責(zé)管理、內(nèi)部審核、管理評審與信息安全管理體系持續(xù)改進(jìn)等方面內(nèi)容。

具體見4.2.2.1條款規(guī)定。

地址范圍：

深圳市福田區(qū)景田商報(bào)路奧林匹克大座26樓B、C、D號

1.2.2刪減說明

本《信息安全管理體系手冊》使用了ISO/IEC27001:2005標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A的刪減及

理由詳見《信息安全適用性聲明SoA》。

2規(guī)范性引用文件

下列文件中的條款通過本《信息安全管理體系手冊》的引用而成為本《信息安全管理體系手冊》

的條款。凡是標(biāo)注日期的引用文件，其隨后所有的修改單（不包含勘誤的內(nèi)容）或者修改版均不適用

于本《信息安全管理體系手冊》，然而，信息安全管理小組應(yīng)研究是否可使用這些文件的最新版本。

凡是不注日期的引用文件、其最新版本適用于本《信息安全管理體系手冊》。

ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》

ISO/IEC27002⑵)05《信息技術(shù)-安全技術(shù)-信息安全管理有用規(guī)則》

3術(shù)語與定義

3.1術(shù)語

ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》、ISO/IEC27(X)2:2005《信息

技術(shù)-安全技術(shù)-信息安全管理有用規(guī)則》規(guī)定的術(shù)語與定義與下述定義適用于本《信息安全管理體系

手冊》。

本組織、本公司、我公司：有〈佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司＞。

3.2縮寫

ISMS：InfornialionSecurityMaiiagcinenlSystems信息安全管理體系;

SoA:：StatementofApplicability適用性聲明：

PDCA:：PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn)。

4信息安全管理體系

4.1總要求

4.1.1要求

本公司在軟件開發(fā)、經(jīng)營、服務(wù)與日常管理活動(dòng)中按ISO/IEC27001:2005《信息技術(shù)-安全技術(shù)-

信息安全管理體系-要求》規(guī)定，參照ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理有用規(guī)

則》標(biāo)準(zhǔn)建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持與改進(jìn)文件化的信息安全管理體系。

4.1.2PDCA模型

信息安全管理體系使用的過程基于圖1所示的PDCA模型。

4.2建立與管理信息安全管理體系

4.2.1建立信息安全管理體系

4.2.1.1信息安全管理體系的范圍與邊界

本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)與技術(shù)確定r范圍與邊界：

本公司信息安全管理體系的范圍包含：

a）本公司涉及軟件開發(fā)、營銷、服務(wù)與日常管理的業(yè)務(wù)系統(tǒng)：

b）與所述信息系統(tǒng)有關(guān)的活動(dòng)；

c）與所述信息系統(tǒng)有關(guān)的部門與所有員工；

d）所述活動(dòng)、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。

業(yè)務(wù)范圍：

泉面軟、硬件運(yùn)維服務(wù)：服務(wù)器硬件運(yùn)維服務(wù)：網(wǎng)絡(luò)設(shè)備運(yùn)維服務(wù)的信息安全管理。

物理范圍：

本公司根據(jù)組織的'也務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)與技術(shù)定義了信息安全管理體系的物理

范圍與信息安全邊界。

本公司信息安全管理體系的物理范圍為：

佛山市禪城區(qū)江灣路三路28號廣東（佛山）軟件產(chǎn)業(yè)園A區(qū)10號樓首層103T05室

安全邊界詳見附錄B（規(guī)范性附錄）《辦公場所平面圖》。

ISMS的范圍是:

a）計(jì)算機(jī)應(yīng)用軟件開發(fā)與保護(hù)、系統(tǒng)集成與后期保護(hù)；信息安全，IT資產(chǎn)服務(wù)外包,

IT運(yùn)維服務(wù)

b）本《信息安全管理體系手冊》使用了1SO/IEC27001:2005標(biāo)準(zhǔn)正文的全部內(nèi)容，對附錄A的

刪減及理由詳見《信息安全適用性聲明》；

c）1SMS的邊界地理位置圖（詳見《附錄7-公司外部環(huán)境、內(nèi)部環(huán)境及網(wǎng)絡(luò)圖》）

4.2.1.2信息安全管理體系的方針與目標(biāo)

4.2.1.2.1方針

為了滿足適用法律法規(guī)及有關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進(jìn)行，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)進(jìn)展，

本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)與技術(shù)確定了信息安全管理體系方針：

信息安全，人人有責(zé)。

4.2.1.2.1信息安全目標(biāo)

1.客戶針對信息安全事件的投訴每年不超過1次

2.重要信息設(shè)備丟失每年不超過1起

3.機(jī)密與絕密信息泄漏事件每年不超過1次

4.大規(guī)模病毒爆發(fā)每年不制過1次

4.2.1.2.2要求

本公司信息安全管理體系方針符合下列要求：

a）為信息安全目標(biāo)建立了框架，并為信息安全活動(dòng)建立整體的方向與原則；

b）識別并滿足適用法律、法規(guī)與有關(guān)方信息安全要求：

c）與組織戰(zhàn)略與風(fēng)險(xiǎn)管理用?致的環(huán)境下，獨(dú)立與保持信息安全管理體系；

d）建立了風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則；

e）經(jīng)總經(jīng)理批準(zhǔn)，并定期評審其適用性、充分性，必要時(shí)予以修訂。

4.2.1.2.3承諾

為實(shí)現(xiàn)信息安全管理體系方針，本公司承諾：

a）在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目標(biāo)與操縱措

施，明確信息安全的管理職責(zé)；

b）識別并滿足適用法律、法規(guī)與有關(guān)方信息安全要求：

c）定期進(jìn)行信息安全風(fēng)險(xiǎn)評估，信息安全管理體系評審，采取糾正預(yù)防措施，保證體系的持續(xù)

有效性；

（1）使用先進(jìn)有效的設(shè)施與技術(shù)，處理.、傳遞、儲存與保護(hù)各類信息，實(shí)現(xiàn)信息共享；

e）對全體員工進(jìn)行持續(xù)的信息安全教育與培訓(xùn)，不斷增強(qiáng)員工的信息安全意識與能力：

f）制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持續(xù)進(jìn)展。

4.2.1.3風(fēng)險(xiǎn)評估的方法

信息安全管理小組制定《信息安全風(fēng)險(xiǎn)管理程序》，建立識別適用于信息安全管理體系與已經(jīng)識

別的業(yè)務(wù)信息安全、法律與法規(guī)要求的風(fēng)險(xiǎn)評估方法，建立同意風(fēng)險(xiǎn)的準(zhǔn)則并識別風(fēng)險(xiǎn)的可同意等級。

按信息安全風(fēng)險(xiǎn)評估執(zhí)行《信息安全風(fēng)險(xiǎn)管理程序》進(jìn)行，以保證所選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)

評估能產(chǎn)生可比較的與可重復(fù)的結(jié)果。

4.2.1.4識別風(fēng)險(xiǎn)

在已確定的信息安全管理體系范圍內(nèi)，本公司按《信息安全風(fēng)險(xiǎn)管理程序》對所有的資產(chǎn)與資產(chǎn)

所有者進(jìn)行r識別：對每一項(xiàng)資產(chǎn)按重置成本級別、保密性、完整性、可用性與資產(chǎn)價(jià)值及重要性級

別進(jìn)行了量化賦值，根據(jù)重要資產(chǎn)推斷準(zhǔn)則確定是否為重要資產(chǎn)，形成《重要資產(chǎn)清單》。同時(shí)根據(jù)

《信息安全風(fēng)險(xiǎn)管理程序》識別對這些資產(chǎn)的威脅、可能被威脅利用的脆弱性、現(xiàn)有的操縱措施及現(xiàn)

有操縱措施的有效性，并通過對這些項(xiàng)目的賦值計(jì)算出在喪失保密性、完整性與可用性可能對弟要資

產(chǎn)造成的影響。

4.2.1.5分析與評價(jià)風(fēng)險(xiǎn)

本公司按《信息安全風(fēng)險(xiǎn)管理程序》，使用人工分析法，分析與評價(jià)風(fēng)險(xiǎn)：

a）針對重要資產(chǎn)的自身價(jià)值、保密性、完整性與可用性、合規(guī)性與脆弱性嚴(yán)重程度，計(jì)算出風(fēng)

險(xiǎn)發(fā)生的影響值：

b）針對每一項(xiàng)威脅發(fā)生頻率、脆弱性被威脅利用的容易程度進(jìn)行賦值，然后計(jì)鳧得出風(fēng)險(xiǎn)發(fā)生

的可能性；

c）根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》計(jì)算風(fēng)險(xiǎn)等級，從而得風(fēng)險(xiǎn)等級；

d）根據(jù)《信息安全風(fēng)險(xiǎn)管理程序》及風(fēng)險(xiǎn)同意準(zhǔn)則，推斷風(fēng)險(xiǎn)為可同意或者需要處理。

4.2.1.6識別與評價(jià)風(fēng)險(xiǎn)處理的選擇

信息安全管理小組與有關(guān)部門根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，該計(jì)劃明

確了風(fēng)險(xiǎn)處理責(zé)任部門、負(fù)責(zé)人、處理方法及起始、完成時(shí)間。

關(guān)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮操縱措施與費(fèi)用的平衡原則，選用下列適當(dāng)?shù)拇胧?/p>

a）操縱風(fēng)險(xiǎn)（使用適當(dāng)?shù)膬?nèi)部操縱措施降低風(fēng)險(xiǎn)發(fā)生的可能性）：

b）同意風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值不高或者者處理的代價(jià)高于風(fēng)險(xiǎn)引起的缺失，公司決定同意該風(fēng)險(xiǎn)/殘余

風(fēng)險(xiǎn)）；

c）避免風(fēng)險(xiǎn)（決定不進(jìn)行引起風(fēng)險(xiǎn)的活動(dòng)，從而避免風(fēng)險(xiǎn)）；

d）轉(zhuǎn)移風(fēng)險(xiǎn)（通過購買保險(xiǎn)、外包等方法把風(fēng)險(xiǎn)轉(zhuǎn)移到外部機(jī)構(gòu)）。

4.2.1.7選擇操縱目標(biāo)與操縱措施

信息安全管理小組根據(jù)有關(guān)法律法規(guī)要求、信息安全方針、業(yè)務(wù)進(jìn)展要求及風(fēng)險(xiǎn)評估的結(jié)果，組

織有關(guān)部門選擇與制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見《信息安全適用性聲明》）：

a）信息安全操縱目標(biāo)獲得總經(jīng)理的批準(zhǔn)。

b）操縱目標(biāo)及操縱措施的選擇原則來源于1S0/IEC27001:2005附錄A,具體操縱措施參考

ISO/IEC27002:2005《信息技術(shù)-安全技術(shù)-信息安全管理有用規(guī)則》。

c）本公司根據(jù)信息安全管理的需要，能夠選擇標(biāo)準(zhǔn)之外的其他操縱措施。

4.2.1.8剩余風(fēng)險(xiǎn)

對風(fēng)險(xiǎn)處理后的剩余風(fēng)險(xiǎn)應(yīng)形成《信息安全剩余風(fēng)險(xiǎn)評估報(bào)告》并得到公司管理者的批準(zhǔn)。

4.2.1.9授權(quán)

管理者對實(shí)施與運(yùn)行信息安全管理體系進(jìn)行授權(quán)。

4.2.1.10適用性聲明

信息安全管理小組編制《信息安全適用性聲明（SoA）》。該聲明包含下列方面的內(nèi)容：

a）所選擇操縱目標(biāo)與操縱措施的概要描述，與選擇的原因；

b）對ISO/IEC27001:2005附錄A中未選用的操縱目標(biāo)及操縱措施理由的說明。

4.2.2實(shí)施及運(yùn)行信息安全管理體系

4.2.2.1活動(dòng)

為確保信息安全管理體系有效實(shí)施，對已識別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展下列活動(dòng)：

a）形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全操縱措施的優(yōu)先級：

b）為實(shí)現(xiàn)已確定的安全目標(biāo)、實(shí)施《信息安全風(fēng)險(xiǎn)處理計(jì)劃》，明確各崗位的信息安全職責(zé)；

c）實(shí)施所選擇的操縱措施，以實(shí)現(xiàn)操縱目標(biāo)的要求；

d）確定如何測量所選擇的操縱措施的有效性?并協(xié)定墳些測量措施如何用干評估操縱的有效件

以得出可比較的、可垂復(fù)的結(jié)果：

e）進(jìn)行信息安全培訓(xùn)，提高全員信息安全意識與能力：

f）對信息安全體系的運(yùn)行進(jìn)行管理；

g）對信息安全所需資源進(jìn)行管理；

h）實(shí)施操縱程序，對信息安全事故（或者征兆）進(jìn)行迅速反應(yīng)。

4.2.2.2信息安全組織機(jī)構(gòu)

本公司成立信息安全領(lǐng)導(dǎo)機(jī)構(gòu)一一信息安全管理小組，其職責(zé)是實(shí)現(xiàn)信息安全管理體系方針與本

公司承諾。具體職責(zé)是：研究決定信息安全工作涉及到的重大事項(xiàng)：審定公司信息安全方針、目標(biāo)、

工作計(jì)劃與重要文件：為信息安全工作的有序推進(jìn)與信息安全管理體系的有效運(yùn)行提供必要的資源。

本公司的信息安全職能由信息安全管理小組承擔(dān)，其要緊職責(zé)是：負(fù)責(zé)制訂、落實(shí)信息安全工作

計(jì)劃，對單位、部門信息安全工作進(jìn)行檢套、指導(dǎo)與協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持

其有效、持續(xù)運(yùn)行。

本公司采取有關(guān)部門代表構(gòu)成的協(xié)調(diào)會(huì)的方式，進(jìn)行信息安全協(xié)調(diào)與協(xié)作，以：

a）確保安全活動(dòng)的執(zhí)行符合信息安全方針：

b）確定如何處理不符合；

c）批準(zhǔn)信息安全的方法與過程，如風(fēng)險(xiǎn)評估、信息分類：

d）識別重大的威脅變化，與信息與有關(guān)的信息處理設(shè)施對威脅的暴露；

e）評估信息安全操縱措施實(shí)施的充分性與協(xié)調(diào)性；

f）有效的推動(dòng)組織內(nèi)信息安全教育、培訓(xùn)與意識；

g）評價(jià)根據(jù)信息安全事件監(jiān)控與評審得出的信息，并根據(jù)識別的信息安全事件推薦適當(dāng)?shù)拇?/p>

施。

4.2.2.3信息安全職責(zé)與權(quán)限

本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定信息安全管理者代表,不管信息安全管理者代

表其他方面的職責(zé)如何，對信息安全負(fù)有卜列職責(zé)：

a）建立并實(shí)施信息安全管理體系必要的程序并維持其有效運(yùn)行；

b）對信息安全管理體系的運(yùn)行情況與必要的改善措施向信息安全管理小組或者最高責(zé)任者報(bào)

告。

各部門負(fù)責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺履行信息安全

保密義務(wù)。

各部門、人員有關(guān)信息安全職責(zé)分配見附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》與相應(yīng)的程序文件（管

理標(biāo)準(zhǔn)）、規(guī)定及崗位說明書。

4.2.Z.4操縱措施

各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、操縱措施（包含信息安全運(yùn)行的各類

管理標(biāo)準(zhǔn)、規(guī)章制度）的要求實(shí)施信息安全操縱措施。

4.2.3監(jiān)督與評審信息安全管理體系

4.2.3.1活動(dòng)

本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、定期技術(shù)檢查等操

縱措施并報(bào)告結(jié)果以實(shí)現(xiàn)：

a）及時(shí)發(fā)現(xiàn)處理結(jié)果中的錯(cuò)誤、信息安全管理體系的事故與隱患；

b）及時(shí)熟悉識別失敗的與成功的安全破壞與事件、信息處理系統(tǒng)遭受的各類攻擊；

c）使管理者確認(rèn)人工或者自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果：

d）使管理者掌握信息安全活動(dòng)與解決安全破壞所采取的措施是否有效；

e）積存信息安全方面的經(jīng)酚。

4.2.3.2管理評審

根據(jù)以上活動(dòng)的結(jié)果與來自有關(guān)方的建議與反饋，由總經(jīng)理主持，每年至少一次對信息安全管理

體系的有效性進(jìn)行評審，其中包含信息安全管理體系的范圍、方針、目標(biāo)的符合性及操縱措施有效性

的評審，考慮信息安全審核、事件、有效性測量的結(jié)果，與所有有關(guān)方的建議與反饋。管理評審的具

體要求，見本手冊第7章。

4.2.3.3檢查與測量

在管理標(biāo)準(zhǔn)中，對安全措施的實(shí)施規(guī)定r檢查與測量的要求。同時(shí)，信息安全管理小組應(yīng)定期口勺

進(jìn)行信息安全檢查與信息安全技術(shù)監(jiān)督，通過對安全措施的實(shí)施檢查與信息安全技術(shù)監(jiān)督，保證安全

措施得到滿足。

4.Z.3.4風(fēng)險(xiǎn)再評估

信息安全管理小組組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)管理程序》的要求，對風(fēng)險(xiǎn)處理后的殘余風(fēng)

險(xiǎn)進(jìn)行定期評審，以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可同意的水平，對卜列方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評估:

a）組織；

b）技術(shù)：

c）業(yè)務(wù)目標(biāo)與過程：

（1）己識別的威脅；

e）實(shí)施操縱的有效性：

f）外部事件，比如法律或者規(guī)章環(huán)境的變化、合同責(zé)任的變化與社會(huì)環(huán)境的變化.

4.Z.3.5內(nèi)部審核

按照計(jì)劃的時(shí)間間隔進(jìn)行信急安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求，見本手冊第6章。

4.2.3.6更新計(jì)劃

考慮監(jiān)視與評審活動(dòng)的發(fā)現(xiàn)，更新信息安全計(jì)劃。

4.2.3.7記錄

記錄可能對信息安全管理體系有效性或者業(yè)績有影響的活動(dòng)與情況。

4.2.4保持與持續(xù)改進(jìn)信息安全管理體系

我公司開展卜列活動(dòng)，以確保信息安全管理體系的持續(xù)改進(jìn)：

a）實(shí)施每年管理評審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目；

b）按照本手冊第6章與第8章的要求采取適當(dāng)?shù)募m正與預(yù)防措施：吸取其他組織及本公司安全事

故的經(jīng)驗(yàn)教訓(xùn)，不斷改進(jìn)安全措施的有效性：

c）通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進(jìn)行有效的溝通。包含獲取外

部信息安全專家的建議、信息安全政府行政主管部門的聯(lián)系及識別顧客對信息安全的要求

等：

（1）對信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾?，確保改進(jìn)達(dá)到預(yù)期的效果。

4.3文件要求

4.3.1總則

本公司信息安全管理體系文件包含：

a）文件化的信息安全方針：在《信息安全管理體系手冊》中描述，選擇的操縱目標(biāo)在《信息安

全適用性聲明SoA》中描述：

b）《信息安全管理體系手冊》（本手冊，包含信息安全適用范圍及引用的標(biāo)準(zhǔn)）；

c）ISO/IEC27001:2005標(biāo)準(zhǔn)中規(guī)定需文件化的程序；

d）本手冊涉及的有關(guān)支持性程序性文件，比如《信息安全風(fēng)險(xiǎn)管理程序》：

e）為確保有效策劃、運(yùn)作與操縱信息安全過程所制定的文件化操作程序；

f）《風(fēng)險(xiǎn)處理計(jì)劃》與信息安全管理體系要求的記錄類：

g）有關(guān)的法律、法規(guī)與信息安全標(biāo)準(zhǔn)；

h）《信息安全適用性聲明SoA》。

4.3.2文件操縱

4.3.2.1要求

信息安全管理小組按《文件操縱程序》的要求，對信息安全管理體系所要求的文件進(jìn)行管理。對

《信息安全管理體系手冊》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書與為保證信息安全管理體系有效策劃、

運(yùn)行與操縱所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、I回收等工作實(shí)施

操縱，以確保在使用場所能夠及時(shí)獲得適用文件的有效版本。

4.3.2.2文件操縱

信息安全管理小組制定并實(shí)施《文件與資料管理程序》，人事行政部對信息安全管理體系所要求

的文件進(jìn)行管現(xiàn)。對《信息安全管理手冊》、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書與為保證信息安全管

理體系有效策劃、運(yùn)行與操縱所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、使用、修訂、作廢、

回收等管理工作做出規(guī)定，以確保在使用場所能夠及時(shí)獲得適用文件的有效版本。

文件操縱應(yīng)保證：

a）文件公布前得到批準(zhǔn)，以確保文件是充分的：

b）必要時(shí)對文件進(jìn)行評審、更新并再次批準(zhǔn)：

c）確保文件的更換與現(xiàn)行修訂狀態(tài)得到識別；

d）確保在使用時(shí)，可獲得有關(guān)文件的最新版本：

e）確保文件保持清晰、易于識別：

f）確保文件能夠?yàn)樾枰咚@得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲與最終的銷毀:

g）確保外來文件得到識別；

h）確保文件的分發(fā)得到操縱：

i）防止作廢文件的非預(yù)期使用；

j）若因任何目的需保留作廢文件時(shí)，應(yīng)對其進(jìn)行適當(dāng)?shù)臉?biāo)識。

4.3.2.3外來文件管理

外來文件包含信息安全法律、行政法規(guī)、部門規(guī)章、地方法規(guī)，按卜.列規(guī)定執(zhí)行:

a）信息安全適用的法律法規(guī)按照《信息安全法律法規(guī)管理程序》規(guī)定執(zhí)行；

b）外來的文件按照《文件操縱程序》與其他有關(guān)規(guī)定執(zhí)行；

c）外來標(biāo)準(zhǔn)按本公司標(biāo)準(zhǔn)化管理的有關(guān)規(guī)定進(jìn)行。

4.3.3記錄操縱

4.3.3.1要求

信息安全管理體系所要求的記錄是信息安全管理體系符合標(biāo)準(zhǔn)要求與有效運(yùn)行的證據(jù)。

4.3.3.2職責(zé)

信息安全管理小組按《記錄操縱程序》的要求，對記錄的標(biāo)識、儲存、保護(hù)、檢索、保管、廢棄

等進(jìn)行管理。

4.3.3.3記錄

信息安全管理的記錄應(yīng)包含本手冊第4.2條中所列出的所有過程的結(jié)果及與信息安全管理體系有

關(guān)的安全事故的記錄。

4.3.3.4分類

信息安全管理體系的記錄按出處可分為下列四類：

a）程序文件所要求的記錄；

b）工作標(biāo)準(zhǔn)與作業(yè)文件所要求的記錄：

c）規(guī)章制度、規(guī)定所要求的記錄；

（1）其他證實(shí)信息安全管理體系符合標(biāo)準(zhǔn)要求與有效運(yùn)行的記錄。

4.3.3.5形式

信息安全管理記錄能夠是表、單、卡、臺帳、記錄本、報(bào)告、紀(jì)要、證、圖等多種適用的形式，

能夠是書面的或者電子媒體的。

4.3.3.6歸檔

需要?dú)w檔的記錄，按《記錄操縱程序》執(zhí)行，屬于電子數(shù)據(jù)的記錄，按《重要信息備份管理程序》

執(zhí)行。

5管理職責(zé)

5.1管理承諾

我公司管理者通過下列活動(dòng)，對建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持與改進(jìn)信息安全管理體系

的承諾提供證據(jù)：

a）建立信息安全方針；

b）確保信息安全口標(biāo)與計(jì)劃得以制定（見《信息安全適用忙聲明S°A》、《風(fēng)險(xiǎn)處理計(jì)劃》及有

關(guān)記錄）；

c）建立信息安全的角色與職責(zé)（見本手冊附錄3（規(guī)范性附錄）《職責(zé)權(quán)限》與相應(yīng)的管理程序;

d）向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任與持續(xù)改進(jìn)的重要性：

e）提供充分的資源，以建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持并改進(jìn)信息安全管理體系（見本

手冊第5.2.1章）;

f）決定同意風(fēng)險(xiǎn)的準(zhǔn)則與風(fēng)險(xiǎn)的可同意等級（見《信息安全風(fēng)險(xiǎn)管理程序》及有關(guān)記錄）：

g）確保內(nèi)部信息安全管理體系審核（見木手冊第6章）得以實(shí)施；

h）實(shí)施信息安全管理體系管理評審（見本手冊第7章）。

5.2資源管理

5.2.1資源的提供

本公司確定并提供實(shí)施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響信息安全管理

體系工作的員工是有能力勝任的，以保證：

a）建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持與改進(jìn)信息安全管理體系；

b）確保信息安全程序支持業(yè)務(wù)要求：

c）識別并指出法律法規(guī)要求與合同安全貢任：

d）通過正確應(yīng)用所實(shí)施的所有操縱來保持充分的安全：

e）必要時(shí)，進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施：

f）需要時(shí)，改進(jìn)信息安全管理體系的有效性。

5.2.2培訓(xùn)、意識與能力

信息安全管理小組制定并實(shí)施《員工培訓(xùn)管理程序》文件，確保被分配信息安全管理體系規(guī)定職

責(zé)的所有人員，都務(wù)必有能力執(zhí)夕亍所要求的任務(wù)。能夠通過：

a）確定承擔(dān)信息安全管理體系各_E作閔位的職工所必要的能力；

b）提供職業(yè)技術(shù)教育與技能培訓(xùn)或者采取其他的措施來滿足這些需求；

c）評價(jià)所采取措施的有效性：

d）保留教育、培訓(xùn)、技能、經(jīng)驗(yàn)與資格的記錄。

本公司還確保所有有關(guān)人員意識到其所從事的信息安全活動(dòng)的有關(guān)性與重要性，與如何為實(shí)現(xiàn)信

息安全管理體系目標(biāo)做出奉獻(xiàn)。

6內(nèi)部信息安全管理體系審核

6.1總則

6.1.1要求

本公司信息安全管理小組按《內(nèi)部審核管理程序》的要求策劃與實(shí)施信息安全管理體系內(nèi)部審核

與報(bào)告結(jié)果與保持記錄。

6.1.2活動(dòng)

本公司每年進(jìn)行?次信息安全管理體系內(nèi)部審核，以確定其信息安全管理體系的操縱目標(biāo)、操縱

措施、過程與程序是否：

a）符合本標(biāo)準(zhǔn)的要求與有關(guān)法律法規(guī)的要求：

b）符合已識別的信息安全要求：

c）得到有效地實(shí)施與保護(hù)：

d）按預(yù)期執(zhí)行。

6.2內(nèi)審策劃

信息安全管理小組策劃審核的過程、區(qū)域的狀況、重要性與以往審核的結(jié)果，對審核工作進(jìn)行策

劃。應(yīng)編制《年度內(nèi)審計(jì)劃》，確定審核的準(zhǔn)則、范圍、頻次與方法。

每次審核前，信息安全管理小組應(yīng)編制《內(nèi)部審核計(jì)劃》，確定審核的準(zhǔn)則、范圍、日程與審核

組。審核員的選擇與審核的實(shí)施應(yīng)確保審核過程的客觀性與公正性。審核員不應(yīng)審核自己的工作。

《內(nèi)部審核計(jì)劃》，經(jīng)信息安全管理者代表批準(zhǔn)，提早3天通知被審核部門，被審核部門到時(shí)應(yīng)選

派有關(guān)人員配合審核。

6.3內(nèi)審員

內(nèi)部審核員務(wù)必是熟悉本公司信息安全管理情況，參加內(nèi)部審核員培訓(xùn)并考核合格的人員。

內(nèi)部審核員應(yīng)來自于不一致的部門，審核人員應(yīng)與被審活動(dòng)無直接責(zé)任，以保持工作的獨(dú)立性。

各部門選擇符合內(nèi)部審核員條件的候選人，參加內(nèi)部審核員培訓(xùn)并考試合格，填寫《內(nèi)部審核員

評定表》，經(jīng)信息安全管理者代表批準(zhǔn)，方取得內(nèi)部審核員資格。

6.4內(nèi)審實(shí)施

6.4.1活動(dòng)

應(yīng)按審核計(jì)劃的要求實(shí)施審核，包含:

a)進(jìn)行首次會(huì)議，明確審核的目的與范圍，使用的方法與程序：

b)實(shí)施現(xiàn)場審核，檢查有關(guān)文件、記錄與憑證，與有關(guān)人員進(jìn)行交流，填寫審核發(fā)現(xiàn)：

c)對檢杳內(nèi)容進(jìn)行分析，對審核發(fā)現(xiàn)的問題i在《不符合項(xiàng)報(bào)告及糾正報(bào)告單》中開出不符合項(xiàng);

(1)審核組長編制《內(nèi)部審核報(bào)告》。

6.4.2不符合處理

對審核中提出的不符合項(xiàng)，責(zé)任部門應(yīng)制定糾正措施，由信息安全管理小組對糾正措施的實(shí)施情

況進(jìn)行跟蹤、驗(yàn)證，將結(jié)果記入《不符合項(xiàng)報(bào)告及糾正報(bào)告單》。

6.4.3記錄

內(nèi)部審核記錄由信息安全管理小組儲存，并作為管理評審的輸入之一。

7管理評審

7.1總則

總經(jīng)理應(yīng)每年進(jìn)行?次管理評審,以確保信息安全管理體系持續(xù)的適宜件、充分性與有效性，管

理評審按《管理評審程序》進(jìn)行.

管理評審應(yīng)包含評價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)與變更的需要，包含信息安全方針與信息安全

目標(biāo)。

管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。

7.2評審輸入

管理評審的輸入要包含下列信息：

a）信息安全管理體系審核與評審的結(jié)果：

b）有關(guān)方的反饋；

C）用于改進(jìn)信息安全管理體系業(yè)績與有效性的技術(shù)、產(chǎn)品或者程序；

d）預(yù)防與糾正措施的狀況；

e）以往風(fēng)險(xiǎn)評估沒有充分做調(diào)的脆弱性或者威脅；

f）有效性測量的結(jié)果：

g）以往管理評審的跟蹤措施：

h）任何可能影響信息安全管理體系的變更；

i）改進(jìn)的建議。

7.3評審輸出

管理評審的輸出應(yīng)包含與下列內(nèi)容有關(guān)的任何決定與措施：

a）信息安全管理體系有效性的改進(jìn)：

b）更新風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)處理計(jì)劃；

c）必耍時(shí):修訂影響信息安全的程序與操縱措施，以反映可能影響信息安全管理體系的內(nèi)外事

件，包含下列方面的變化：

1）業(yè)務(wù)要求；

2）安全要求；

3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程：

4）法律法規(guī)要求；

5）合同責(zé)任；

6）風(fēng)險(xiǎn)等級與（或者）風(fēng)險(xiǎn)同意準(zhǔn)則。

d）資源需求；

e）改進(jìn)測量操縱措施有效性的方式。

8信息安全管理體系改進(jìn)

8.1持續(xù)改進(jìn)

本公司根據(jù)《糾正措施操縱程序》與《預(yù)防措施操縱程序》的要求，通過使用信息安全方針、信

息安全目標(biāo)、審核結(jié)果、監(jiān)控事件的分析、糾正與預(yù)防措施與管理評審（見本手冊第7章），持續(xù)改進(jìn)

信息安全管理體系的有效性。

8.2糾正措施

本公司信息安全管理小組處理糾正措施，不符合事項(xiàng)的責(zé)任部門負(fù)責(zé)采取糾正措施，以消除與信

息安全管理體系要求不符合的原因，以防止再發(fā)生。

糾正措施的實(shí)施按《糾正措施操縱程序》進(jìn)行。

糾正措施的制定與實(shí)施程序如卜.：

a）識別信息安全事件及不符合；

b）確定信息安全事件及不符合的原因：

c）評價(jià)確保不符合不再發(fā)生的措施要求：

d）確定與實(shí)施所需的糾正措施：

e）記錄所采取措施的結(jié)果；

f）評審所采取的糾正措施，

8.3預(yù)防措施

本公司信息安全管理小組處理預(yù)防措施，潛在不符合事項(xiàng)的有關(guān)部門采取預(yù)防措施，以消除潛在

與信息安全管理體系要求不符合或者不期望事項(xiàng)發(fā)生的原因，防止其發(fā)生。

所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相習(xí)慣。

預(yù)防措施的實(shí)施按《預(yù)防措施操縱程序》進(jìn)行。

預(yù)防措施的制定與實(shí)施程序要求如下：

a）識別潛在的不符合及其原因：

b）評價(jià)預(yù)防不符合發(fā)生的措施要求：

c）確定并實(shí)施所需的預(yù)防措施；

d）記錄所采取措施的結(jié)果；

e）評審所采取的預(yù)防措施。

我公司信息安全管理小組定期組織進(jìn)行風(fēng)險(xiǎn)評估，以識別變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)

險(xiǎn)來識別預(yù)防措施要求。預(yù)防措施的優(yōu)先級應(yīng)基于風(fēng)險(xiǎn)評估結(jié)果來確定。

附錄1?組織概況

佛山市三維計(jì)算機(jī)網(wǎng)絡(luò)有限公司，為四川依米康環(huán)境科技股份有限公司（股票代碼：300249）控

股的企業(yè)，是一家集動(dòng)力環(huán)境監(jiān)控、數(shù)據(jù)部基礎(chǔ)設(shè)施管理、物流監(jiān)控、醫(yī)療自動(dòng)化等信息系統(tǒng)的研究、

咨詢、設(shè)計(jì)、開發(fā)、應(yīng)用、服務(wù)為一體的國家高新技術(shù)企業(yè)，在機(jī)房監(jiān)控、數(shù)據(jù)部智能化管理、物流

監(jiān)管信息平臺、智能化卡口監(jiān)控、智能化手術(shù)室、節(jié)能等領(lǐng)域擁有多項(xiàng)軟硬件創(chuàng)新技術(shù)與系列自主知

識產(chǎn)權(quán)產(chǎn)品。佛山三維以核心技術(shù)產(chǎn)品為基礎(chǔ)，為客戶提供優(yōu)異的技術(shù)解決方案及優(yōu)質(zhì)的監(jiān)控與運(yùn)維

服務(wù)。

佛山三維項(xiàng)目實(shí)施能力已通過IS09001認(rèn)證。從2003年成立至今，己擁有5000余個(gè)成功案例，廣

泛應(yīng)用于金融、保險(xiǎn)、通信、電力、醫(yī)院、學(xué)院、財(cái)稅、交通、廣電、機(jī)關(guān)事業(yè)單位等各個(gè)領(lǐng)域，具

備幾百個(gè)項(xiàng)目同時(shí)實(shí)施的能力，贏得了客戶的普遍認(rèn)可與高度贊譽(yù)。

附錄2.組織機(jī)構(gòu)圖

一.公司組織架構(gòu)：

公司實(shí)行董事會(huì)領(lǐng)導(dǎo)下的總經(jīng)理（管理者代表）負(fù)責(zé)制，下設(shè)業(yè)務(wù)部、技

術(shù)部、工程部、財(cái)務(wù)部、商務(wù)（培訓(xùn)部）等五大部門.

二.組織架構(gòu)圖：

公司部門職責(zé):

1.商務(wù)部：

?制定并完善公司管理制度，并監(jiān)督落實(shí)。

?人員的招聘、考核與轉(zhuǎn)正。

?公司員工的培訓(xùn)。

?員工的薪酬、考勤與紀(jì)律。

?員工的檔案管理；負(fù)責(zé)建立與保護(hù)公司員工信息庫。

?員工福利、保險(xiǎn)的管理及辦理。

?負(fù)責(zé)公司文件資料的管理、歸檔、印刷、發(fā)放工作。

?負(fù)責(zé)公司后勤保障工作。

?負(fù)責(zé)管理公司合同。

?體系的管理評審，推動(dòng)內(nèi)部審核活動(dòng)。

?負(fù)責(zé)組織公司年度，月度工作會(huì)議，或者不定期的部門協(xié)調(diào)溝通會(huì)，并對會(huì)議做

出的決定進(jìn)行落實(shí)。

?對組織層的服務(wù)可用性、持續(xù)性、服務(wù)能力提供支持與資源保障。

?負(fù)責(zé)服務(wù)資源的統(tǒng)一規(guī)劃與配置。

?提供管理方面的信息與建議以改進(jìn)服務(wù)績效。

?服務(wù)回訪人員負(fù)責(zé)對所服務(wù)客戶進(jìn)行回訪，并對回訪的情況錄入到CRM管理系

統(tǒng)。

?公司其它的行政管理及后勤保障工作，與協(xié)調(diào)溝通公共關(guān)系等工作。

2.財(cái)務(wù)部：

?負(fù)責(zé)公司的所有現(xiàn)金、銀行與財(cái)務(wù)帳口的管理.

?負(fù)責(zé)各部門成本項(xiàng)目、核算各部門預(yù)算完成情況；

?向上級財(cái)務(wù)主管部門、稅務(wù)部門、統(tǒng)計(jì)主管部門等提供財(cái)務(wù)報(bào)告、報(bào)表與統(tǒng)計(jì)

報(bào)告，保持聯(lián)系并協(xié)調(diào)關(guān)系；

?負(fù)責(zé)公司記帳、算帳與報(bào)帳，出具內(nèi)部財(cái)務(wù)報(bào)告，進(jìn)行財(cái)務(wù)分析，提出財(cái)務(wù)建

議；

?負(fù)責(zé)各部門預(yù)算與核算管理流程;

?根據(jù)公司中、長期管理經(jīng)營計(jì)劃，組織編制年度綜合財(cái)務(wù)計(jì)劃與操縱標(biāo)準(zhǔn)，建

立、健全財(cái)務(wù)管理體系；

?財(cái)務(wù)報(bào)表及財(cái)務(wù)預(yù)決算的編制工作，為公司決策提供及時(shí)有效的財(cái)務(wù)分析，保

證財(cái)務(wù)信息對外披露的正常進(jìn)行，有效地監(jiān)督檢查財(cái)務(wù)制度、預(yù)算的執(zhí)行情況

與適當(dāng)及時(shí)的調(diào)整；

?對公司稅收進(jìn)行整體籌劃與管理，按時(shí)完成稅務(wù)申報(bào)與年度審計(jì)工作；

?比較精確地監(jiān)控與預(yù)測現(xiàn)金流量，確定與監(jiān)控公司負(fù)債與資木的合理結(jié)構(gòu)，統(tǒng)

籌管理與運(yùn)作公司資金并對其進(jìn)行有效的風(fēng)險(xiǎn)操縱；

?對公司重大的投資、融資、并購等經(jīng)營活動(dòng)提供建議與決策支持，參與風(fēng)險(xiǎn)評

估、指導(dǎo)、跟蹤與操縱；

?與財(cái)政、稅務(wù)、銀行、證券等有關(guān)政府部門及會(huì)計(jì)師事務(wù)所等有關(guān)中介機(jī)構(gòu)建

立并保持良好的關(guān)系。

?

3.業(yè)務(wù)部：

?負(fù)責(zé)公司產(chǎn)品的銷售工作；

?重點(diǎn)負(fù)責(zé)企業(yè)客戶的開發(fā)及項(xiàng)目的跟蹤落實(shí)；

?參與公司營銷策略的制訂；

?負(fù)責(zé)公司所有銷售產(chǎn)品的安裝調(diào)試及售后服務(wù)；

?負(fù)責(zé)公司工程項(xiàng)目實(shí)施及售后服務(wù)；

?負(fù)責(zé)跟蹤監(jiān)督售后服務(wù)情況，及時(shí)反饋客戶意見。

4.工程部：

?負(fù)責(zé)公司產(chǎn)品的詢價(jià)與采購工作；

?負(fù)責(zé)公司商品的倉走管理，做到進(jìn)出庫商品準(zhǔn)確無誤.

?與財(cái)務(wù)部一同進(jìn)行月度的庫存盤點(diǎn).

?參與公司營銷策略的制訂；

?負(fù)責(zé)跟蹤項(xiàng)目所采購商品的到貨情況；

?負(fù)責(zé)公司采購商品款的申請支付；

?負(fù)責(zé)合同評審管理；

?負(fù)責(zé)與上游供應(yīng)商的聯(lián)系溝通.

5.技術(shù)部

高層信息

管理安全

/管小組商務(wù)技術(shù)工業(yè)務(wù)

財(cái)務(wù)部

理者部部程部部

代表

要素

?負(fù)責(zé)公司產(chǎn)品的設(shè)計(jì)、開發(fā)；

?負(fù)責(zé)公司開展業(yè)務(wù)的技術(shù)支持；

?參與公司技術(shù)進(jìn)展規(guī)劃的制定

?負(fù)責(zé)解決產(chǎn)品的測試

?記錄并跟蹤客戶定制化開發(fā)，及時(shí)通知客戶其請求的當(dāng)前狀況與最新進(jìn)展，并對

客戶請求從提出直至驗(yàn)證與終止的整個(gè)過程進(jìn)行管理。

附錄3.職能分配表

4.1總要求▲△△△△

4.2.1建立ISMS▲▲△▲△△

4.2.2實(shí)施與運(yùn)行TSMS▲▲▲△△

4.2.3監(jiān)視與評審ISMS▲▲▲△△

4.2.4保持與改進(jìn)ISMS▲▲▲△△

4.3.1文件要求總則▲A△A△A

4.3.2文件操縱▲△△△△△

4.3.3記錄操縱▲△△△△△

5.1管理職責(zé)管理承諾▲△△△△

5.2.1資源管理資源提供▲△△△△△

5.2.2培訓(xùn)，意識與能力▲△△△△

6內(nèi)部ISMS審核▲△△△△

7ISMS的管理評審▲△△△△△

8ISMS改進(jìn)▲△△△△

A.5安全方針▲△A△△

A.6.1信息安全組織內(nèi)部組A

▲△△

織

A.6.2外部各方▲△△△

A.7資產(chǎn)管理▲△△

A.7.1資產(chǎn)責(zé)任▲▲▲▲▲▲

A.7.2信息分類▲△△

A.8.1人力資源安全任用前▲△△

A.8.2人力資源安全任用口▲△△

A.8.3任用的終止或者變化▲△

A.9.1物理與環(huán)境安全安全△

▲△△

區(qū)域

A.9.2設(shè)備安全▲△△△

A.10.1通訊與操作管理操作A

▲△△

程序與職責(zé)

A.10.2第三方服務(wù)交付管理▲△△△

A.10.3系統(tǒng)規(guī)劃與驗(yàn)收▲△△△

A.10.4防范惡意與移動(dòng)代碼▲△△△

A.10.5備份▲A△△

A.10.6網(wǎng)絡(luò)安全管理▲△△△

A.10.7介質(zhì)處置▲A△△

A.10.8信息的交換▲△△△

A.10.9電子商務(wù)服務(wù)▲—-—-

A.10.10監(jiān)視▲△△△

A.11訪問操縱▲△△△

A.11.1訪問操縱的業(yè)務(wù)要求▲△△

A.11.2用戶訪問管理▲△△

A.11.3用戶責(zé)任▲△△

A.11.4網(wǎng)絡(luò)訪問操縱▲△△

A.11.5操作系統(tǒng)的訪問操縱▲△△

A.11.6應(yīng)用程序及信息訪問操▲

△△

縱

A.11.7移動(dòng)式計(jì)算與遠(yuǎn)程工作一—一一

A.12信息系統(tǒng)獲取、開發(fā)與保A

▲△△

護(hù)

A.13信息安全事件管理▲△△△

A.13.1報(bào)告信息安全情況與弱▲▲△△

△

點(diǎn)

A.13.2信息安全事件與改進(jìn)的△