ISMSSinosoft信息安全管理手冊(cè)

1、保密等級(jí)公開文檔名稱信息安全管理手冊(cè)文檔編號(hào)ISMS/Si nosoft-h-01-2008發(fā)布組織Sinosoft信息安全委員會(huì)發(fā)布日期2008年1月1日?qǐng)?zhí)行日期2008年1月1日版本號(hào)A1.0信息安全管理手冊(cè)批準(zhǔn)人簽字審核人簽字制訂人簽字日期：2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanji ng Sinosoft Tech no logy Co., Ltd.變更履歷序號(hào)版本編號(hào)或更改記錄編號(hào)變化狀態(tài)*簡(jiǎn)要說明（變更內(nèi)容、變更位置、變 更原因和變更范 圍）變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1A1.0C創(chuàng)建，全頁(yè)。2008/1 /1許明星茅建平

2、汪曉剛2008/1 /1*變化狀態(tài)：C創(chuàng)建，A增加，M修改，D一一刪除公司介紹南京擎天科技有限公司 (Nanjing Sinosoft Technology Co., Ltd. 簡(jiǎn)稱 Sinosoft) 成立于 1998 年 12 月，通過持續(xù)創(chuàng)新， 公司已成長(zhǎng)為集應(yīng)用軟件開發(fā)、 信息系統(tǒng)集成和專業(yè)咨詢服務(wù)為一體的國(guó)家級(jí)高新技術(shù)企業(yè)。2005 年，公司成功中標(biāo)國(guó)稅總局的“金稅三期出口退稅系統(tǒng)”建設(shè)工程。 2006年 3月 6 日在倫 敦證交所掛牌上市， 市值達(dá) 18 億元，是國(guó)內(nèi)首家登陸英國(guó)資本市場(chǎng)的軟件企業(yè)。Sinosoft 總部設(shè)在南京，在南京市國(guó)家級(jí)高新技術(shù)開發(fā)區(qū)建有獨(dú)立的研發(fā) 與測(cè)試中

3、心，在北京、蘇州、無錫、常州設(shè)有分支機(jī)構(gòu)及技術(shù)服務(wù)中心。公司 以領(lǐng)先的技術(shù)、穩(wěn)定可靠的產(chǎn)品、優(yōu)質(zhì)完善的服務(wù)，贏得了廣大客戶的支持與 信任，打造出“擎天”品牌。Sinosoft 定位于應(yīng)用軟件的開發(fā)，公司先后承擔(dān)國(guó)家、省、市重大科研開 發(fā)項(xiàng)目數(shù)十項(xiàng)，公司擁有 70 多項(xiàng)自主開發(fā)產(chǎn)品，其中 49項(xiàng)獲得國(guó)家版權(quán)局頒 發(fā)的著作權(quán)證書及有關(guān)國(guó)家專利，并積極參與全國(guó)性的軟件標(biāo)準(zhǔn)制訂工作。多 個(gè)項(xiàng)目被列為“國(guó)家重點(diǎn)火炬計(jì)劃”、“國(guó)家火炬計(jì)劃”、“國(guó)家創(chuàng)新基金”、 “國(guó)家重點(diǎn)新產(chǎn)品”。多項(xiàng)產(chǎn)品先后榮獲中國(guó)優(yōu)秀軟件產(chǎn)品、江蘇省優(yōu)秀軟件 產(chǎn)品獎(jiǎng)(金慧獎(jiǎng)) 、江蘇省科技進(jìn)步三等獎(jiǎng)、南京市優(yōu)秀軟件一等獎(jiǎng)、南京市科 技

4、進(jìn)步一等獎(jiǎng)、南京市科技進(jìn)步二等獎(jiǎng)。 Sinosoft 現(xiàn)有客戶 30000 余家，包括 巴斯夫、摩托羅拉、LG等世界500強(qiáng)知名企業(yè)。Sinosoft現(xiàn)已在中國(guó)、英國(guó)、 美國(guó)、香港地區(qū)、臺(tái)灣地區(qū)注冊(cè)商標(biāo)，申請(qǐng)多項(xiàng)專利，今后還將繼續(xù)加大知識(shí) 產(chǎn)權(quán)的保護(hù)力度。經(jīng)過多年的積累，公司已獲得諸多資質(zhì)和榮譽(yù)，包括：國(guó)家信息產(chǎn)業(yè)部計(jì)算機(jī)信息系統(tǒng)集成二級(jí)資質(zhì)通過國(guó)際軟件成熟度模型集成 CMMI3級(jí)評(píng)估通過 ISO9001：2000 質(zhì)量管理體系認(rèn)證， 04年、 07年順利通過復(fù)審國(guó)家智 能化工程設(shè)計(jì)甲級(jí)資質(zhì)入選國(guó)家電子政務(wù)標(biāo)準(zhǔn)化總體組成員單位入選國(guó)家金稅三期工程專家組成員單位 入選全國(guó)辦公自動(dòng)化專業(yè)委員單位A

5、級(jí)納稅單位資信等級(jí)為 AAA榮獲江蘇省名牌稱號(hào) 江蘇省百家重點(diǎn)培育民營(yíng)科技企業(yè) 江蘇省重點(diǎn)服務(wù)外包企業(yè)南京市骨干軟件企業(yè) 南京市百?gòu)?qiáng)科技工業(yè)企業(yè)江蘇軟件收入二十強(qiáng)經(jīng)過多年的市場(chǎng)開拓， Sinosoft 先后承接全國(guó)數(shù)百個(gè)大中型建設(shè)項(xiàng)目， 積累了豐富的工程技術(shù)經(jīng)驗(yàn)。目前 Sinosoft 的出口退稅系統(tǒng)系列產(chǎn)品在國(guó)家 稅務(wù)總局、 江蘇省國(guó)稅局、 海南省國(guó)稅局等出口退稅部門和 4 萬(wàn)余戶出口企業(yè) 中應(yīng)用，并得到良好的應(yīng)用， 截止 2007年 10月，“擎天出口退稅系統(tǒng)軟件” 占全國(guó)產(chǎn)品市場(chǎng)總份額的 35%，全國(guó)同行業(yè)第一位。Sinosoft 不斷跟蹤國(guó)際信息技術(shù)及相關(guān)技術(shù)、 管理規(guī)范的最新發(fā)展，

6、結(jié)合中國(guó)國(guó)情和實(shí)際經(jīng)驗(yàn)， 不斷更新軟件開發(fā)、 系統(tǒng)集成、 工程管理等方面的 技術(shù)水平和規(guī)范標(biāo)準(zhǔn)，依托企業(yè)形成市場(chǎng)、技術(shù)、人才和產(chǎn)品的良性循環(huán)，努 力將“ Sinosoft 技術(shù)中心”建成全省共性軟件、 平臺(tái)軟件和基礎(chǔ)軟件新技術(shù)、 新產(chǎn)品、 新標(biāo)準(zhǔn)的“輻射中心”， 帶動(dòng)本行業(yè)開發(fā)企業(yè)不斷向更高更新的層次 發(fā)展。信息安全方針批準(zhǔn)令信息安全管理體系方針1總體方針： 實(shí)施風(fēng)險(xiǎn)管理，技術(shù)管理同步，確保信息安全，滿足相關(guān)方要求，實(shí)現(xiàn)可持續(xù)發(fā)展。 2詮釋：我們通過計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供公司各種業(yè)務(wù)服務(wù)的開展， 因此， 信息資產(chǎn)的安全性對(duì) 我們來說是最重要的事情。為了保證各種信息資產(chǎn)的保密性、 完整性、 可用性

7、，給客戶提供 更加安心的服務(wù)，我們依據(jù) ISO/IEC 27001:2005 標(biāo)準(zhǔn)，建立信息安全管理體系，并承諾如 下：2 1 在公司內(nèi)各層次建立完整的信息安全管理組織機(jī)構(gòu)，確定信息安全方針、安全目 標(biāo)和控制措施，明確信息安全的管理職責(zé)；2 2 識(shí)別并滿足適用法律法規(guī)和政府、客戶等相關(guān)方的信息安全要求；2 3 定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，體系評(píng)審，采取糾正預(yù)防措施，保證本公司信息安 全體系的持續(xù)有效性；2 4 采用先進(jìn)有效的設(shè)施和技術(shù)，處理、傳遞、儲(chǔ)存和保護(hù)各類信息；25 對(duì)全體員工進(jìn)行持續(xù)的信息安全教育和培訓(xùn)， 不斷增強(qiáng)員工信息安全意識(shí)和能力； 2 6 制定并保持完善的業(yè)務(wù)連續(xù)性計(jì)劃，實(shí)現(xiàn)可持

8、續(xù)發(fā)展；27 對(duì)于本基本方針的適用性、 充分性， 將結(jié)合實(shí)際狀況定期評(píng)審，必要時(shí)予以修訂； 2 8 公司根據(jù)本信息安全管理體系方針制定各種策略。2 0 0 8年1月南京擎天科技有限公司 總經(jīng)理：1. 目的和范圍為了建立、 健全本公司信息安全管理體系， 確定信息安全方針和目標(biāo)， 對(duì)信息安全風(fēng) 險(xiǎn)進(jìn)行有效管理， 確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、 持續(xù)改進(jìn)管理體 系的有效性，特制定本手冊(cè)。1.1 本手冊(cè)按照 ISO/IEC 27001:2005 信息安全管理體系要求 ，并結(jié)合我公司管理的實(shí) 際情況編寫， 用于在合同條件下向客戶和第三方證明我公司的信息安全管理體系能滿足規(guī) 定的標(biāo)準(zhǔn)。1

9、.2 信息安全管理體系適用范圍本手冊(cè)適用于 4.2.1 條款確定范圍內(nèi)的信息安全管理活動(dòng)。1）數(shù)據(jù)處理活動(dòng)；2）本公司范圍內(nèi)的上訴業(yè)務(wù)流程包括的部門和員工；3）與 2） 所述活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；4）公司連接互聯(lián)網(wǎng)的服務(wù)器及相關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)。2. 引用標(biāo)準(zhǔn)ISO/IEC 17799:2005 信息技術(shù)安全技術(shù) - 信息安全管理實(shí)施細(xì)則ISO/IEC 27001:2005 信息安全管理體系要求3. 術(shù)語(yǔ)和定義本手冊(cè)采用 ISO/IEC 27001:2005 中的術(shù)語(yǔ)和定義。3.1 要求 明示的、通常隱含的或必須履行的需求或期望。3.2 顧客滿意 顧客對(duì)其要求

10、已被滿足的程度的感受。3.3 信息安全管理體系 在信息安全方面指揮和控制組織的管理體系。3.4 方針 由組織的最高管理者正式發(fā)布的該組織總的安全宗旨和方向。3.5 目標(biāo) 在安全管理方面 , 所追求的目的。3.6 持續(xù)改進(jìn) 增強(qiáng)滿足要求的能力的循環(huán)活動(dòng)。3.7 顧客 接受產(chǎn)品的組織或個(gè)人。3.8 供方 提供產(chǎn)品的組織或個(gè)人。3.9 組織職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施。3.10 相關(guān)方 與組織的業(yè)績(jī)或成就有利益關(guān)系的個(gè)人或團(tuán)體。3.11 過程 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。3.12 產(chǎn)品 過程的結(jié)果。3.13 可追溯性 追溯所考慮對(duì)象的歷史、應(yīng)用情況或所處場(chǎng)所的能力

11、。3.14 預(yù)防措施 為消除潛在不合格或其他潛在不期望情況的原因所采取的措施。3.15 糾正措施 為消除已發(fā)現(xiàn)的不合格或其他不期望情況的原因所采取的措施。3.16 手冊(cè) 規(guī)定組織安全管理體系的文件。3.17 審核 為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià), 以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。3.18 評(píng)審 為確定主題事項(xiàng)達(dá)到規(guī)定目標(biāo)的適宜性、充分性和有效性所進(jìn)行的活動(dòng)。3.19 記錄 闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的文件。3.20 規(guī)范 闡明要求的文件。3.21 資產(chǎn) 對(duì)組織有價(jià)值的任何事物。 ISO/IEC 13335-1:20043.22 可用性 已授權(quán)實(shí)體

12、一旦需要就可訪問和使用的特性。ISO/IEC 13335-1:20043.23 保密性 使信息不泄露給未授權(quán)的個(gè)人、實(shí)體、過程或不使信息為其利用的特性。 ISO/IEC 13335-1:20043.24 信息安全 保持信息的保密性、完整性和可用性；另外，還可能包括真實(shí)性、可核查性、抗抵賴 和可靠性。 ISO/IEC 17799 ： 20053.25 信息安全事情系統(tǒng)、 服務(wù)或網(wǎng)絡(luò)狀態(tài)已經(jīng)確認(rèn)發(fā)生顯示可能違背信息安全方針或安全故障，或可能與安全相關(guān)的以前未知的情況 ISO/IEC TR 18044:20043.26 信息安全事件單一或一系列不必要的或不期望的有危及業(yè)務(wù)運(yùn)作和威脅信息安全的重大可能

13、的信 息安全事件 ISO/IEC TR 18044:20043.27 信息安全管理體系 (ISMS) 組織整個(gè)管理體系的一部分，以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng) 審、保持并持續(xù)改進(jìn)信息安全。注：管理體系包括：組織結(jié)構(gòu)、方針、計(jì)劃活動(dòng)、職責(zé)、規(guī)范、程序、過程和資源。3.28 完整性 保護(hù)資產(chǎn)準(zhǔn)確性和完備性的特性。 ISO/IEC 13335-1:20043.29 剩余風(fēng)險(xiǎn) 經(jīng)過風(fēng)險(xiǎn)處理后殘留的風(fēng)險(xiǎn)。 ISO/IEC 73 指南 :20023.30 風(fēng)險(xiǎn)接受 接受某一風(fēng)險(xiǎn)的決定。 ISO/IEC 73 指南 :20023.31 風(fēng)險(xiǎn)分析 系統(tǒng)的使用信息，以識(shí)別來源并估計(jì)風(fēng)險(xiǎn)。 IS

14、O/IEC 73 指南 :20023.32 風(fēng)險(xiǎn)評(píng)估 整個(gè)風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)過程。 ISO/IEC 73 指南 :20023.33 風(fēng)險(xiǎn)評(píng)價(jià) 依據(jù)給定的風(fēng)險(xiǎn)準(zhǔn)則比較已估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重程度的過程。 ISO/IEC 73 指南 :20023.34 風(fēng)險(xiǎn)管理 指導(dǎo)并控制組織有關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)的活動(dòng)。 ISO/IEC 73 指南 :20023.35 風(fēng)險(xiǎn)處理 選擇并實(shí)施措施以降低風(fēng)險(xiǎn)的過程。 ISO/IEC 73 指南 :20023.36 適用性聲明描述關(guān)于并適用于組織的 ISMS的控制目標(biāo)和控制措施的文件。 注：控制目標(biāo)和控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過程的結(jié)果和結(jié)論、 法律法規(guī)要求、 合同義

15、務(wù)和組織的信息安全業(yè)務(wù)要求的基礎(chǔ)上。3.37 有關(guān)縮寫的術(shù)語(yǔ)ISO-國(guó)際標(biāo)準(zhǔn)化組織IEC- 國(guó)際電工委員會(huì)GB-國(guó)家標(biāo)準(zhǔn)ISMS-信息安全管理體系Sinosoft- 南京擎天科技有限公司4. 信息安全管理體系4.1 總要求公司依據(jù)ISO/IEC 27001:2005 標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，對(duì)過程的應(yīng)用和管理詳見信息安全管理體系過程模式圖（圖1 ）。信息安全管理體系是在公司整體經(jīng)營(yíng)活動(dòng)和經(jīng)營(yíng)風(fēng)險(xiǎn)架構(gòu)下，針對(duì)信息安全風(fēng)險(xiǎn)的管理體系；圖1信息安全管理體系過程模式圖4.2 建立和管理 ISMS4.

16、2.1 建立 ISMS公司應(yīng)：a）根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS范圍和邊界，包括在范圍內(nèi)任何刪減的細(xì)節(jié)和理由（見標(biāo)準(zhǔn) 1.2 ）。本公司ISMS的范圍和邊界包括：1）數(shù)據(jù)處理活動(dòng)；2）本公司范圍內(nèi)的上訴業(yè)務(wù)流程包括的部門和員工；3）與 2） 所述活動(dòng)相關(guān)的應(yīng)用系統(tǒng)及支持性信息管理系統(tǒng)包含的全部信息資產(chǎn)；4 ） 公司連接互聯(lián)網(wǎng)的服務(wù)器及相關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)。b）根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS方針，必須滿足以下要求：1）為ISMS目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則；2）考慮業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)；3

17、）與公司戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持ISMS；4）建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；5）總經(jīng)理批準(zhǔn)發(fā)布ISMS方針。c）定義公司風(fēng)險(xiǎn)評(píng)估方法。質(zhì)量與項(xiàng)目管理中心負(fù)責(zé)建立 信息安全風(fēng)險(xiǎn)評(píng)估管理程序 并組織實(shí)施。信息安 全風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。1）識(shí)別適用于 ISMS 和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方 法。2）建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí) 。 選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。具體參照 ISO/IEC TR 13335-3 ，信息技術(shù) IT 安 全管理指南 IT 安全管理技術(shù) 。3）公司

18、的風(fēng)險(xiǎn)評(píng)估的流程信息資產(chǎn)識(shí)別 - 重要信息資產(chǎn) （通過資產(chǎn)評(píng)估標(biāo)準(zhǔn)） - 信息資產(chǎn)的威脅識(shí)別和評(píng)價(jià) - 薄弱點(diǎn)識(shí)別和評(píng)價(jià) （對(duì)應(yīng)威脅） - 確認(rèn)已經(jīng)采取的安全控制措施確定風(fēng)險(xiǎn)等級(jí) （風(fēng)險(xiǎn)等 級(jí)標(biāo)準(zhǔn)）d）識(shí)別風(fēng)險(xiǎn)：1）識(shí)別ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括文檔 /數(shù)據(jù)、軟件 / 系統(tǒng)、硬件 / 設(shè)施、人力 資源、 服務(wù)、無形資產(chǎn)等。 對(duì)每一項(xiàng)信息資產(chǎn)， 根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要 信息資產(chǎn)，形成信息資產(chǎn)識(shí)別表 。2）識(shí)別對(duì)這些資產(chǎn)的威脅，一項(xiàng)資產(chǎn)可能面對(duì)若干個(gè)威脅；3）識(shí)別可能被威脅利用的脆弱性，一項(xiàng)脆弱

19、性也可能面對(duì)若干個(gè)威脅；4) 識(shí)別保密性、完整性和可用性損失可能對(duì)資產(chǎn)造成的影響。解釋： “所有者”代表已被授權(quán)的個(gè)人或?qū)嶓w，對(duì)資產(chǎn)的生產(chǎn)、開發(fā)、維護(hù)、使 用、安全負(fù)有管理責(zé)任。 “所有者”不代表個(gè)人對(duì)資產(chǎn)具有真正的財(cái)產(chǎn)權(quán)。e) 分析并評(píng)價(jià)風(fēng)險(xiǎn)：1) 在資產(chǎn)識(shí)別的基礎(chǔ)上，針對(duì)每一項(xiàng)重要信息資產(chǎn)，依據(jù)風(fēng)險(xiǎn)評(píng)估原則中的信息資產(chǎn)CIAB分級(jí)標(biāo)準(zhǔn)，進(jìn)行 CIAB的資產(chǎn)賦值計(jì)算；2) 針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考風(fēng)險(xiǎn)評(píng)估原則中的威脅參考表及以往 的安全事故 (事件) 記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出重要信息資產(chǎn)所面臨的所有 威脅；3) 按照風(fēng)險(xiǎn)評(píng)估原則 中的威脅分級(jí)標(biāo)準(zhǔn)對(duì)每一個(gè)威脅發(fā)生的可能性進(jìn)行

20、賦值；4) 針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考風(fēng)險(xiǎn)評(píng)估原則中的脆弱性參 考表識(shí)別出被該威脅可能利用的所有薄弱點(diǎn)，并根據(jù)風(fēng)險(xiǎn)評(píng)估原則中的脆弱性分級(jí) 標(biāo)準(zhǔn)對(duì)每一個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值；5) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合威脅和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評(píng)價(jià)。6) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合資產(chǎn)和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行評(píng)價(jià)。7) 按照風(fēng)險(xiǎn)評(píng)估模型對(duì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行計(jì)算得出風(fēng)險(xiǎn)評(píng)估 賦值，并按照風(fēng)險(xiǎn)評(píng)估原則中的風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)評(píng)價(jià)出信息安全風(fēng)險(xiǎn)等級(jí)。8) 對(duì)于信息安全風(fēng)險(xiǎn)， 在考慮控制措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險(xiǎn)接 受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接

21、受風(fēng)險(xiǎn)。f) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇：對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧?) 應(yīng)用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn)：這可能是降低事件發(fā)生的可能性，也可能是降低 安全失敗 (保密性、完整性或可用性丟失 ) 的業(yè)務(wù)損害。2) 如果能證明風(fēng)險(xiǎn)滿足公司的方針和風(fēng)險(xiǎn)接受準(zhǔn)則，有意的、客觀的接受風(fēng)險(xiǎn)； 一般針對(duì)那些不可避免的風(fēng)險(xiǎn)， 而且技術(shù)上、 資源上不可能采取對(duì)策來降低， 或者降低對(duì)公 司來說不經(jīng)濟(jì)。 “接受風(fēng)險(xiǎn)”是針對(duì)判斷為不可接受的風(fēng)險(xiǎn)所采取的處理方法，而不是針 對(duì)那些低于風(fēng)險(xiǎn)接受水平的本來就可接受的風(fēng)險(xiǎn)。3) 避免風(fēng)險(xiǎn)；對(duì)于不是公司的核心工作內(nèi)容的活動(dòng)，公司可以采取避免某

22、項(xiàng)活動(dòng) 或者避免采用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來回避可能產(chǎn)生的風(fēng)險(xiǎn)。4) 將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如保險(xiǎn)公司、供方。信息安全委員會(huì)應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。g) 為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制措施。應(yīng)選擇并實(shí)施控制目標(biāo)和控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程所識(shí)別的要 求。選擇時(shí)，應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。信息安全委員會(huì)根據(jù)信息安全方針、 業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果， 組織有關(guān)部 門制定信息安全目標(biāo)， 并將目標(biāo)分解到有關(guān)部門。 信息安全目標(biāo)應(yīng)獲得信息安全最高責(zé)任者 的批準(zhǔn)。從附錄 A 中選擇的控制目標(biāo)和

23、控制措施應(yīng)作為這一過程的一部分，并滿足上述要 求。公司也可根據(jù)需要選擇另外的控制目標(biāo)和控制措施。注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄 A 作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的控制可選措施。h) 獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)，剩余風(fēng)險(xiǎn)接受批準(zhǔn)應(yīng)該在風(fēng)險(xiǎn)評(píng)估表上 留下記錄。i) 獲得管理者對(duì)實(shí)施和運(yùn)行 ISMS的授權(quán)。ISMS管理者代表的任命和授權(quán)、ISMS文檔的簽 署可以作為實(shí)施和運(yùn)作 ISMS的授權(quán)證據(jù)。j) 準(zhǔn)備適用性聲明，內(nèi)容應(yīng)包括：1) 所選擇的控制目標(biāo)和控制措施，以及選擇的原因；2) 當(dāng)前實(shí)施的控制目標(biāo)和控制措施；3

24、) 附錄A中控制目標(biāo)和控制措施的刪減，以及刪減的理由。4) 質(zhì)量與項(xiàng)目管理中心負(fù)責(zé)組織編制信息安全適用性聲明 。注：適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。 通過判斷刪減的理由， 再次確認(rèn) 控制目標(biāo)沒有被無意識(shí)的遺漏。4.2.2 實(shí)施并運(yùn)作 ISMS為確保ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)：a) 制定風(fēng)險(xiǎn)處理計(jì)劃闡明為控制信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)以及 優(yōu)先權(quán)。b) 為了達(dá)到所確定的控制目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包括考慮資金以及角色和職責(zé)的分配，明確各崗位的信息安全職責(zé)；c) 實(shí)施所選的控制措施，以滿足控制目標(biāo)。d) 確定如何測(cè)量所選擇的一個(gè) / 組控制

25、措施的有效性， 并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果。注：測(cè)量控制措施的有效性允許管理者和相關(guān)人員來確定這些控制措施實(shí)現(xiàn)策劃的 控制目標(biāo)的程度。e) 實(shí)施培訓(xùn)和意識(shí)計(jì)劃。f) 對(duì)ISMS的運(yùn)作進(jìn)行管理。g) 對(duì)ISMS的資源進(jìn)行管理。h) 實(shí)施能夠快速檢測(cè)安全事情、響應(yīng)安全事件的程序和其它控制。4.2.3 監(jiān)控并評(píng)審 ISMSa) 本公司通過實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)：1) 快速檢測(cè)處理結(jié)果中的錯(cuò)誤；2) 快速識(shí)別失敗的和成功的安全破壞和事件；3) 能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)

26、到預(yù)期的結(jié)果；4) 幫助檢測(cè)安全事情，并利用指標(biāo)預(yù)防安全事件；5) 確定解決安全破壞所采取的措施是否有效。b) 定期評(píng)審ISMS的有效性(包括安全方針和目標(biāo)的符合性，對(duì)安全控制措施的評(píng)審)，考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。c) 測(cè)量控制措施的有效性，以證實(shí)安全要求已得到滿足。d) 按照計(jì)劃的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估，評(píng)審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級(jí)， 考慮到下列變化：1) 組織機(jī)構(gòu)和職責(zé)；2) 技術(shù)；3) 業(yè)務(wù)目標(biāo)和過程；4) 已識(shí)別的威脅；5) 實(shí)施控制的有效性；6) 外部事件， 例如法律或規(guī)章環(huán)境的變化、 合同責(zé)任的變化以及社會(huì)環(huán)境 的變化。e) 按照計(jì)劃的

27、時(shí)間間隔(不超過一年)進(jìn)行ISMS內(nèi)部審核。注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司 的名義進(jìn)行的審核。f) 定期對(duì)ISMS進(jìn)行管理評(píng)審，以確保范圍的充分性，并識(shí)別ISMS過程的改進(jìn)。g) 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。h) 記錄可能對(duì)ISMS有效性或業(yè)績(jī)有影響的活動(dòng)和事情。4.2.4 保持并持續(xù)改進(jìn) ISMS本公司開展以下活動(dòng)，以確保ISMS的持續(xù)改進(jìn)：a) 實(shí)施已識(shí)別的ISMS改進(jìn)措施。b) 采取適當(dāng)?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗(yàn)以及組織自身安全實(shí) 踐中得到的教訓(xùn)。c) 與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜，必要時(shí)，應(yīng)約定如

28、何進(jìn)行。d) 確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：A：信息安全管理手冊(cè)(包括文件化的方針、控制目標(biāo)、管理體系的范圍及信息安全適應(yīng)性聲明、信息安全策略 ) ；B: 程序文件；C：作業(yè)指導(dǎo)書；D: 風(fēng)險(xiǎn)評(píng)估方法的描述 . ，風(fēng)險(xiǎn)評(píng)估報(bào)告及風(fēng)險(xiǎn)處理計(jì)劃；E: 外來文件；F: 表單。4.3.2 信息安全管理手冊(cè)A: 編寫目的： 向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息， 用 于對(duì)公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。B: 信息安全管理手冊(cè)的編寫： 由管理者代表負(fù)責(zé)組織編寫， 總經(jīng)理批準(zhǔn)后發(fā) 布實(shí)施。C: 信息安全管理手冊(cè)的管理：質(zhì)

29、量與項(xiàng)目管理中心負(fù)責(zé)保管及發(fā)放管理。D：信息安全管理手冊(cè)的發(fā)放：手冊(cè)分“受控”和“非受控”兩種。受控手冊(cè)在封面上加蓋紅色 “受控文件”章，僅限于公司內(nèi)部使用， 當(dāng)修訂或換版時(shí)進(jìn)行相應(yīng)控 制，且人員調(diào)離時(shí)應(yīng)予歸還；非受控手冊(cè)不蓋任何印章，發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶等， 在修訂和換版時(shí)不予控制。4.3.3 文件和資料管理公司建立文件管理程序 ，規(guī)定以下方面的控制要求：A: 文件在發(fā)放前應(yīng)按規(guī)定的審核和批準(zhǔn)權(quán)限進(jìn)行批準(zhǔn)后才能發(fā)布；B: 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并按規(guī)定的權(quán)限重新批準(zhǔn)；C：由質(zhì)量與項(xiàng)目管理中心對(duì)文件的現(xiàn)行修訂狀態(tài)進(jìn)行標(biāo)識(shí)，文件更改由相應(yīng)更改部門進(jìn)行標(biāo)識(shí)，確保文件的更改狀態(tài)清晰明了；D

30、: 質(zhì)量與項(xiàng)目管理中心應(yīng)確保所有使用文件的場(chǎng)所能夠獲得有關(guān)文件的有 效版本；E: 各部門應(yīng)愛護(hù)文件，確保文件清晰，易于辨識(shí)；F: 各部門獲得外來文件應(yīng)統(tǒng)一交相關(guān)部門保存，進(jìn)行標(biāo)識(shí)并控制發(fā)放；G: 質(zhì)量與項(xiàng)目管理中心應(yīng)控制作廢文件的使用，若各部門有必要保存作廢 文件時(shí)，應(yīng)向質(zhì)量與項(xiàng)目管理中心報(bào)告并由質(zhì)量與項(xiàng)目管理中心加蓋“作廢”章。4.3.4 記錄控制公司建立記錄管理程序 ，規(guī)定公司有關(guān)記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存 期限和過期的處理方法等，以提供產(chǎn)品符合要求和信息安全管理體系有效運(yùn)行的客觀證 據(jù)。 ISMS 記錄應(yīng)該考慮任何相關(guān)的法律和法規(guī)要求以及合同責(zé)任，記錄中應(yīng)該包含所有 過程的業(yè)績(jī)，

31、以及發(fā)生的、與ISMS相關(guān)的重大安全事件。4.3.5 相關(guān)文件文件控制程序記錄控制程序5. 管理職責(zé)5.1 管理者承諾：公司總經(jīng)理的承諾是： 建立和實(shí)施信息安全管理體系， 持續(xù)改善其有效性， 確保提交給客戶滿意的產(chǎn)品和服務(wù)，并通過開展以下活動(dòng)為以上承諾提供證據(jù)：5.1.1 向公司內(nèi)部員工傳達(dá)滿足方針目標(biāo)、 滿足客戶需求、 符合法律法規(guī)和持續(xù)改進(jìn)的重 要性；5.1.2 制定信息安全方針；5.1.3 確保信息安全控制目標(biāo)的制定；5.1.4 進(jìn)行管理評(píng)審；5.1.5 規(guī)定職責(zé)和權(quán)限；5.1.6 確保內(nèi)部審核的實(shí)施；5.1.7 決定信息安全接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受等級(jí)；5.1.8 確保為公司管理體

32、系配備必要的資源。公司的組織機(jī)構(gòu)見附件。5.1.9 職責(zé)和權(quán)限A:公司總經(jīng)理確定組織結(jié)構(gòu)圖，明確公司的組織機(jī)構(gòu)形式，并確定各部門的職責(zé)和權(quán)限，予以發(fā)布實(shí)施。 （ 詳見信息安全委員會(huì)組織結(jié)構(gòu)圖 ）B: 各部門應(yīng)了解本部門的職責(zé)、權(quán)限及相互關(guān)系，以便更好地開展工作， 保證體系的有效性，各崗位具體信息安全職責(zé)見崗位說明書 。C:各部門職責(zé)和權(quán)限a）總經(jīng)理：任命管理者代表，明確管理者代表的職責(zé)和權(quán)限； 確保在內(nèi)部傳達(dá)滿足客戶和法律法規(guī)的重要性； 為信息安全管理體系配備必要的資源； 主持管理評(píng)審； 負(fù)責(zé)公司信息安全管理和企業(yè)管理的計(jì)劃、組織、協(xié)調(diào)、監(jiān)督、控 制和考核工作； 遵守公司信息安全的相關(guān)規(guī)定以及

33、本崗位相關(guān)的保密要求。b） 管理代表者：負(fù)責(zé)建立、實(shí)施、保持和改進(jìn)信息安全管理體系，保證信息安全體 系的有效運(yùn)行； 負(fù)責(zé)公司信息安全管理手冊(cè)的審核，程序文件的批準(zhǔn)，組織并領(lǐng)導(dǎo) 公司內(nèi)部ISMS審核工作； 負(fù)責(zé)向總經(jīng)理報(bào)告信息安全體系運(yùn)行的業(yè)績(jī)和任何改進(jìn)的需求； 負(fù)責(zé)就信息安全管理體系有關(guān)事宜的對(duì)外聯(lián)絡(luò)； 遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的保密要求。C) 軟件研發(fā)中心：軟件研發(fā)中心下設(shè) 6個(gè)部門，其中JAVA技術(shù)部、.NET技術(shù)部、稅務(wù)研發(fā)部、通信事業(yè)部這 4 個(gè)部門根據(jù)不同業(yè)務(wù)領(lǐng)域進(jìn)行軟件產(chǎn)品的研制與研發(fā)， 其 職責(zé)是：需求調(diào)研；負(fù)責(zé)與顧客溝通與聯(lián)系； 提供顧客產(chǎn)品的資料； 軟件產(chǎn)品的

34、開發(fā)方案的設(shè)計(jì)與制作； 進(jìn)行軟件產(chǎn)品的開發(fā)； 項(xiàng)目實(shí)施的計(jì)劃編排與控制； 對(duì)開發(fā)完成的產(chǎn)品進(jìn)行及時(shí)的業(yè)務(wù)培訓(xùn)； 技術(shù)支持；負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。綜合維護(hù)部的職責(zé)是：市場(chǎng)信息的搜集； 解決方案的設(shè)計(jì)與制作； 對(duì)開發(fā)完成的產(chǎn)品進(jìn)行及時(shí)的業(yè)務(wù)培訓(xùn)； 售后服務(wù)的技術(shù)支持；外包服務(wù)的提供； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。測(cè)試部的職責(zé)是：軟件產(chǎn)品的測(cè)試； 測(cè)試資源的管理與維護(hù)； 數(shù)據(jù)分析； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)

35、定以及本崗位相關(guān)的 保密要求。d) 系統(tǒng)集成中心：系統(tǒng)集成中心下設(shè)技術(shù)支持中心、 工程中心和采購(gòu)中心， 其中技術(shù)支持中 心和工程中心的職責(zé)是：需求調(diào)研；解決方案的設(shè)計(jì)與制作； 項(xiàng)目實(shí)施的計(jì)劃編排與控制； 檢驗(yàn)規(guī)范的制定與管理； 外包服務(wù)的提供；技術(shù)支持； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。采購(gòu)中心的職責(zé)是：供方的選擇與評(píng)估； 采購(gòu)產(chǎn)品、不合格品的檢驗(yàn)與處理； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。e) 業(yè)務(wù)中心： 業(yè)務(wù)中心下設(shè)五個(gè)部門，其中海外業(yè)務(wù)部專門從事軟件外包業(yè)

36、務(wù)的開拓。 該中心的下設(shè)部門的職責(zé)為：市場(chǎng)信息的搜集； 負(fù)責(zé)同客戶進(jìn)行業(yè)務(wù)溝通工作； 提供顧客產(chǎn)品的資料；市場(chǎng)開拓； 合約、定單的審查及變更的處理； 負(fù)責(zé)根據(jù)簽訂的顧客要求安排生產(chǎn)； 顧客報(bào)怨的受理與回饋； 顧客滿意度的調(diào)查； 顧客售后服務(wù)的受理； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。f) 服務(wù)中心：市場(chǎng)信息的搜集；負(fù)責(zé)與顧客溝通與聯(lián)系； 提供顧客產(chǎn)品的資料； 市場(chǎng)開拓；合約、定單的審查及變更的處理； 顧客報(bào)怨的受理與回饋； 顧客滿意度的調(diào)查； 顧客售后服務(wù)的受理；技術(shù)支持； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司

37、信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。g）行政管理部：行政管理部下設(shè)管理部和網(wǎng)管中心，其職責(zé)為： 負(fù)責(zé)公司計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的管理和維護(hù)； 負(fù)責(zé)了解世界計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢(shì)， 為公司計(jì)算機(jī)及網(wǎng)絡(luò) 設(shè)備的更新和升級(jí)提出建議并予以實(shí)施； 負(fù)責(zé)客戶大規(guī)模電子文件的接收和發(fā)送； 負(fù)責(zé)公司網(wǎng)站的管理、維護(hù)和內(nèi)容更新；保障公司 IT 方面的信息安全； 負(fù)責(zé)公司應(yīng)用系統(tǒng)軟件的管理和維護(hù)； 負(fù)責(zé)公司信息安全內(nèi)部審核的管理； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。h）人力資源部：負(fù)責(zé)人力資源管理工作，確保人員的信息安全； 負(fù)責(zé)工作過程中的

38、信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。I） 質(zhì)量與項(xiàng)目管理中心：項(xiàng)目實(shí)施的監(jiān)控與管理； 合約、定單的審查及變更的處理； 監(jiān)督并審核質(zhì)量執(zhí)行與達(dá)成狀況； 監(jiān)督各部門主管落實(shí)質(zhì)量方針，實(shí)現(xiàn)質(zhì)量目標(biāo)； 質(zhì)量異常矯正措施的監(jiān)督； 不合格品管理的監(jiān)督； 顧客抱怨處理與對(duì)策的追蹤； 顧客滿意度調(diào)查后的匯整分析及改進(jìn)； 質(zhì)量體系內(nèi)部審核的計(jì)劃編制與執(zhí)行； 數(shù)據(jù)分析與改進(jìn)； 公司所有體系文件、文檔資料的管理； 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。j) 財(cái)務(wù)部： 實(shí)行日常財(cái)務(wù)管理和會(huì)計(jì)核算，編制和執(zhí)行企

39、業(yè)財(cái)務(wù)計(jì)劃； 控制企業(yè)運(yùn)作成本，按月進(jìn)行各類財(cái)務(wù)分析，為管理層提供決策依 據(jù)； 向有關(guān)管理部門上交各類財(cái)務(wù)報(bào)表，如實(shí)反映企業(yè)經(jīng)營(yíng)狀況； 與各結(jié)算銀行進(jìn)行業(yè)務(wù)溝通和聯(lián)系， 向國(guó)家稅務(wù)部門按時(shí)繳納各項(xiàng) 稅金。負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。k) 分支機(jī)構(gòu)： 倫敦辦事處主要職責(zé)：負(fù)責(zé)公司與海外合作公司的溝通； 負(fù)責(zé)海外市場(chǎng)的拓展； 負(fù)責(zé)海外合作項(xiàng)目的跟蹤、監(jiān)控和協(xié)調(diào)。 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。北京辦事處主要職責(zé)：負(fù)責(zé)公司的重大項(xiàng)目的協(xié)調(diào)工作。 負(fù)責(zé)公司對(duì)外分

40、支機(jī)構(gòu)選址和建立。負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。蘇州、無錫、常州辦事處主要職責(zé)：開拓公司稅務(wù)產(chǎn)品的市場(chǎng)以及售后服務(wù)工作； 負(fù)責(zé)江蘇省內(nèi)各個(gè)代理的管理； 負(fù)責(zé)公司產(chǎn)品在其它地區(qū)的銷售和維護(hù)工作。 負(fù)責(zé)工作過程中的信息安全實(shí)施； 本部門人員必須遵守公司信息安全的相關(guān)規(guī)定以及本崗位相關(guān)的 保密要求。5.2 資源管理公司應(yīng)確定并提供確?？蛻魸M意， 保持信息安全管理體系有效運(yùn)行并持續(xù)改進(jìn)所需的 資源，并對(duì)資源進(jìn)行有效控制和管理。公司資源包括：人力資源、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)、工作環(huán)境及技術(shù)、信息等。5.2.1 資源提供a) 建立實(shí)施運(yùn)行監(jiān)控評(píng)

41、審和維護(hù)信息安全管理體系；b) 確保信息安全程序支持業(yè)務(wù)要求；c) 識(shí)別和強(qiáng)調(diào)法律法規(guī)要求和合同安全責(zé)任；d) 正確的應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e) 通過管理評(píng)審或其他評(píng)審活動(dòng)對(duì)資源的充分性進(jìn)行評(píng)審， 并對(duì)評(píng)審的結(jié) 果采取適當(dāng)措施；f) 需要時(shí)，改進(jìn)信息安全管理體系的有效性。5.2.2 培訓(xùn)、意識(shí)和能力 公司確定從事與信息安全有關(guān)的人員所需的能力， 采取以下控制確保這些人員能夠勝 任工作：a) 確定從事影響信息安全管理體系的人員所必要的能力， 通過崗位說明 書的任職要求來確定，并在招聘活動(dòng)中確認(rèn)相關(guān)信息安全的任職要求；b) 對(duì)人員提供培訓(xùn)或其他措施滿足這些要求；c) 評(píng)價(jià)采取培訓(xùn)和

42、采取措施的有效性；d) 建立并組織實(shí)施人力資源管理程序 ，對(duì)以上方面進(jìn)行控制，并保存 與教育、培訓(xùn)、技能、經(jīng)驗(yàn)及對(duì)員工能力評(píng)價(jià)的記錄。應(yīng)確保所有相關(guān)人員認(rèn)識(shí)到他們信息安全活動(dòng)的相關(guān)性和重要性，以及他 們?nèi)绾螢閷?shí)現(xiàn)信息安全管理體系目標(biāo)做貢獻(xiàn)。5.2.3 相關(guān)文件人力資源管理程序信息安全體系要求與體系文件及部門職能分配表:221 、-K> 立日 任 責(zé)總經(jīng)理管理者代表軟件研發(fā)中心系 統(tǒng) 集 成 中 心業(yè) 務(wù) 中 心服務(wù)中心行政管理部人 力 資 源 部質(zhì)量與項(xiàng)目管理中心財(cái) 務(wù) 部分 支 機(jī) 構(gòu)4皿系 息體 信理4.1總要求OOOOOOOOOO4.2建立并管理ISMS建立ISMSOOOOOOOO

43、實(shí)施和運(yùn)行ISMSOOOOOOOO監(jiān)視和評(píng)審ISMSOOOOOOOO保持和改進(jìn)ISMSOOOOOOOO4.3文件要求總則OOOOOOOO文件控制OOOOOOOOO記錄控制OOOOOOOOO5管理職責(zé)5.1管理者承諾OOOOOOOOOO5.2資源管理資源提供OOOOOOOOOO培訓(xùn)、意識(shí)和 能力OOOOOOOOO6ISMS內(nèi)部審 核OOOOOOOOO7ISMS管理評(píng)審7.1總則OOOOOOOOO7.2評(píng)審輸入OOOOOOOOO7.3評(píng)審輸出OOOOOOOOO8I SMS改進(jìn)8.1持續(xù)改進(jìn)OOOOOOOOO8.2糾正措施O.OOOOOOOO8.3預(yù)防措施O.OOOOOOOO責(zé)任部門附錄A條文要求總

44、經(jīng)理管理者代表軟件研發(fā)中心系 統(tǒng) 集 成 中 心業(yè) 務(wù) 中 心服務(wù)中心行政管理部人 力 資 源 部質(zhì)量與項(xiàng)目管理中心財(cái) 務(wù) 部分 支 機(jī) 構(gòu)5A匚.5.1AOO.二丄O二O6 A織 組 全 自心Cn1 sA織 組 RH 立日 內(nèi)。OO.OO-OO.O2 s AOO。OOO。一。7 Am 二 S 管 產(chǎn) 資1A任責(zé)/、資OO。一。OO一。一。一27.A類 扮 自心OO。OO一。一8 AU88A前 用OOO。_。一OO一O。_o_28AOOO。_。OO一 O,。9 A19AOO。一O。29AOO。_。一O。_。_o_o1A10A責(zé) 職 和 ff序 程 作 操OOO。一O。oOOO。OO ooOOO

45、。O。_。o_代 動(dòng) 移 可 和 意 惡加碼O2OOOAOO.o份 備OOO。O。OOO。O。oOOO。O。o.OOO。O。o電子商務(wù)服務(wù)（只包括公共信息）OOOOOOOOO監(jiān)控OOOOOOOOOA.11訪問控制訪問控制的業(yè)務(wù)要求OOOOOOOOO用戶訪問管理OOOOOOOOO用戶責(zé)任OOOOOOOOO網(wǎng)絡(luò)訪問控制OOOOOOOOO操作系統(tǒng)訪問控制OOOOOOOOO應(yīng)用程序及信息訪問 控制OOOOOOOOO移動(dòng)計(jì)算和遠(yuǎn)程工作OOOOOOOOOA.12信息系統(tǒng)獲取開發(fā)和 維護(hù)信息系統(tǒng)的安全需求OOOOOOOOO應(yīng)用程序的正確處理OOOOOOOOO加密控制OOOOOOOOO系統(tǒng)文件安全OOOOOO

46、OOO開發(fā)和支持過程的安全（不包括）OOOOOOOOO技術(shù)薄弱點(diǎn)管理OOOOOOOOOA.13信息安全事件管理報(bào)告信息安全事情和 薄弱點(diǎn)OOOOOOOOO信息安全事件和改進(jìn) 管理OOOOOOOOOA.14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理中的 信息安全事項(xiàng)OOOOOOOOA.15符合性符合法律要求OOOOOOOOO符合安全方針和標(biāo)準(zhǔn)，以及技術(shù)符合OOOOOOOO信息系統(tǒng)審核相關(guān)事 宜OOOOOOOO*注：領(lǐng)導(dǎo)職責(zé)以“”表示；監(jiān)督部門以“”表示；負(fù)責(zé)部門以“”表示；相關(guān)部門 以“O”表示。6. ISMS 內(nèi)部審核A: 公司建立并實(shí)施 信息安全內(nèi)部審核程序 ，明確審核的要求， 確保公司信息安全管 理體系

47、的符合性和有效性，符合已經(jīng)識(shí)別的信息安全要求。B：公司管理者代表負(fù)責(zé)督促內(nèi)部審核的進(jìn)行，并將審核情況報(bào)告總經(jīng)理。C: 公司按計(jì)劃的時(shí)間間隔（不超過一年）組織內(nèi)部審核，審核計(jì)劃的安排應(yīng)考慮區(qū)域 的重要性及以往的執(zhí)行情況。D：應(yīng)安排具備審核員資格的人員進(jìn)行審核，審核員不應(yīng)審核自己部門的工作，以確保 審核的公正性和客觀性。E: 受審核區(qū)域應(yīng)采取適當(dāng)?shù)拇胧?，以消除發(fā)現(xiàn)的不合格現(xiàn)象。F: 審核員應(yīng)對(duì)所采取措施的情況進(jìn)行跟蹤驗(yàn)證，確保不合格的結(jié)案。G:有關(guān)審核的所有記錄應(yīng)由管理部進(jìn)行保存。H:相關(guān)文件：信息安全內(nèi)部審核程序7. ISMS 管理評(píng)審7.1.1 公司建立并實(shí)施信息安全管理評(píng)審程序 ，規(guī)定每年組織公司各部門主管進(jìn)行管 理評(píng)審，評(píng)審的目的是