版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
PAGE134第共PAGE134第共頁(yè)編 號(hào):ISMS-M01-2023V1.0受控狀態(tài):受控密 級(jí):內(nèi)公開(kāi)【組織名稱】信息安全管理手冊(cè)(依據(jù)ISO/IECFDIS27001:2022)版權(quán)聲明和保密須知制或引用本文件的任何片斷,無(wú)論通過(guò)電子形式或非電子形式。Copyright?2022【組織名稱】版權(quán)所有文檔信息文檔編號(hào):ISMS-M01-2023文檔分類:內(nèi)部公開(kāi)–受控編寫:審核:批準(zhǔn):初次發(fā)布日期:生效日期:修訂日期:版本記錄版本號(hào)版本日期修改審批人修改履歷V1.0//創(chuàng)建文檔目錄TOC\o"1-3"\h\u0.1信息安全管理手冊(cè)發(fā)布令 50.2管理者代表委任書 61、范圍 72、規(guī)范性引用文件 73、定義和術(shù)語(yǔ) 73.1信息安全定義 73.2術(shù)語(yǔ) 83.3縮寫 84、組織環(huán)境 94.1理解組織及其環(huán)境 94.2理解相關(guān)方的需求和期望 94.3確定信息安全管理體系范圍 94.4信息安全管理體系 105、領(lǐng)導(dǎo) 105.1領(lǐng)導(dǎo)和承諾 105.2方針 105.3組織的角色,責(zé)任和權(quán)限 116、規(guī)劃 116.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施 116.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃 136.3變更管理 147、支持 147.1資源 147.2能力 147.3意識(shí) 147.4溝通 147.5文件化信息 158、運(yùn)行 168.1運(yùn)行規(guī)劃和控制 168.2信息安全風(fēng)險(xiǎn)評(píng)估 178.3信息安全風(fēng)險(xiǎn)處置 179、績(jī)效評(píng)價(jià) 179.1監(jiān)視、測(cè)量、分析和評(píng)價(jià) 179.2內(nèi)部審核 189.3管理評(píng)審 199.3.1總則 1910、改進(jìn) 2010.1不符合和糾正措施 2010.2持續(xù)改進(jìn) 21附件1組織結(jié)構(gòu)圖 22附錄2職能分配表 23附件3部門職責(zé) 31附件4信息安全職責(zé)說(shuō)明書 33信息安全管理手冊(cè)發(fā)布令I(lǐng)SO/IECFDIS27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求自本手冊(cè)發(fā)布令簽批之日起,本公司信息安全管理體系進(jìn)入實(shí)施運(yùn)行階段?!窘M織名稱】總經(jīng)理:2022年12月01日管理者代表委任書ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求加強(qiáng)對(duì)公司體系運(yùn)作的領(lǐng)導(dǎo),特委任任公司信息安全管理體系的管理者代表。管理者代表的職責(zé)是:確保按照標(biāo)準(zhǔn)的要求,進(jìn)行資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估,全面建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系,保證信息安全管理體系的持續(xù)適宜性和有效性;就信息安全管理體系有關(guān)事宜進(jìn)行內(nèi)外部聯(lián)絡(luò),組織、指揮、監(jiān)督、協(xié)調(diào)各部門體系的運(yùn)作;確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識(shí);審核風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃,并監(jiān)督其執(zhí)行情況,并向總經(jīng)理匯報(bào)殘余風(fēng)險(xiǎn);收集整理各部門的管理評(píng)審輸入材料,進(jìn)行匯總,并在管理評(píng)審會(huì)議上向總經(jīng)理報(bào)告;向總經(jīng)理報(bào)告信息安全管理體系的現(xiàn)狀和任何改進(jìn)的需求,包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。本授權(quán)書自發(fā)布之日起生效執(zhí)行?!窘M織名稱】總經(jīng)理:2022年12月01日1、范圍公司依據(jù)信息安全管理體系標(biāo)準(zhǔn)的要求編制《信息安全管理手冊(cè)》,并包括了風(fēng)險(xiǎn)評(píng)估及處置的要求。規(guī)定了公司的信息安全方針及管理目標(biāo),引用了信息安全管理體系的內(nèi)容,對(duì)標(biāo)準(zhǔn)中的第4章到第10章的內(nèi)容,不做任何刪減。注冊(cè)地址:。運(yùn)營(yíng)地址:。體系范圍:。組織范圍:公司管理層、管理運(yùn)營(yíng)部、人力資源部、采購(gòu)部、財(cái)務(wù)部、安全質(zhì)量部、信息化中心。資產(chǎn)范圍:與1)所述業(yè)務(wù)活動(dòng)2)組織范圍內(nèi)及3)物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段。2、規(guī)范性引用文件下列參考文件的部分或整體在本文檔中屬于標(biāo)準(zhǔn)化引用,對(duì)于本文件的應(yīng)用必不可少。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求—概述和詞匯。3、定義和術(shù)語(yǔ)信息安全定義術(shù)語(yǔ)本手冊(cè)中使用術(shù)語(yǔ)的定義采用ISO/IECFDIS27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求》中有關(guān)術(shù)語(yǔ)的定義??s寫ISMS:Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requirements信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)信息安全管理體系要求;SOA:StatementofApplicability適用性聲明;3.PDCA:PlanDoCheckAction計(jì)劃、實(shí)施、檢查、改進(jìn);PAGE2434第頁(yè)共PAGE2434第頁(yè)共頁(yè)4、組織環(huán)境理解組織及其環(huán)境管理層確定與公司意圖相關(guān)的,且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)。理解相關(guān)方的需求和期望管理運(yùn)營(yíng)部應(yīng)確定信息安全管理體系要求的相關(guān)方及其信息安全要求,相關(guān)的信息安全要求。對(duì)于利益相關(guān)方,可作為信息資產(chǎn)識(shí)別,并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,制定相應(yīng)的控制措施,實(shí)施必要的管理。相關(guān)方的要求可包括法律法規(guī)要求和合同義務(wù)。本公司所屬相關(guān)方及其要求和期望如下表:相關(guān)方識(shí)別原因信息安全要求和期望更新頻率識(shí)別方法政府職能單位嚴(yán)格執(zhí)行國(guó)家法律法規(guī)落實(shí)國(guó)家法律法規(guī)要求依據(jù)法律法規(guī)發(fā)布周期關(guān)注政府網(wǎng)站第三方認(rèn)證服務(wù)機(jī)構(gòu)符合體系標(biāo)準(zhǔn)和服務(wù)資質(zhì)要求方可通過(guò)認(rèn)證法律法規(guī)及相關(guān)資質(zhì)的信息安全要求認(rèn)證標(biāo)準(zhǔn)發(fā)布周期與認(rèn)證機(jī)構(gòu)聯(lián)系客戶業(yè)務(wù)往來(lái)/合同關(guān)系服務(wù)和合同中要求和約定的信息安全內(nèi)容合同要求更新周期合同供方合同關(guān)系合同中要求和約定的信息安全內(nèi)容合同要求更新周期合同管理層決策公司的信息安全管理工作公司信息安全策略公司重要的商業(yè)信息/敏感信息的保密性不定期定期不定期匯報(bào)、管理評(píng)審公司員工公司信息安全工作執(zhí)行層各職能部門實(shí)際工作中的信息安全要求個(gè)人信息及隱私安全不定期公司會(huì)議確定信息安全管理體系范圍本公司ISMS的范圍包括a)物理范圍:注冊(cè)地址:。運(yùn)營(yíng)地址:。b)業(yè)務(wù)范圍:。c)組織范圍:公司管理層、管理運(yùn)營(yíng)部、人力資源部、采購(gòu)部、財(cái)務(wù)部、安全質(zhì)量部、信息化中心。d)資產(chǎn)范圍:與所述業(yè)務(wù)活動(dòng)、組織范圍內(nèi)及物理環(huán)境內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)、文檔、人員及支持性服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段。信息安全管理體系本公司按照信息安全管理體系標(biāo)準(zhǔn)的要求建立一個(gè)文件化的信息安全管理體系。同時(shí)考慮該體系的實(shí)施、維持、持續(xù)改善,確保其有效性。ISMS體系所涉及的過(guò)程基于PDCA模式。5、領(lǐng)導(dǎo)領(lǐng)導(dǎo)和承諾總經(jīng)理應(yīng)通過(guò)以下方式證明信息安全管理體系要求的領(lǐng)導(dǎo)力和承諾:確保信息安全策略和信息安全目標(biāo)已建立,并與公司戰(zhàn)略方向一致;確保將信息安全管理體系要求要求融合到日常管理過(guò)程中;確保信息安全管理體系要求所需資源可用;向公司內(nèi)部傳達(dá)有效的信息安全管理及符合信息安全管理體系要求要求的重要性;確保信息安全管理體系要求達(dá)到預(yù)期結(jié)果;指導(dǎo)并支持相關(guān)人員為信息安全管理體系要求有效性做出貢獻(xiàn);促進(jìn)持續(xù)改進(jìn);支持管理運(yùn)營(yíng)部及各部門的負(fù)責(zé)人,在其職責(zé)范圍內(nèi)展現(xiàn)領(lǐng)導(dǎo)力。方針公司管理層應(yīng)建立信息安全方針:適合組織的宗旨;包括信息安全目標(biāo)(6.2),或?yàn)榻⑿畔踩繕?biāo)提供框架;包括滿足有關(guān)信息安全適當(dāng)要求的承諾;ISMS承諾公司的信息安全管理方針:預(yù)防為主,完善管理,持續(xù)改進(jìn),保證安全。對(duì)于信息安全方針的解釋:將管理與技術(shù)相結(jié)合,建立完整的信息安全管理體系要求。安全管理的基本原理,防患于未然,預(yù)防大于亡羊補(bǔ)牢;采用適宜的、充分的、有效的控制措施來(lái)糾正和預(yù)防信息安全事態(tài)??刂骑L(fēng)險(xiǎn)是前提,風(fēng)險(xiǎn)自身是動(dòng)態(tài)的過(guò)程。本公司在運(yùn)行過(guò)程中需要審時(shí)度勢(shì)、量體裁衣、因地制應(yīng),逐步的修訂現(xiàn)有制度,不停的完善自身管理水平。上述方針的批準(zhǔn)、發(fā)布及修訂由公司總經(jīng)理負(fù)責(zé);信息安全方針是以文檔化的身份可用的,通過(guò)培、宣貫等方式使得本公司員工知曉并執(zhí)行相關(guān)內(nèi)容;通過(guò)有效途徑告知服務(wù)相關(guān)方及客戶,以提高安全保密意識(shí)及服務(wù)水平;并定期通過(guò)《管理評(píng)審控制程序》評(píng)審其適用性、充分性,必要時(shí)予以修訂。組織的角色,責(zé)任和權(quán)限公司管理層決定全公司的組織機(jī)構(gòu)和各部門的職責(zé)(包括信息安全職責(zé)),并形成文件,具體內(nèi)容見(jiàn)附錄3/4。各部門的信息安全管理職責(zé)決定本部門組織形式和業(yè)務(wù)分擔(dān),并形成文件,具體內(nèi)容見(jiàn)附錄B職能分配表??偨?jīng)理為本公司信息安全的最高責(zé)任者。各部門/項(xiàng)目組負(fù)責(zé)人為本部門/項(xiàng)目組信息安全管理責(zé)任者,全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全保密義務(wù)。各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全目標(biāo)、控制措施(包括安全運(yùn)行的各種控制程序)的要求實(shí)施信息安全控制措施。6、規(guī)劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施總則統(tǒng)、數(shù)據(jù)/文檔、硬件/設(shè)施、人力資源及外包服務(wù)。對(duì)每一項(xiàng)信息資產(chǎn),根據(jù)信息資產(chǎn)判斷依據(jù)確定信息資產(chǎn)的重要性等級(jí)并對(duì)其重要度賦值。管理運(yùn)營(yíng)部制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序,經(jīng)管理運(yùn)營(yíng)部組長(zhǎng)批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容見(jiàn)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》。信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的系統(tǒng)方法管理運(yùn)營(yíng)部制定信息安全風(fēng)險(xiǎn)評(píng)估管理程序,經(jīng)管理者代表審核,總經(jīng)理批準(zhǔn)后組織實(shí)施。風(fēng)險(xiǎn)評(píng)估管理程序包括可接受風(fēng)險(xiǎn)準(zhǔn)則和可接受水平。該程序的詳細(xì)內(nèi)容適用于《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》。資產(chǎn)識(shí)別ISMS范圍內(nèi),對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括軟件/系統(tǒng)、數(shù)據(jù)/文檔、硬件/評(píng)估風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處理方法的識(shí)別與評(píng)價(jià)管理運(yùn)營(yíng)部應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形成《風(fēng)險(xiǎn)處理計(jì)劃》,該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧翰捎眠m當(dāng)?shù)膬?nèi)部控制措施;接受某些風(fēng)險(xiǎn)(不可能將所有風(fēng)險(xiǎn)降低為零);回避某些風(fēng)險(xiǎn)(如物理隔離);轉(zhuǎn)移某些風(fēng)險(xiǎn)(如將風(fēng)險(xiǎn)轉(zhuǎn)移給保險(xiǎn)者、供方、分包商)。選擇控制目標(biāo)與控制措施管理運(yùn)營(yíng)部根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果,組織有關(guān)部門制定信息安全目標(biāo)。信息安全目標(biāo)應(yīng)獲得總經(jīng)理的批準(zhǔn)??刂颇繕?biāo)及控制措施的選擇原則來(lái)源于附錄A。本公司根據(jù)信息安全管理的需要,可以選擇標(biāo)準(zhǔn)之外的其他控制措施。SOA管理運(yùn)營(yíng)部編制《信息安全適用性聲明》(SOA)。該聲明包括以下方面的內(nèi)容:所選擇控制目標(biāo)與控制措施的概要描述;ISO/IECFDIS27001:2022A中未選用的控制目標(biāo)及控制措施理由的說(shuō)明。殘余風(fēng)險(xiǎn)對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)應(yīng)形成《殘余風(fēng)險(xiǎn)評(píng)估報(bào)告》并得到總經(jīng)理的批準(zhǔn)。管理運(yùn)營(yíng)部應(yīng)保留信息安全風(fēng)險(xiǎn)處置過(guò)程的文件化信息。信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃根據(jù)公司的信息安全方針,經(jīng)過(guò)總經(jīng)理確認(rèn)。公司的信息安全管理目標(biāo)為:受控信息泄露的事態(tài)發(fā)生≤1起;顧客保密性投訴的次數(shù)每年不超過(guò)1起;信息安全培訓(xùn)率≥99%;信息安全事件導(dǎo)致的故障/事態(tài)未能在規(guī)定時(shí)間內(nèi)恢復(fù)的次數(shù)≤0起/年管理運(yùn)營(yíng)部根據(jù)《適用性聲明》、《信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估表》中風(fēng)險(xiǎn)處理計(jì)劃所選擇的控制措施,明確控制措施改進(jìn)時(shí)間表。對(duì)于各部門信息安全目標(biāo)的完成情況,按照《信息安全目標(biāo)及有效性測(cè)量程序》的要求,周期性在主責(zé)部門對(duì)各控制措施的目標(biāo)進(jìn)行測(cè)量,并記錄測(cè)量的結(jié)果。通過(guò)定期的內(nèi)審、控制措施目標(biāo)測(cè)量及管理評(píng)審活動(dòng)評(píng)價(jià)公司信息安全目標(biāo)的完成情況。變更管理當(dāng)公司確定需要對(duì)信息安全管理體系進(jìn)行變更時(shí),應(yīng)以策劃的方式進(jìn)行。7、支持資源總經(jīng)理負(fù)責(zé)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系所需的資源。能力人力資源部應(yīng):確定公司全體員工影響公司信息安全績(jī)效的必要能力;確保上述人員在適當(dāng)?shù)慕逃⑴嘤?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作;適用時(shí),采取措施以獲得必要的能力,并評(píng)估所采取措施的有效性;保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注:適用的措施可包括,對(duì)新入職員工進(jìn)行的信息安全意識(shí)教育;定期對(duì)公司員工進(jìn)行的業(yè)務(wù)實(shí)施過(guò)程中的信息安全管理相關(guān)的培訓(xùn)等。意識(shí)公司全體員工應(yīng)了解:公司的信息安全方針;個(gè)人其對(duì)公司信息安全管理體系有效性的貢獻(xiàn),包括改進(jìn)信息安全績(jī)效帶來(lái)的益處;不符合信息安全管理體系要求要求帶來(lái)的影響。溝通管理運(yùn)營(yíng)部負(fù)責(zé)確定與信息安全管理體系要求相關(guān)的內(nèi)部和外部的溝通需求,包括:溝通對(duì)象溝通機(jī)制與形式溝通內(nèi)容溝通頻率溝通責(zé)任部門信息安全注意事項(xiàng)政府職能單位文件通知下發(fā)落實(shí)國(guó)家法律法規(guī)要求按需管理運(yùn)營(yíng)部信息及時(shí)溝通客戶客戶滿意度調(diào)查改善服務(wù),提升客戶滿意度客戶對(duì)信息安全的要求信息安全相關(guān)情況及問(wèn)題溝通信息安全事件上報(bào)定期發(fā)生時(shí)管理運(yùn)營(yíng)部安全質(zhì)量部信息保密性員工公司例會(huì)/信息安全意識(shí)培訓(xùn)信息安全目標(biāo)和方針信息安全制度要求信息安全職責(zé)信息安全意識(shí)調(diào)查不定期人力資源部個(gè)人信息保密性供方供應(yīng)商評(píng)價(jià)項(xiàng)目合作郵件往來(lái)電話咨詢供應(yīng)商服務(wù)評(píng)價(jià)公司信息安全要求信息安全事件響應(yīng)和處理定期采購(gòu)部信息化中心客戶信息不得泄露文件化信息總則公司的信息安全管理體系應(yīng)包括:本標(biāo)準(zhǔn)要求的文件化信息;管理運(yùn)營(yíng)部確保信息安全管理體系的有效運(yùn)行,需編制《文件控制程序》用以管理公司信息安全管理體系的相關(guān)文件。創(chuàng)建和更新創(chuàng)建和更新文件化信息時(shí),管理運(yùn)營(yíng)部應(yīng)確保適當(dāng)?shù)模簶?biāo)識(shí)和描述(例如標(biāo)題、日期、作者或編號(hào));格式(例如語(yǔ)言、軟件版本、圖表)和介質(zhì)(例如紙質(zhì)、電子介質(zhì));對(duì)適宜性和充分性的評(píng)審和批準(zhǔn)。文件化信息的控制信息安全管理體系要求及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)予以控制,以確保:在需要的地點(diǎn)和時(shí)間,是可用和適宜的;得到充分的保護(hù)(如避免保密性損失、不恰當(dāng)使用、完整性損失等)。為控制文件化信息,適用時(shí),科技規(guī)劃部應(yīng)開(kāi)展以下活動(dòng):分發(fā),訪問(wèn),檢索和使用;存儲(chǔ)和保護(hù),包括保持可讀性;控制變更(例如版本控制);保留和處置。8、運(yùn)行運(yùn)行規(guī)劃和控制為確保ISMS有效實(shí)施,對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理,本公司開(kāi)展以下活動(dòng):形成《信息安全風(fēng)險(xiǎn)處理計(jì)劃》,以確定適當(dāng)?shù)墓芾泶胧?、職?zé)及安全保密控制措施的優(yōu)先級(jí),應(yīng)特別注意公司外包過(guò)程的確定和控制;對(duì)于系統(tǒng)集成服務(wù)項(xiàng)目,項(xiàng)目經(jīng)理應(yīng)在項(xiàng)目策劃階段識(shí)別所面臨的信息安全風(fēng)險(xiǎn),并在項(xiàng)目全過(guò)程中對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行監(jiān)控和更新。為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃,明確各崗位的信息安全職責(zé);實(shí)施所選擇的控制措施,以實(shí)現(xiàn)控制目標(biāo)的要求;進(jìn)行信息安全培訓(xùn),提高全員信息安全意識(shí)和能力;對(duì)信息安全體系的運(yùn)作進(jìn)行管理,控制計(jì)劃了的變更,評(píng)審非預(yù)期變更的后果,必要時(shí)采取措施減緩負(fù)面影響;對(duì)信息安全所需資源進(jìn)行管理;實(shí)施控制程序,對(duì)信息安全事故(或事件)進(jìn)行迅速反應(yīng)??偨?jīng)理為本公司信息安全最高責(zé)任者。管理運(yùn)營(yíng)部制定全公司的組織機(jī)構(gòu)和各部門的職責(zé)(包括信息安全職責(zé)),并形成文件。管理運(yùn)營(yíng)部成員負(fù)責(zé)完成信息安全管理體系運(yùn)行時(shí)必須的任務(wù);對(duì)信息安全管理體系的運(yùn)行情況和必要的改善措施向總經(jīng)理報(bào)告。各部門負(fù)責(zé)人作為本部門信息安全的主要責(zé)任人,信息安全內(nèi)審員負(fù)責(zé)指導(dǎo)和監(jiān)督本部門信息安全管理體系要求的運(yùn)行與實(shí)施,并形成文件;全體員工都應(yīng)按保密承諾的要求自覺(jué)履行信息安全義務(wù)。各部門應(yīng)按照《信息安全適用性聲明》中規(guī)定的安全保密目標(biāo)、控制措施(包括安全保密運(yùn)行的各種控制程序)的要求實(shí)施信息安全控制措施。管理運(yùn)營(yíng)部應(yīng)對(duì)滿足信息安全要求及實(shí)施6.1中確定的措施所需的過(guò)程予以規(guī)劃、實(shí)施和控制,同時(shí)應(yīng)實(shí)施計(jì)劃以實(shí)現(xiàn)6.2中確定的信息安全目標(biāo)。管理運(yùn)營(yíng)部應(yīng)保持文件化信息達(dá)到必要的程度,以確信過(guò)程按計(jì)劃得到執(zhí)行。管理運(yùn)營(yíng)部應(yīng)控制計(jì)劃內(nèi)的變更并評(píng)審非預(yù)期變更的后果,必要時(shí)采取措施減輕負(fù)面影響。各部門確定本部門業(yè)務(wù)過(guò)程中的外部提供的過(guò)程、產(chǎn)品和服務(wù),并對(duì)這些過(guò)程進(jìn)行必要的控制。信息安全風(fēng)險(xiǎn)評(píng)估公司按照組織《信息安全風(fēng)險(xiǎn)管理程序》的要求,每年定期或當(dāng)重大變更提出或發(fā)生時(shí),執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估。每次風(fēng)險(xiǎn)評(píng)估的過(guò)程均需形成記錄,并由管理運(yùn)營(yíng)部保留每次風(fēng)險(xiǎn)評(píng)估的記錄,如:風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃等。信息安全風(fēng)險(xiǎn)處置為確保ISMS有效實(shí)施,對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理,本公司開(kāi)展以下活動(dòng):形成《風(fēng)險(xiǎn)處理計(jì)劃》,以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全保密控制措施的優(yōu)先級(jí);為實(shí)現(xiàn)已確定的安全保密目標(biāo)、實(shí)施風(fēng)險(xiǎn)處理計(jì)劃,明確各崗位的信息安全職責(zé);實(shí)施所選擇的控制措施,以實(shí)現(xiàn)控制目標(biāo)的要求;進(jìn)行信息安全培訓(xùn),提高全員信息安全意識(shí)和能力;對(duì)信息安全體系的運(yùn)作進(jìn)行管理;對(duì)信息安全所需資源進(jìn)行管理;管理運(yùn)營(yíng)部負(fù)責(zé)組織相關(guān)人員,定期檢查風(fēng)險(xiǎn)處理計(jì)劃的執(zhí)行情況,并保留信息安全風(fēng)險(xiǎn)處置結(jié)果的文件化信息。9、績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)本公司通過(guò)實(shí)施定期的控制措施實(shí)施有效性檢查、事故報(bào)告調(diào)查處理、電子監(jiān)控、技術(shù)檢查等檢查方式檢查信息安全管理體系運(yùn)行的情況,并報(bào)告結(jié)果以實(shí)現(xiàn):及時(shí)發(fā)現(xiàn)信息安全體系的事故和隱患;及時(shí)了解信息處理系統(tǒng)遭受的各類攻擊;使管理者掌握信息安全活動(dòng)是否有效,并根據(jù)優(yōu)先級(jí)別確定所要采取的措施;積累信息安全方面的經(jīng)驗(yàn)。按照計(jì)劃的時(shí)間間隔(不超過(guò)一年)進(jìn)行ISMS內(nèi)部審核,內(nèi)部審核的具體要求,見(jiàn)本手冊(cè)9.2要求。根據(jù)控制措施有效性檢查和內(nèi)審檢查的結(jié)果以及來(lái)自相關(guān)方的建議和反饋,由最高責(zé)任者主持,每年對(duì)ISMS的有效性進(jìn)行評(píng)審,其中包括信息安全范圍、方針、目標(biāo)及控制措施有效性的評(píng)審。管理評(píng)審的具體要求,見(jiàn)本手冊(cè)9.3要求。管理者代表應(yīng)組織有關(guān)部門按照《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》的要求對(duì)風(fēng)險(xiǎn)處理后的殘余風(fēng)險(xiǎn)進(jìn)行定期評(píng)審,以驗(yàn)證殘余風(fēng)險(xiǎn)是否達(dá)到可接受的水平,對(duì)以下方面變更情況應(yīng)及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估:組織機(jī)構(gòu)發(fā)生重大變更;信息處理技術(shù)發(fā)生重大變更;公司業(yè)務(wù)目標(biāo)及流程發(fā)生重大變更;發(fā)現(xiàn)信息資產(chǎn)面臨重大威脅;外部環(huán)境,如法律法規(guī)或信息安全標(biāo)準(zhǔn)發(fā)生重大變更。保持上述活動(dòng)和措施的記錄。以上活動(dòng)的詳細(xì)程序規(guī)定于以下文件中:《監(jiān)視與測(cè)量管理程序》《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》《內(nèi)部審核管理程序》內(nèi)部審核內(nèi)部信息安全審核主要指內(nèi)部信息安全管理體系審核,其目的是驗(yàn)證公司信息安全管理體系運(yùn)行的符合性和有效性并不斷改進(jìn)和完善公司的信息技術(shù)-安全技術(shù)-信息安全管理體系要求。組織審核實(shí)施審核審核報(bào)告審核組長(zhǎng)應(yīng)在完成全部審核后,按規(guī)定格式編寫《內(nèi)部管理體系審核報(bào)告》提交管理運(yùn)營(yíng)部,經(jīng)其審閱后報(bào)管理者代表,《內(nèi)部管理體系審核報(bào)告》作為管理評(píng)審的輸入證據(jù)。糾正措施和跟蹤驗(yàn)證被審核部門經(jīng)理制定糾正措施,填寫在《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》中。糾正措施完成后后,應(yīng)將糾正措施完成情況填寫到《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》相應(yīng)欄內(nèi),然后將《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》交到審核組長(zhǎng)。審核組長(zhǎng)視具體情況通知審核組復(fù)查,跟蹤驗(yàn)證糾正措施實(shí)施情況,并將驗(yàn)證結(jié)果填寫在《內(nèi)審不合格項(xiàng)報(bào)告及糾正報(bào)告》中。審核記錄審核組長(zhǎng)應(yīng)收集所有內(nèi)部信息安全審核中發(fā)生的計(jì)劃通知、內(nèi)部審核檢查表、記錄、審核報(bào)告、總結(jié)等原始資料,整理后由管理運(yùn)營(yíng)部負(fù)責(zé)保管內(nèi)審相關(guān)記錄。管理評(píng)審總則總經(jīng)理為確認(rèn)信息安全管理體系的適宜性、充分性和有效性,每年對(duì)信息安全管理體系進(jìn)行一次全面評(píng)審。該管理評(píng)審應(yīng)包括對(duì)信息技術(shù)-安全技術(shù)-信息安全管理體系要求是否需改進(jìn)或變更的評(píng)價(jià),以及對(duì)信息安全方針和信息安全管理目標(biāo)的評(píng)價(jià)。管理評(píng)審的結(jié)果應(yīng)形成書面記錄,并至少保存3年,按照《文件控制程序》的要求進(jìn)行受控訪問(wèn)。管理評(píng)審的輸入在管理評(píng)審時(shí),管理運(yùn)營(yíng)部應(yīng)組織相關(guān)部門提供以下資料,供信息安全管理最高責(zé)任者和各部門負(fù)責(zé)人進(jìn)行評(píng)審:ISMS體系內(nèi)、外部審核的結(jié)果;相關(guān)方的反饋(投訴、抱怨、建議);可以用來(lái)改進(jìn)ISMS業(yè)績(jī)和有效性的新技術(shù)、產(chǎn)品或程序;信息安全目標(biāo)達(dá)成情況,糾正和預(yù)防措施的實(shí)施情況;信息安全事故或征兆,以往風(fēng)險(xiǎn)評(píng)估時(shí)未充分考慮到的薄弱點(diǎn)或威脅;上次管理評(píng)審時(shí)決定事項(xiàng)的實(shí)施情況;可能影響信息安全管理體系變更的事項(xiàng)(標(biāo)準(zhǔn)、法律法規(guī)、相關(guān)方要求);對(duì)信息安全管理體系改善的建議;有效性測(cè)量結(jié)果。管理評(píng)審的輸出信息安全管理最高責(zé)任者對(duì)以下事項(xiàng)做出必要的指示:信息安全管理體系有效性的改善事項(xiàng);信息安全方針適宜性的評(píng)價(jià);必要時(shí),對(duì)影響信息安全的控制流程進(jìn)行變更,以應(yīng)對(duì)包括以下變化的內(nèi)外部事件對(duì)信息安全體系的影響:業(yè)務(wù)發(fā)展要求;信息安全要求;業(yè)務(wù)流程;法律法規(guī)要求;風(fēng)險(xiǎn)水平/可接受風(fēng)險(xiǎn)水平。對(duì)資源的需求。以上內(nèi)容的詳細(xì)規(guī)定見(jiàn)《管理評(píng)審控制程序》。10、改進(jìn)持續(xù)改進(jìn)公司的持續(xù)改進(jìn)是信息安全管理體系得以持續(xù)保持其有效性的保證,公司在其信息管理體系安全方針、安全目標(biāo)、安全審核、監(jiān)視事態(tài)的分析、糾正措施以及管理評(píng)審方面都要持續(xù)改進(jìn)信息安全管理體系的有效性。本公司開(kāi)展以下活動(dòng),以確保ISMS的持續(xù)改進(jìn):實(shí)施每年管理評(píng)審、內(nèi)部審核、安全檢查等活動(dòng)以確定需改進(jìn)的項(xiàng)目;按照《內(nèi)部審核管理程序》、《糾正措施控制程序》的要求采取適當(dāng)?shù)募m正和預(yù)防措施;吸取其他組織及本公司安全事故的經(jīng)驗(yàn)教訓(xùn),不斷改進(jìn)安全措施的有效性;對(duì)信息安全目標(biāo)及分解進(jìn)行適當(dāng)?shù)墓芾恚_保改進(jìn)達(dá)到預(yù)期的效果;PAGE2434第頁(yè)共PAGE2434第頁(yè)共頁(yè)不符合和糾正措施對(duì)糾正措施的實(shí)施和驗(yàn)證規(guī)定以下步驟:識(shí)別不符合;確定不符合的原因;評(píng)價(jià)確保不符合不再發(fā)生的措施要求;確定和實(shí)施所需的糾正措施;記錄所采取措施的結(jié)果;評(píng)審所采取的糾正措施,將重大糾正措施提交管理評(píng)審討論。
附件1組織結(jié)構(gòu)圖附錄2職能分配表備注:★主責(zé)部門 ☆配合部門ISO/IEC27001:2022職能分配表部門管理層管理運(yùn)營(yíng)部安全質(zhì)量部人力資源部采購(gòu)部財(cái)務(wù)部信息化中心ISO27001標(biāo)準(zhǔn)要求4組織環(huán)境4.1理解組織及其環(huán)境▲△△△△△△4.2理解相關(guān)方的需求和期望▲△△△△△△4.3確定信息安全管理體系范圍▲△△△△△△4.4信息安全管理體系▲△△△△△△5領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾▲△△△△△△5.2方針▲△△△△△△5.3組織的角色,職責(zé)和權(quán)限▲△△△△△△6規(guī)劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施▲△△△△△△6.2信息安全目標(biāo)和實(shí)現(xiàn)規(guī)劃▲△△△△△△6.3變更的策劃▲△△△△△△7支持△△△△△△△7.1資源▲△△△△△△7.2能力△△△▲△△△7.3意識(shí)△△△▲△△△7.4溝通△△△▲△△△7.5文件化信息△▲△△△△△8運(yùn)行8.1運(yùn)行規(guī)劃和控制△△▲△△△△8.2信息安全風(fēng)險(xiǎn)評(píng)估△△▲△△△△8.3信息安全風(fēng)險(xiǎn)處置△△▲△△△△9績(jī)效評(píng)價(jià)9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)△△▲△△△△9.2內(nèi)部審核△△▲△△△△9.3管理評(píng)審▲△△△△△△10改進(jìn)10.1不符合及糾正措施△△▲△△△△10.2持續(xù)改進(jìn)▲△△△△△△A.5組織控制A.5.1信息安全的策略集▲△△△△△△A.5.2信息安全角色和職責(zé)▲△△△△△△A.5.3職責(zé)分離A.5.4管理者職責(zé)▲△△△△△△A.5.5與職能機(jī)構(gòu)的聯(lián)系△▲△△△△△A.5.6與特定相關(guān)方的聯(lián)系△▲△△△△△A.5.7威脅情報(bào)△△△△△△▲A.5.8項(xiàng)目管理中的信息安全△△△△△△▲A.5.9信息和其它相關(guān)資產(chǎn)清單△△△△△△▲A.5.10信息和其他相關(guān)資產(chǎn)的可接受使用△▲△△△△△A.5.11資產(chǎn)歸還△▲△△△△△A.5.12信息的分級(jí)△△△△△△▲A.5.13信息的標(biāo)記△△△△△△▲A.5.14信息傳輸△△△△△△▲A.5.15訪問(wèn)控制△△△△△△▲A.5.16身份管理△△△△△△▲A.5.17身份驗(yàn)證信息△△△△△△▲A.5.18訪問(wèn)權(quán)限△△△△△△▲A.5.19供應(yīng)商關(guān)系中的信息安全△△△△▲△△A.5.20在供應(yīng)商協(xié)議中的強(qiáng)調(diào)信息安全△△△△▲△△A.5.21ICT供應(yīng)鏈的信息安全管理△△△△▲△△A.5.22供應(yīng)商服務(wù)的監(jiān)控、審查和變更管理△△△△▲△△A.5.23使用云服務(wù)的信息安全△△△△△△▲A.5.24信息安全事件管理策劃和準(zhǔn)備△△△△△△▲A.5.25信息安全事態(tài)的評(píng)估與決策△△△△△△▲A.5.26信息安全事件響應(yīng)△△△△△△▲A.5.27從信息安全事件中學(xué)習(xí)△△△△△△▲A.5.28證據(jù)收集△△△△△△▲A.5.29中斷期間的信息安全△△△△△△▲A.5.30ICT為業(yè)務(wù)連續(xù)性做好準(zhǔn)備△△△△△△▲A.5.31法律、法規(guī)、監(jiān)管和合同要求△▲△△△△△A.5.32知識(shí)產(chǎn)權(quán)△▲△△△△△A.5.33記錄的保護(hù)△▲△△△△△A.5.34隱私和個(gè)人可識(shí)別信息保護(hù)△△△△△△▲A.5.35信息安全獨(dú)立審核△△△△△△▲A.5.36信息安全策略、規(guī)程和標(biāo)準(zhǔn)合規(guī)△△△△△△▲A.5.37文件化的操作規(guī)程△▲△△△△△A.6人員控制A.6.1審查△△△▲△△△A.6.2任用條款及條件△△△▲△△△A.6.3信息安全意識(shí)、教育和培訓(xùn)△△△▲△△△A.6.4違規(guī)處理過(guò)程△△△▲△△△A.6.5任用終止或變更的責(zé)任△△△▲△△△A.6.6保密或不泄露協(xié)議△△△▲△△△A.6.7遠(yuǎn)程工作△△△△△△▲A.6.8報(bào)告信息安全事態(tài)△△△△△△▲A.7物理控制A.7.1物理安全邊界△▲△△△△△A.7.2物理入口△▲△△△△△A.7.3辦公室、房間和設(shè)施的安全△▲△△△△△A.7.4物理安全監(jiān)控△▲△△△△△A.7.5外部和環(huán)境威脅的安全防護(hù)△△△△△△▲A.7.6在安全區(qū)域工作△△△△△△▲A.7.7清理桌面和屏幕△△△△△△▲A.7.8設(shè)備選址和保護(hù)△△△△△△▲A.7.9組織場(chǎng)所外的資產(chǎn)安全△△△△△△▲A.7.10存儲(chǔ)介質(zhì)△▲△△△△△A.7.11支持性設(shè)施△▲△△△△△A.7.12布纜安全△▲△△△△△A.7.13設(shè)備維護(hù)△▲△△△△△A.7.14設(shè)備的安全處置或再利用△▲△△△△△A.8技術(shù)控制A.8.1用戶終端設(shè)備△△△△△△▲A.8.2特許訪問(wèn)權(quán)△△△△△△▲A.8.3信息訪問(wèn)限制△△△△△△▲A.8.4源代碼的訪問(wèn)△△△△△△▲A.8.5安全的身份驗(yàn)證△△△△△△▲A.8.6容量管理△△△△△△▲A.8.7惡意軟件防范△△△△△△▲A.8.8技術(shù)脆弱性管理△△△△△△▲A.8.9配置管理△△△△△△▲A.8.10信息刪除△△△△△△▲A.8.11數(shù)據(jù)屏蔽△△△△△△▲A.8.12數(shù)據(jù)泄露防護(hù)△△△△△△▲A.8.13信息備份△△△△△△▲A.8.14信息處理設(shè)施的冗余△△△△△△▲A.8.15記錄日志△△△△△△▲A.8.16監(jiān)控活動(dòng)△△△△△△▲A.8.17時(shí)鐘同步△△△△△△▲A.8.18特權(quán)實(shí)用程序的使用△△△△△△▲A.8.19在操作系統(tǒng)上安裝軟件△△△△△△▲A.8.20網(wǎng)絡(luò)安全△△△△△△▲A.8.21網(wǎng)絡(luò)服務(wù)的安全△△△△△△▲A.8.22網(wǎng)絡(luò)隔離△△△△△△▲A.8.23網(wǎng)頁(yè)過(guò)濾△△△△△△▲A.8.24加密技術(shù)的使用△△△△△△▲A.8.25安全開(kāi)發(fā)生命周期△△△△△△▲A.8.26應(yīng)用程序安全要求△△△△△△▲A.8.27安全系統(tǒng)架構(gòu)和工程原則△△△△△△▲A.8.28安全編碼△△△△△△▲A.8.29開(kāi)發(fā)和驗(yàn)收中的安全測(cè)試△△△△△△▲A.8.30外包開(kāi)發(fā)△△△△△△▲A.8.31開(kāi)發(fā)、測(cè)試和生產(chǎn)環(huán)境的分離△△△△△△▲A.8.32變更管理△△△△△△▲A.8.33測(cè)試信息△△△△△△▲A.8.34審計(jì)測(cè)試期間信息系統(tǒng)的保護(hù)△△△△△△▲附件3部門職責(zé)管理運(yùn)營(yíng)部:人力資源部:財(cái)務(wù)部:1、建立健全公司資產(chǎn)管理辦法、各項(xiàng)財(cái)務(wù)及資金管理、審計(jì)工作,各項(xiàng)資質(zhì)財(cái)務(wù)數(shù)據(jù)的編制、申報(bào)工作;2、叁與擬訂財(cái)務(wù)計(jì)劃,審核、分析、監(jiān)督預(yù)算和財(cái)務(wù)計(jì)劃的執(zhí)行情況;3、負(fù)責(zé)編制公司月度、年度會(huì)計(jì)報(bào)表、年度會(huì)計(jì)決算及附注說(shuō)明和利潤(rùn)分配核算工作。信息化中心:安全質(zhì)量部:負(fù)責(zé)公司安全保衛(wèi)、治安消防管理及公司工程質(zhì)量管理。采購(gòu)部:附件4信息安全職責(zé)說(shuō)明書序號(hào)單位/部門/角色信息安全職責(zé)1總經(jīng)理任命管理者代表,
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 農(nóng)村房屋協(xié)議轉(zhuǎn)讓協(xié)議書
- 醫(yī)療事故賠償協(xié)議內(nèi)容
- 《電機(jī)技術(shù)應(yīng)用》課件 2.2.4 異步電動(dòng)機(jī)的機(jī)械特性
- 中學(xué)課程實(shí)施方案(2024-2025學(xué)年)
- (2024)電子商務(wù)創(chuàng)業(yè)園項(xiàng)目可行性研究報(bào)告建議書(一)
- 2024年度個(gè)人年終工作總結(jié)范文三
- 【9上英RJ】亳州市利辛縣部分學(xué)校聯(lián)考2023-2024學(xué)年九年級(jí)上學(xué)期期末考試英語(yǔ)試題
- 2024秋新滬科版物理8年級(jí)上冊(cè)教學(xué)課件 第6章 熟悉而陌生的力 第2節(jié) 測(cè)量:用彈簧測(cè)力計(jì)測(cè)量力
- 2023年高收縮腈綸項(xiàng)目籌資方案
- 2023年柔印CTP項(xiàng)目籌資方案
- 2024年21起典型火災(zāi)案例及消防安全知識(shí)專題培訓(xùn)(消防月)
- DL-T 1476-2023 電力安全工器具預(yù)防性試驗(yàn)規(guī)程
- 砼路面拆除及恢復(fù)施工方案
- ApoE基因分型檢測(cè)
- 監(jiān)獄監(jiān)區(qū)年度工作總結(jié)
- 石灰窯烘爐及開(kāi)爐方案
- 復(fù)蘇囊的使用PPT
- (完整版)工業(yè)與民用配電設(shè)計(jì)手冊(cè)
- 教學(xué)論文】《自制教具應(yīng)用于初中物理有效教學(xué)的研究》課題研究報(bào)告【教師職稱評(píng)定】
- 安全生產(chǎn)工作者個(gè)人先進(jìn)事跡材料(word版本)
- 執(zhí)業(yè)藥師注冊(cè)委托書.doc
評(píng)論
0/150
提交評(píng)論