信息安全管理手冊

編號XX-ISMS-01編號XX-ISMS-01版本A/0密級內部限制受控是信息安全治理手冊生效日期 核準 審查 制訂修改記錄序號 修改緣由 修改內容 修改人/時間 批準人/時間 備注、信息安全治理手冊公布令、治理者代表任命書、公司簡介、信息安全方針1、范圍2、引用標準3、術語和定義組織環(huán)境理解相關方的需求和期望明確信息安全治理體系的范圍信息安全治理體系5、領導領導和承諾方針組織角色、職責和權力6、打算處置風險和機遇信息安全目標的打算和實現(xiàn)7、支持溝通文檔要求8、實施運行打算和掌握信息安全風險評估信息安全風險處置9、績效評價監(jiān)視、測量、分析和評價內部審核治理評審10、改進不符合項和訂正措施持續(xù)改進附件：附件一：信息安全職能安排表附件二：信息安全職責附件三：信息安全治理體系程序文件清單附件四：信息安全治理體系作業(yè)指導書文件清單信息安全治理手冊公布令為提高江蘇XXXX活動，防止由于信息系統(tǒng)的中斷、數(shù)據(jù)的喪失、敏感信息的泄密所導致的業(yè)務中斷或安全事故，公司開展貫徹ISO/IEC27001:2013《信息技術-安全技術-信息安全治理體系XXXX〔以下簡稱手冊。本手冊是企業(yè)的法規(guī)性文件，是指導企業(yè)建立并實施信息安全治理體系的綱領和行動準則，用于貫徹企業(yè)的信息安全治理方針、治理目標，實現(xiàn)信息安全治理體系有效運行、持續(xù)改進，是江蘇XXXX全體職工必需嚴格依據(jù)手冊的要求，自覺執(zhí)行治理方針，貫徹實施本手冊的各項規(guī)定，努力實現(xiàn)江蘇XXXX本手冊自公布之日起生效執(zhí)行。江蘇XXXX二〇一六年三月一日治理者代表任命書茲委任代表。

XXXXISO27001他將履行以下職責及權限：1ISO27001和維持，確保公司的信息安全治理體系運作符合信息安全治理體系標準；234總經(jīng)理：日期：二〇一六年三月一日公司組織架構如以下圖所示：

、公司簡介總經(jīng)理治理者代表 信息安全委員銷 技 研 綜 財售 術 發(fā) 合 務部 部 部 部 部信息安全方針信息安全方針含義:依據(jù)本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險承受準則。定期進展風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)在日常企業(yè)生產(chǎn)和治理中，對信息安全予以重視，全面識別和分析全部信息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點、可能存在的威逼，考慮本錢、利益、風險的綜合平衡，對資產(chǎn)進展分類保護，以適宜的本錢到達系統(tǒng)保護的要求。建立健全信息安全監(jiān)視和保證體系，明確各級、各崗位的信息安全責任，以人為本，堅持全員、全方位、全過程信息安全治理。通過測量和監(jiān)控，持續(xù)改進，保證信息安全治理體系的有效運行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營、治理和效勞的持續(xù)和安全，實現(xiàn)企業(yè)進展目標。、信息安全目標：本公司信息安全目標：1)安全大事發(fā)生次數(shù)：4/年；一8/年。2)信息泄密次數(shù)：保證各種需要保密的資料〔包括電子文檔、光盤等〕不被泄密，確保隱秘、機密信息不泄漏給非授權人員。信息泄密次數(shù)目標值：0/年各部門信息安全目標：部門 部門信息安全目標 統(tǒng)計方式 、人員聘請手續(xù)辦理完100%；、人員教育或培訓實施100%；、人員離職手續(xù)辦理完100%；、辦公環(huán)境消防設施配100%；、辦公環(huán)境消防設施點100%；綜合部6、每年至少組織實施完資料齊全；7、每年至少組織實施完1審，且資料齊全；息安全體系文件評審及更；、每年至少組織實施完11、網(wǎng)絡非正常中斷每月

1、查看全部員工入職手續(xù)辦理狀況；2、查看培訓打算及培訓實施狀況；3、查看實際人員離職及手續(xù)辦理狀況；4、現(xiàn)場檢查辦公環(huán)境消防器材配備狀況；；7進，準時整理信息安全內審資料； 8依據(jù)信息安全治理評審打算執(zhí)行評審料；評審，必要時進展更；、每年組織各相關部門進展風險評估風險評估。門

≤1、主機系統(tǒng)非正常中斷每月≤1重要文檔及數(shù)據(jù)被正確0

1、以每月的網(wǎng)絡中斷大事為依據(jù) 每半2、以每月的主機系統(tǒng)中斷大事為依據(jù) 年每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機密信息泄每年露相關大事。1、范圍總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全治理體系〔簡稱ISMS，確定信息安全方針和目標，對信息安全風險進展有效治理，確保全體員工理解并遵照執(zhí)行信息安全治理體系文件、持續(xù)改進信息安全治理體系的有效性，特制定本手冊。應用本信息安全治理手冊規(guī)定了江蘇XXXX、治理職責、內部審核、治理評審和體系持續(xù)改進等方面內容。ISO/IEC27001:2013A的刪減見《適用性聲明SoA2、標準性引用文件ISO/IEC27001:2013《信息技術-安全技術-信息安全治理體系要求》ISO/IEC27002:2013《信息技術-安全技術-信息安全治理實施細則》3、術語和定義ISO/IEC27001:2013《信息技術-安全技術-信息安全治理體系要求》、ISO/IEC27002:2013《信息技術-安全技術-信息安全治理實施細則》規(guī)定的術語和定義適用本組織、本公司、我司：指江蘇XXXX4、信息安全治理體系組織環(huán)境組織外部環(huán)境包括如下幾個方面，但并不局限于此：——文化、政治、法律、規(guī)章、金融、技術、經(jīng)濟、自然環(huán)境以及競爭環(huán)境，無論是國際、國內、區(qū)域或地方；——影響組織目標的主要驅動因素和進展趨勢；——外部利益相關者的觀點和價值觀。組織內部環(huán)境包括如下幾個方面，但并不局限于此：——資源與學問的理解力量〔如：資本、時間、人力、流程、系統(tǒng)和技術；——信息系統(tǒng)、信息流淌以及決策過程〔包括正式和非正式的；——內部利益相關者；——政策，為實現(xiàn)的目標及戰(zhàn)略；——觀念、價值觀、文化；——組織通過的標準以及參考模型；以上相關因素將影響公司實現(xiàn)信息安全治理體系的預期成果。理解相關方的需求和期望與本公司信息安全治理體系有關的相關方有：供方、合同方、顧客及其他第三方訪問者。定的義務。本公司信息安全治理體系的范圍和邊界本公司依據(jù)業(yè)務特征、組織構造、地理位置、資產(chǎn)和技術定義了范圍和邊界，本公司信息安全治理體系的范圍包括：。。信息系統(tǒng)范圍：所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)；組織范圍：與所述業(yè)務有關的部門和全部員工；。本公司依據(jù)ISO/IEC27001:2013《信息技術-安全技術-信息安全治理體系-要求》實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全治理體系。5領導領導和承諾本公司通過以下行動證明公司實施了與信息安全治理體系有關的領導工作與承諾：確保建立與組織戰(zhàn)略目標全都的信息安全方針和信息安全目標；確保信息安全治理體系要求集成到組織的治理流程；確保供給信息安全治理體系需要的各項資源；傳達信息安全治理的重要性及信息安全治理體系要求；確保信息安全治理體系實現(xiàn)其預期目標；指導和支持信息安全團隊；促使持續(xù)改進；支持其他相關的治理者在其職責范圍內履行治理職責。方針為了滿足適用法律法規(guī)及相關方要求，維持公司經(jīng)營和治理的正常進展，實現(xiàn)業(yè)務可持續(xù)進展的目的。本公司依據(jù)組織的業(yè)務特征、組織構造、地理位置、資產(chǎn)和技術定ISMS為信息安全目標建立了框架，并為信息安全活動建立整體的方向和原則；考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務；與組織戰(zhàn)略和風險治理相全都的環(huán)境下，建立和保持ISMS；建立了風險評價的準則；經(jīng)最高治理者批準。組織角色、職責和權力本公司成立了由最高治理者、治理者代表及各部門負責人組成的信息安全委員會，其職責是實現(xiàn)信息安全治理體系方針和本公司承諾，負責制訂、落實信息安全治理工作打算，建立健全企業(yè)的信息安全治理體系，保持其有效、持續(xù)運行。本公司實行相關部門代表組成的運行分析會議的方式，進展信息安全協(xié)調和協(xié)作，以：確保安全活動的執(zhí)行符合信息安全方針；確定怎樣處理不符合；批準信息安全的方法和過程，如風險評估、信息分類；信息安全職責和權限本公司總經(jīng)理為信息安全最高治理者，對信息安全全面負責，主要包括：a)組織制定信息安全方針及目標，任命治理者代表，明確治理者代表的職責和權限。b〕確保在內部傳達滿足客戶、法律法規(guī)和公司信息安全治理要求的重要性。c〕為信息安全治理體系配備必要的資源。履行信息安全保密義務；各部門有關信息安全職責安排見《信息安全治理職能安排表各部門應依據(jù)《信息安全適用性聲明》中規(guī)定的安全目標、掌握措施〔包括安全運行的各種掌握程序〕的要求實施信息安全掌握措施。處置風險和機遇需求和，來打算需要被處置的風險和機遇：確保信息安全治理體系可以實現(xiàn)其預期目標；避開或削減不良影響；實現(xiàn)持續(xù)改進。公司對以下方面進展規(guī)劃：處置風險和機遇的行動；如何將實施行動整合到信息安全治理體系流程中；評價行動的有效性。經(jīng)識別的業(yè)務信息安全、法律和法規(guī)要求的風險評估方法，建立承受風險的準則并識別結果。2.風險評估流程圖。公司實施信息安全風險評估流程，從而：建立和維護信息安全風險標準，包括：風險承受標準；實施信息安全風險評估的標準；確保信息安全風險評估活動產(chǎn)生全都性，產(chǎn)生有效的和可比較的結果；識別信息安全風險：在信息安全治理體系范圍內，通過信息安全風險評估流程，識別由于信息的機密性、完整性和可用性的喪失帶來的風險；識別風險的屬主；分析信息安全風險：評估在信息安全風險評估中識別的風險產(chǎn)生的潛在后果；評估在信息安全風險評估中識別的風險轉化為大事的可能性；確定風險的等級；評價信息安全風險：將風險分析結果與在信息安全風險評估中所定義的風險標準進展比較；依據(jù)風險等級確定風險處置的優(yōu)先級。組織保存有關信息安全風險評估的過程文檔。信息安全風險處置負責人、處理方法及起始、完成時間。對于信息安全風險，應考慮掌握措施與費用的平衡原則，選用以下適當?shù)拇胧篴)承受適當?shù)膬炔空莆沾胧?；b)承受風險〔不行能將全部風險降低為零c)避開風險〔如物理隔離；d)轉移風險〔如將風險轉移給保險者、供方、分包商。掌握目標及掌握措施的選擇原則來源于ISO/IEC27001:2013A，具體掌握措施參考ISO/IEC27002:2013《信息技術-安全技術-信息安全治理有用規(guī)章》組織保存信息安全風險處置的過程文檔。信息安全目標的打算和實現(xiàn)本公司建立不同職能及層級的信息安全目標。詳見本手冊章內容。此信息安全目標應：與信息安全方針全都；可度量〔假設可操作；考慮適用的信息安全要求,以及風險評估和風險處置結果；得到溝通；準時更。信息安全目標以文檔化形式保存。在規(guī)劃如何實現(xiàn)信息安全目標時，公司明確：要做什么；需要什么資源；誰來負責；什么時候完成；如何評價結果。資源本公司確定并供給實施、保持信息安全治理體系所需資源；實行適當措施，使影響信息安全治理體系工作的員工的力量是勝任的，以保證：建立、實施、運作、監(jiān)視、評審、保持和改進信息安全治理體系；確保信息安全程序支持業(yè)務要求；識別并指出法律法規(guī)要求和合同安全責任；通過正確應用所實施的全部掌握來保持充分的安全；必要時進展評審，并對評審的結果實行適當措施；需要時，改進信息安全治理體系的有效性。力量公司制定并實施《人力資源安全治理程序》文件，確保被安排信息安全治理體系規(guī)定職責的全部人員，都必需有力量執(zhí)行所要求的任務?？梢酝ㄟ^：確定擔當信息安全治理體系各工作崗位的職工所必要的力量；供給職業(yè)技術教育和技能培訓或實行其他的措施來滿足這些需求；c)評價所實行措施的有效性；d)保存教育、培訓、技能、閱歷和資格的記錄。本公司還確保全部相關人員意識到其所從事的信息安全活動的相關性和重要性，以及如何為實現(xiàn)信息安全治理體系目標做出奉獻。意識公司員工應理解：信息安全方針；個人對于實現(xiàn)信息安全治理的重要性，提高組織信息安全績效的收益；不符合信息安全治理體系要求所造成的影響。溝通公司制定《信息溝通協(xié)調治理標準通需求，包括：溝通什么；何時溝通；和誰溝通；誰應當溝通；哪種溝通過程有效。文檔要求綜述組織的信息安全治理體系包括：符合ISO/IEC27001:2013規(guī)定、作業(yè)指導書和為保證信息安全治理體系有效籌劃、運行和掌握所需的受控文件；組織所明確的，說明信息安全治理體系有效性的必要的記錄文檔。公司制定并實施《文件掌握程序確定：a〕識別和描述〔例如：標題、日期、作者和版本號；b〕格式〔例如：語言、軟件版本和圖形〕與介質〔例如：紙質、電子c〕適宜性和充分性經(jīng)過評審。公司制定并實施《文件掌握程序確保：a)在需要的時間和場合可用；b〕文檔得到充分保護〔例如：防止泄密、不當使用或喪失完整性。文檔掌握應保證：a)文件公布前得到批準，以確保文件是充分的；b)必要時對文件進展評審、更并再次批準；c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d)確保在使用時，可獲得相關文件的最版本；e)確保文件保持清楚、易于識別；確保文件可以為需要者所獲得，并依據(jù)適用于他們類別的程序進展轉移、存儲和最終的銷毀；確保外來文件得到識別；h)確保文件的分發(fā)得到掌握；防止作廢文件的非預期使用；假設因任何目的需保存作廢文件時，應對其進展適當?shù)臉俗R。實施運行打算和掌握為確保信息安全治理體系有效實施，對已識別的風險進展有效處理，本公司開展以下活動：b)為實現(xiàn)已確定的安全目標、實施《風險處理打算c)實施所選擇的掌握措施，以實現(xiàn)掌握目標的要求；確定如何測量所選擇的掌握措施的有效性，并規(guī)定這些測量措施如何用于評估掌握的有效性以得出可比較的、可重復的結果；進展信息安全培訓，提高全員信息安全意識和力量；f)對信息安全體系的運作進展治理；對信息安全所需資源進展治理；實施掌握程序，對信息安全事故〔或征兆〕進展快速反響。公司保存以上必要的過程文檔信息，以說明相關過程已依據(jù)打算執(zhí)行。掌握打算更改，并審核打算變更的影響，如有必要實行措施削減不利影響。確保外包過程受控。信息安全風險評估在已確定的信息安全治理體系范圍內，依據(jù)打算，或者在重大轉變提出或發(fā)生時進行信息安全風險評估，本公司執(zhí)行《信息安全風險評估掌握程序表識別，并識別這些資產(chǎn)的全部者。資產(chǎn)包括硬件與設施、軟件與系統(tǒng)、數(shù)據(jù)與文檔、效勞及人力資源。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、法律法規(guī)符合性要求進展了量化賦值，形成《資產(chǎn)清單同時，依據(jù)《信息安全風險評估掌握程序用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造成的影響。本公司按《信息安全風險評估掌握程序針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導致的后果進展賦值；針對每一項威逼、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的掌握措施，判定安全失效發(fā)生的可能性，并進展賦值；依據(jù)《信息安全風險評估掌握程序》計算風險等級；依據(jù)《信息安全風險評估掌握程序》中的《風險承受準則需要處理。信息安全風險處置公司依據(jù)風險評估的結果，形成了《風險處理打算門、負責人、處理方法及起始、完成時間。公司依據(jù)打算進展了處置，并保持處置的記錄。對風險處理后的剩余風險，得到了治理者的批準?？冃гu價監(jiān)視、測量、分析和評價本公司通過實施《監(jiān)視、測量、分析和評價掌握程序》以監(jiān)視、測量、分析和評價公司信息安全治理狀況結果，以實現(xiàn)：準時覺察處理結果中的錯誤、信息安全體系的事故和隱患；準時了解識別失敗的和成功的安全破壞和大事、信息處理系統(tǒng)患病的各類攻擊；使治理者確認人工或自動執(zhí)行的安全活動到達預期的結果；使治理者把握信息安全活動和解決安全破壞所實行的措施是否有效；e)積存信息安全方面的閱歷；內部審核告結果和保持記錄的職責和要求。并依據(jù)籌劃的時間間隔〔兩次內部審核的間隔不得超12〕進展內部信息安全治理體系審核，以確定其信息安全治理體系的掌握目標、掌握措施、過程和程序是否：符合本標準的要求和相關法律法規(guī)的要求；符合已識別的信息安全要求；得到有效地實施和維護；按預期執(zhí)行。內部審核的過程文檔應清楚地形成記錄，并加以保持。治理評審公司建立并實施《治理評審掌握程序的時間間隔〔兩次治理評審的間隔不得超過12〕評審信息安全治理體系，以確保其持續(xù)的適宜性、充分性和有效性。治理評審應包括評價信息安全治理體系改進的時機和變更的需要，包括安全方針和安全目標。治理評審的結果應清楚地形成文件，記錄應加以保持。改進不符合和訂正措施公司建立并實施《訂正與預防掌握程序對不符合狀況實行措施，如：實行措施，以掌握和改正它；處置影響；明確必要的掌握措施，以消退不符合狀況產(chǎn)生的緣由，確保它不會再發(fā)生或在其評審不符合項；明確不符合項產(chǎn)生的緣由；明確是否存在或可能發(fā)生類似的不符合項；實行必要的措施；評審已實行的改正措施的有效性；必要時改進信息安全治理體系。據(jù)：不符合狀況的性質和所實行的后續(xù)行動；訂正措施的結果。持續(xù)改進本公司通過使用信息安全方針、信息安全目標、審核結果、監(jiān)控大事的分析、訂正和預防措施以及治理評審，不斷完善信息安全治理體系的適宜性、充分性和有效性。附件一：信息安全職能安排表〔注：附件一：信息安全職能安排表〔注：〕：治理單位信息安全治理者總經(jīng)理 研發(fā)部技術部財務部銷售部體系要求 委員會 代表4.組織環(huán)境理解組織及其環(huán)境▲▲△△△△△△理解相關方的需求和期望▲▲△△△△△△明確信息安全治理體系的范圍▲▲▲△△△△△信息安全治理體系▲△▲△△△△△5領導領導和承諾△▲△△△△△△方針△▲△△△△△△組織角色、職責和權力6打算△▲△△△△△△處置風險和機遇▲▲△△▲△△△信息安全目標的打算和實現(xiàn)▲△△△△△△△7支持資源△▲△△△△△△力量△△△▲△△△△意識△△△▲△△△△溝通▲▲▲△△△△△文檔要求8實施△△△▲△△△△運行打算和掌握▲△△△▲△△△信息安全風險評估▲△△△▲△△△信息安全風險處置9績效評價▲△△△▲△△△監(jiān)視、測量、分析和評價▲△△△△△△△內部審核△△▲△△△△△治理評審10改進△▲△△△△△△不符合項和訂正措施△△△▲△△△△持續(xù)改進△△△▲△△△△信息安全方針信息安全治理指引▲△▲△△△△△信息安全組織內部組織▲△▲△△△△△移動設備和遠程辦公△△△△▲▲△△人力資源安全△任用前△△△▲△△△△任用中△△△▲△△△△任用終止和變更△△△▲△△△△資產(chǎn)治理資產(chǎn)的責任△△△▲▲▲▲▲信息分類▲△△▲△△△△介質處理△△△△△▲△△訪問掌握訪問掌握的業(yè)務需求△△△△△▲△△用戶訪問治理△△△△△▲△△用戶責任△△△△△▲△△系統(tǒng)和應用訪問掌握△△△△△▲△△加密技術加密掌握▲△△△△▲△△物理和環(huán)境安全安全區(qū)域△△△▲△△△△設備安全△△△▲△▲△△操作安全操作程序及職責△△△△▲△△△防范惡意軟件△△△△△▲△△備份△△△△△▲△△日志記錄和監(jiān)控△△△△△▲△△操作軟件的掌握△△△△△▲△△技術脆弱性治理△△△△△▲△△信息系統(tǒng)審計的考慮因素△△△△△▲△△通信安全網(wǎng)絡安全治理△△△△△▲△△信息傳輸△△△▲△▲△△系統(tǒng)的獵取、開發(fā)及維護信息系統(tǒng)安全需求△△△△▲△△△開發(fā)和支持過程的安全△△△△▲△△△測試數(shù)據(jù)△△△△▲△△△供給商關系供給商關系的信息安全△△△▲△△△△供給商效勞交付治理△△△▲△△△△信息安全大事治理信息安全大事的治理和改進△△△△▲△△△△△△△▲△△△△△△▲▲▲▲▲△△△▲▲▲▲▲△△△△▲△△△△△△△▲△△△△△△△▲△△△業(yè)務連續(xù)性治理中的信息安全△△△△▲△△△信息安全的連續(xù)性▲△△△△△△△冗余符合性▲△△△△△△△法律和合同規(guī)定的符合性△△△▲△△△△信息安全評審△△△▲△△△△附件二：信息安全職責序號 架構/部門

成員

成員及職能XXX、XX〔技術部、XX〔研發(fā)部、XXX〔綜合部、XX〔財務部〕信息安全 安全最高組織機構，負責公司整體信息安全治理工作，推動信息安全委員會 ；制定信息安全方針、信息安全治理目標；負責審核信息安全小組提交的信息安全治理體系、標準及治理方法；負責決策與信息安全治理相關的重大處理與改進；定期組織信息安全治理體系〔ISMS〕評審等。組織并制定信息安全方針策略。任命治理者代表，明確治理者代表的職責和權限。人綜合部研發(fā)部

確保在內部傳達滿足客戶、法律法規(guī)和公司信息安全治理要求的重要性。為信息安全治理體系配備必要的資源。主持治理評審。對信息安全全面負責。幫助最高治理者建立、實施、檢查、改進信息安全治理體系。運行。組織公司信息安全風險評估和風險治理。組織開展信息安全內部審核、安全檢查工作。負責向總經(jīng)理報告信息安全體系運行的業(yè)績和任何改進的需求。負責就信息安全治理體系有關事宜的對外聯(lián)絡。監(jiān)控信息安全大事和確保安全掌握措施得到執(zhí)行。負責公司信息安全方針、目標、政策在部門內部的有效執(zhí)行、監(jiān)視、檢查。參與公司信息安全工作的爭論和決策。的訂正預防措施進展審核和確認。負責治理和維護部門公布的信息安全治理體系相關文件。負責信息安全大事的調查及協(xié)調處理。做好本崗位信息安全相關的保密工作負責監(jiān)控信息安全治理體系的日常運行。負責信息安全治理體系文件的掌握。負責本公司信息安全治理體系的推行落實。負責公司員工聘請、聘用及離職全過程的安全治理。負責公司內部人事檔案等重要文件資料的安全管控。負責公司日常行政安全的治理。負責公司辦公環(huán)境的物理安全，包括人員及物品出入掌握、門禁治理等。負責公司業(yè)務相關的銷售治理。同、投標文件等重要文件的安全管控。負責公司及部門重要文件資料的安全管控。信息安全大事的報告及幫助處理。負責公司信息系統(tǒng)的安全規(guī)劃設計及實施。負責公司機房及軟硬件系統(tǒng)的安全運行維護。

全管控。負責信息安全大事的調查及協(xié)調處理。負責對公司客戶懇求的樂觀響應，妥當處理顧客的投訴等。信息安全大事的報告及幫助處理。做好本崗位信息安全相關的保密工作負責公司業(yè)務相關的銷售工作。負責本人接觸到的重要信息的安全保密管控，包括客戶信息、商務文檔、項銷售部 目合同、投標文件等重要文件的安全管控。信息安全大事的報告及幫助處理。做好本崗位信息安全相關的保密工作負責公司的財務治理工作。的重要信息的安全保密管控，包括財務憑證、財務報表、工資單財務部 等重要文件的安全管控。信息安全大事的報告及幫助處理。做好本崗位信息安全相關的保密工作負責公司信息系統(tǒng)建設及運行維護。師/網(wǎng)絡治理員

負責公司機房安全治理。負責公司各部門辦公電腦的維護及安全治理。按時記錄網(wǎng)絡機房運行日志信息安全大事的報告、響應及協(xié)調處理。做好本崗位信息安全相關的保密工作負責公司財務記帳、報帳、應收及應付、資產(chǎn)盤點等日常工作。負責本崗位的重要信息的安全保密管控，包括財務報表、各類憑證等重要文會計及出納 件的安全管控。信息安全大事的報告及幫助處理。做好本崗位信息安全相關的保密工作負責效勞工程的具體實施及治理。工程專員全部員工

打數(shù)據(jù)等重要數(shù)據(jù)的安全管控。信息安全大事的報告及幫助處理。做好本崗位信息安全相關的保密工作嚴格遵守國家及行業(yè)的法律法規(guī)和政策。嚴格遵守公司的各項信息安全政策。正確、安全的使用及保管公司及客戶的各類信息資產(chǎn)。樂觀參與信息安全教育與培訓，提高信息安全意識。信息安全大事的報告及幫助處理。附件三：信息安全治理體系程序文件清單序號附件三：信息安全治理體系程序文件清單序號文件名稱文件編號版本號制定/修訂制定部門備注1文件掌握程序XX-QP-01A/0日期綜合部受控文件