1、 ISMSPAGE 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China. 31/31保密等級級公開文檔名稱稱信息安全全管理手手冊文檔編號號ISMSS/Siinossoftt-h-01-20008發(fā)布組織織Sinoosofft信息息安全委委員會發(fā)布日期期20088年1月1日執(zhí)行日期期20088年1月1日版本號A1.00信息安全全管理手手冊批準人簽簽字審核人簽簽字制訂人簽簽字日期： 20008/11 /1日期：220088/1 /1日期：220088/1 /1南京擎天天科技有有限公司司Nanjjingg

2、Siinossoftt Teechnnoloogy Co., Lttd.變更履歷歷序號版本編號號或更改改記錄編編號變化狀態(tài)態(tài) *簡要說明明(變更內(nèi)內(nèi)容、變變更位置置、變更更原因和和變更范范圍)變更日期期變更人審核人批準人批準日期期1A1.00C創(chuàng)建，全全頁。20088/1/1許明星茅建平汪曉剛20088/1/1*變化狀狀態(tài)：CC創(chuàng)創(chuàng)建，AA增增加，MM修修改，DD刪刪除公司介紹紹南京擎天天科技有有限公司司(Nanjjingg Siinossoftt Teechnnoloogy Co., LLtd.簡稱Siinossoftt)成立于于19998年112月，通過持持續(xù)創(chuàng)新新，公司司已成長長為集應(yīng)應(yīng)

3、用軟件件開發(fā)、信息系系統(tǒng)集成成和專業(yè)業(yè)咨詢服服務(wù)為一一體的國國家級高高新技術(shù)術(shù)企業(yè)。20005年，公司成成功中標標國稅總總局的“金稅三三期出口口退稅系系統(tǒng)”建建設(shè)工程程。20006年年3月66日在倫倫敦證交交所掛牌牌上市，市值達達18億億元，是是國內(nèi)首首家登陸陸英國資資本市場場的軟件件企業(yè)。Sinoosofft總部部設(shè)在南南京，在在南京市市國家級級高新技技術(shù)開發(fā)發(fā)區(qū)建有有獨立的的研發(fā)與與測試中中心，在在北京、蘇州、無錫、常州設(shè)設(shè)有分支支機構(gòu)及及技術(shù)服服務(wù)中心心。公司司以領(lǐng)先先的技術(shù)術(shù)、穩(wěn)定定可靠的的產(chǎn)品、優(yōu)質(zhì)完完善的服服務(wù)，贏贏得了廣廣大客戶戶的支持持與信任任，打造造出“擎擎天”品品牌。Sin

4、oosofft定位位于應(yīng)用用軟件的的開發(fā)，公司先先后承擔擔國家、省、市市重大科科研開發(fā)發(fā)項目數(shù)數(shù)十項，公司擁擁有700多項自自主開發(fā)發(fā)產(chǎn)品，其中449項獲獲得國家家版權(quán)局局頒發(fā)的的著作權(quán)權(quán)證書及及有關(guān)國國家專利利，并積積極參與與全國性性的軟件件標準制制訂工作作。多個個項目被被列為“國家重重點火炬炬計劃”、“國國家火炬炬計劃”、“國國家創(chuàng)新新基金”、“國國家重點點新產(chǎn)品品”。多多項產(chǎn)品品先后榮榮獲中國國優(yōu)秀軟軟件產(chǎn)品品、江蘇蘇省優(yōu)秀秀軟件產(chǎn)產(chǎn)品獎(金慧獎獎)、江江蘇省科科技進步步三等獎獎、南京京市優(yōu)秀秀軟件一一等獎、南京市市科技進進步一等等獎、南南京市科科技進步步二等獎獎。Siinossoftt

5、現(xiàn)有客客戶3000000余家，包括巴巴斯夫、摩托羅羅拉、LLG等世世界5000強知知名企業(yè)業(yè)。Siinossoftt現(xiàn)已在在中國、英國、美國、香港地地區(qū)、臺臺灣地區(qū)區(qū)注冊商商標，申申請多項項專利，今后還還將繼續(xù)續(xù)加大知知識產(chǎn)權(quán)權(quán)的保護護力度。經(jīng)過多多年的積積累，公公司已獲獲得諸多多資質(zhì)和和榮譽，包括：國家信息息產(chǎn)業(yè)部部計算機機信息系系統(tǒng)集成成二級資資質(zhì)通過國際際軟件成成熟度模模型集成成CMMMI3級級評估通過ISSO90001：20000質(zhì)量量管理體體系認證證，044年、007年順順利通過過復(fù)審國國家智能能化工程程設(shè)計甲甲級資質(zhì)質(zhì)入選國家家電子政政務(wù)標準準化總體體組成員員單位入選國家家金稅三三

6、期工程程專家組組成員單單位入選全國國辦公自自動化專專業(yè)委員員單位A級納稅稅單位資信等級級為AAAA榮獲江蘇蘇省名牌牌稱號江蘇省百百家重點點培育民民營科技技企業(yè)江蘇省重重點服務(wù)務(wù)外包企企業(yè)南京市骨骨干軟件件企業(yè)南京市百百強科技技工業(yè)企企業(yè)江蘇軟件件收入二二十強經(jīng)過多年年的市場場開拓，Sinnosooft先先后承接接全國數(shù)數(shù)百個大大中型建建設(shè)項目目，積累累了豐富富的工程程技術(shù)經(jīng)經(jīng)驗。目目前Siinossoftt的出口口退稅系系統(tǒng)系列列產(chǎn)品在在國家稅稅務(wù)總局局、江蘇蘇省國稅稅局、海海南省國國稅局等等出口退退稅部門門和4萬萬余戶出出口企業(yè)業(yè)中應(yīng)用用，并得得到良好好的應(yīng)用用，截止止20007年110月，

7、“擎天天出口退退稅系統(tǒng)統(tǒng)軟件”占全國國產(chǎn)品市市場總份份額的335%，全國同同行業(yè)第第一位。Sinnosooft不不斷跟蹤蹤國際信信息技術(shù)術(shù)及相關(guān)關(guān)技術(shù)、管理規(guī)規(guī)范的最最新發(fā)展展，結(jié)合合中國國國情和實實際經(jīng)驗驗，不斷斷更新軟軟件開發(fā)發(fā)、系統(tǒng)統(tǒng)集成、工程管管理等方方面的技技術(shù)水平平和規(guī)范范標準，依托企企業(yè)形成成市場、技術(shù)、人才和和產(chǎn)品的的良性循循環(huán)，努努力將“Sinnosooft技技術(shù)中心心”建成成全省共共性軟件件、平臺臺軟件和和基礎(chǔ)軟軟件新技技術(shù)、新新產(chǎn)品、新標準準的“輻輻射中心心”，帶帶動本行行業(yè)開發(fā)發(fā)企業(yè)不不斷向更更高更新新的層次次發(fā)展。信息安全全方針批批準令信息安全全管理體體系方針針1總體

8、體方針：實施風險險管理，技術(shù)管管理同步步，確保保信息安安全，滿滿足相關(guān)關(guān)方要求求，實現(xiàn)現(xiàn)可持續(xù)續(xù)發(fā)展。2詮釋釋：我們通過過計算機機及網(wǎng)絡(luò)絡(luò)設(shè)備提提供公司司各種業(yè)業(yè)務(wù)服務(wù)務(wù)的開展展，因此此，信息息資產(chǎn)的的安全性性對我們們來說是是最重要要的事情情。為了了保證各各種信息息資產(chǎn)的的保密性性、完整整性、可可用性，給客戶戶提供更更加安心心的服務(wù)務(wù)，我們們依據(jù)IISO/IECC 2770011:20005標標準，建建立信息息安全管管理體系系，并承承諾如下下：21 在公司司內(nèi)各層層次建立立完整的的信息安安全管理理組織機機構(gòu)，確確定信息息安全方方針、安安全目標標和控制制措施，明確信信息安全全的管理理職責；22

9、識別并并滿足適適用法律律法規(guī)和和政府、客戶等等相關(guān)方方的信息息安全要要求；23 定期進進行信息息安全風風險評估估，體系系評審，采取糾糾正預(yù)防防措施，保證本本公司信信息安全全體系的的持續(xù)有有效性；24 采用先先進有效效的設(shè)施施和技術(shù)術(shù)，處理理、傳遞遞、儲存存和保護護各類信信息；25 對全體體員工進進行持續(xù)續(xù)的信息息安全教教育和培培訓(xùn)，不不斷增強強員工信信息安全全意識和和能力；26 制定并并保持完完善的業(yè)業(yè)務(wù)連續(xù)續(xù)性計劃劃，實現(xiàn)現(xiàn)可持續(xù)續(xù)發(fā)展；27 對于本本基本方方針的適適用性、充分性性，將結(jié)結(jié)合實際際狀況定定期評審審，必要要時予以以修訂；28 公司根根據(jù)本信信息安全全管理體體系方針針制定各各種策

10、略略。88年1月南京擎天天科技有有限公司司總經(jīng)理：1.目的的和范圍圍為了建立立、健全全本公司司信息安安全管理理體系，確定信信息安全全方針和和目標，對信息息安全風風險進行行有效管管理，確確保全體體員工理理解并遵遵照執(zhí)行行信息安安全管理理體系文文件、持持續(xù)改進進管理體體系的有有效性，特制定定本手冊冊。1.1 本手冊冊按照IISO/IECC 2770011:20005信息安安全管理理體系要要求，并結(jié)合合我公司司管理的的實際情情況編寫寫，用于于在合同同條件下下向客戶戶和第三三方證明明我公司司的信息息安全管管理體系系能滿足足規(guī)定的的標準。1.2信信息安全全管理體體系適用用范圍本手冊適適用于44.2.1條

11、款款確定范范圍內(nèi)的的信息安安全管理理活動。1)數(shù)據(jù)據(jù)處理活活動；2)本公公司范圍圍內(nèi)的上上訴業(yè)務(wù)務(wù)流程包包括的部部門和員員工；3)與22)所述述活動相相關(guān)的應(yīng)應(yīng)用系統(tǒng)統(tǒng)及支持持性信息息管理系系統(tǒng)包含含的全部部信息資資產(chǎn)；4)公司司連接互互聯(lián)網(wǎng)的的服務(wù)器器及相關(guān)關(guān)數(shù)據(jù)傳傳輸?shù)幕罨顒印?.引用用標準ISO/IECC 1777999:20005 信息技技術(shù)安全技技術(shù)-信信息安全全管理實實施細則則ISO/IECC 2770011:20005信息安安全管理理體系要要求3.術(shù)語語和定義義本手冊采采用ISSO/IIEC 270001:20005中的的術(shù)語和和定義。3.1要要求明示的、通常隱隱含的或或必須履履

12、行的需需求或期期望。3.2顧顧客滿意意顧客對其其要求已已被滿足足的程度度的感受受。3.3信信息安全全管理體體系在信息安安全方面面指揮和和控制組組織的管管理體系系。3.4方方針由組織的的最高管管理者正正式發(fā)布布的該組組織總的的安全宗宗旨和方方向。3.5目目標在安全管管理方面面,所追追求的目目的。3.6持持續(xù)改進進增強滿足足要求的的能力的的循環(huán)活活動。3.7顧顧客接受產(chǎn)品品的組織織或個人人。3.8供供方提供產(chǎn)品品的組織織或個人人。3.9組組織職責、權(quán)權(quán)限和相相互關(guān)系系得到安安排的一一組人員員及設(shè)施施。3.100相關(guān)方方與組織的的業(yè)績或或成就有有利益關(guān)關(guān)系的個個人或團團體。3.111過程一組將輸輸入

13、轉(zhuǎn)化化為輸出出的相互互關(guān)聯(lián)或或相互作作用的活活動。3.122產(chǎn)品過程的結(jié)結(jié)果。3.133可追溯溯性追溯所考考慮對象象的歷史史、應(yīng)用用情況或或所處場場所的能能力。3.144預(yù)防措措施為消除潛潛在不合合格或其其他潛在在不期望望情況的的原因所所采取的的措施。3.155糾正措措施為消除已已發(fā)現(xiàn)的的不合格格或其他他不期望望情況的的原因所所采取的的措施。3.166手冊規(guī)定組織織安全管管理體系系的文件件。3.177審核為獲得審審核證據(jù)據(jù)并對其其進行客客觀的評評價,以以確定滿滿足審核核準則的的程度所所進行的的系統(tǒng)的的、獨立立的并形形成文件件的過程程。3.188評審為確定主主題事項項達到規(guī)規(guī)定目標標的適宜宜性、

14、充充分性和和有效性性所進行行的活動動。3.199記錄闡明所取取得的結(jié)結(jié)果或提提供所完完成活動動的證據(jù)據(jù)的文件件。3.200規(guī)范闡明要求求的文件件。3.211 資產(chǎn)產(chǎn)對組織有有價值的的任何事事物。 ISSO/IIEC 133335-1:2200443.222 可用用性已授權(quán)實實體一旦旦需要就就可訪問問和使用用的特性性。 ISOO/IEEC 1133335-11:200043.233保密性性使信息不不泄露給給未授權(quán)權(quán)的個人人、實體體、過程程或不使使信息為為其利用用的特性性。 ISOO/IEEC 1133335-11:200043.244 信息息安全保持信息息的保密密性、完完整性和和可用性性；另外外

15、，還可可能包括括真實性性、可核核查性、抗抵賴賴和可靠靠性。 ISSO/IIEC 177799：200053.255信息安安全事情情系統(tǒng)、服服務(wù)或網(wǎng)網(wǎng)絡(luò)狀態(tài)態(tài)已經(jīng)確確認發(fā)生生顯示可可能違背背信息安安全方針針或安全全故障，或可能能與安全全相關(guān)的的以前未未知的情情況 ISOO/IEEC TTR 1180444:2200443.266 信息息安全事事件單一或一一系列不不必要的的或不期期望的有有危及業(yè)業(yè)務(wù)運作作和威脅脅信息安安全的重重大可能能的信息息安全事事件 ISOO/IEEC TTR 1180444:2200443.277 信息息安全管管理體系系(ISSMS)組織整個個管理體體系的一一部分，以業(yè)務(wù)務(wù)

16、風險方方法為基基礎(chǔ)，建建立、實實施、運運作、監(jiān)監(jiān)視、評評審、保保持并持持續(xù)改進進信息安安全。注：管理理體系包包括：組組織結(jié)構(gòu)構(gòu)、方針針、計劃劃活動、職責、規(guī)范、程序、過程和和資源。3.288 完整整性保護資產(chǎn)產(chǎn)準確性性和完備備性的特特性。 ISSO/IIEC 133335-1:2200443.299 剩余余風險經(jīng)過風險險處理后后殘留的的風險。 IISO/IECC 733指南:200023.300 風險險接受接受某一一風險的的決定。ISSO/IIEC 73指指南:2200223.311 風險險分析系統(tǒng)的使使用信息息，以識識別來源源并估計計風險。ISSO/IIEC 73指指南:2200223.32

17、2 風險險評估整個風險險分析和和風險評評價過程程。IISO/IECC 733指南:200023.333 風險險評價依據(jù)給定定的風險險準則比比較已估估計的風風險，以以確定風風險嚴重重程度的的過程。ISSO/IIEC 73指指南:2200223.344 風險險管理指導(dǎo)并控控制組織織有關(guān)風風險的協(xié)協(xié)調(diào)的活活動。ISOO/IEEC 773指南南:200023.355 風險險處理選擇并實實施措施施以降低低風險的的過程。ISSO/IIEC 73指指南:2200223.366 適用用性聲明明描述關(guān)于于并適用用于組織織的ISSMS的的控制目目標和控控制措施施的文件件。注：控制制目標和和控制措措施是建建立在風風

18、險評估估和處理理過程的的結(jié)果和和結(jié)論、法律法法規(guī)要求求、合同同義務(wù)和和組織的的信息安安全業(yè)務(wù)務(wù)要求的的基礎(chǔ)上上。3.377 有關(guān)關(guān)縮寫的的術(shù)語ISO-國際標標準化組組織IEC-國際電電工委員員會GB-國國家標準準ISMSS-信息息安全管管理體系系Sinoosofft-南京擎擎天科技技有限公公司4.信息息安全管管理體系系4.1 總要求求公司依據(jù)據(jù)ISOO/IEEC 2270001:220055標準的的要求，建立、實施、運行、監(jiān)視、評審、保持和和改進信信息安全全管理體體系，形形成文件件;本公公司全體體員工將將有效地地貫徹執(zhí)執(zhí)行并持持續(xù)改進進有效性性，對過過程的應(yīng)應(yīng)用和管管理詳見見信息息安全管管理體

19、系系過程模模式圖（圖11）。信息安全全管理體體系是在在公司整整體經(jīng)營營活動和和經(jīng)營風風險架構(gòu)構(gòu)下，針針對信息息安全風風險的管管理體系系；輸入輸出相關(guān)方信息安全的要求和期望相關(guān)方管理的信息安全建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMSPlanDoCheckAction圖1信息息安全管管理體系系過程模模式圖4.2 建立和和管理IISMSS4.2.1 建建立ISSMS公司應(yīng)：a)根據(jù)據(jù)公司的的業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資產(chǎn)和和技術(shù)定定義ISSMS范范圍和邊邊界，包包括在范范圍內(nèi)任任何刪減減的細節(jié)節(jié)和理由由（見標標準1.2）。本公司IISMSS的范圍圍和邊界界包括：

20、1) 數(shù)數(shù)據(jù)處理理活動；2) 本本公司范范圍內(nèi)的的上訴業(yè)業(yè)務(wù)流程程包括的的部門和和員工；3) 與與2)所所述活動動相關(guān)的的應(yīng)用系系統(tǒng)及支支持性信信息管理理系統(tǒng)包包含的全全部信息息資產(chǎn)；4 )公公司連接接互聯(lián)網(wǎng)網(wǎng)的服務(wù)務(wù)器及相相關(guān)數(shù)據(jù)據(jù)傳輸?shù)牡幕顒印)根據(jù)據(jù)公司的的業(yè)務(wù)特特征、組組織結(jié)構(gòu)構(gòu)、地理理位置、資產(chǎn)和和技術(shù)定定義ISSMS方方針，必必須滿足足以下要要求：1)為IISMSS目標建建立一個個框架并并為信息息安全活活動建立立整體的的方向和和原則；2)考慮慮業(yè)務(wù)及及法律或或法規(guī)的的要求，以及合合同的安安全義務(wù)務(wù)；3)與公公司戰(zhàn)略略和風險險管理相相一致的的環(huán)境下下，建立立和保持持ISMMS；4)

21、建立立風險評評價的準準則；5)總經(jīng)經(jīng)理批準準發(fā)布IISMSS方針。c) 定定義公司司風險評評估方法法。質(zhì)量與項項目管理理中心負負責建立立信息息安全風風險評估估管理程程序并并組織實實施。信息安安全風險險評估管管理程序序包括括可接受受風險準準則和可可接受水水平。1) 識識別適用用于ISSMS和和已經(jīng)識識別的業(yè)業(yè)務(wù)信息息安全、法律和和法規(guī)要要求的風風險評估估方法。2) 建建立接受受風險的的準則并并識別風風險的可可接受等等級 。選擇的風風險評估估方法應(yīng)應(yīng)確保風風險評估估能產(chǎn)生生可比較較的和可可重復(fù)的的結(jié)果。注：風險險評估具具有不同同的方法法。具體體參照IISO/IECC TRR 1333355-3，信

22、息息技術(shù)ITT安全管管理指南南ITT安全管管理技術(shù)術(shù)。3) 公公司的風風險評估估的流程程信息資產(chǎn)產(chǎn)識別重要要信息資資產(chǎn)（通通過資產(chǎn)產(chǎn)評估標標準）信息息資產(chǎn)的的威脅識識別和評評價薄弱點點識別和和評價（對應(yīng)威威脅）確認認已經(jīng)采采取的安安全控制制措施確定風風險等級級（風險險等級標標準）d) 識識別風險險：1) 識識別ISSMS控控制范圍圍內(nèi)的資資產(chǎn)以及及這些資資產(chǎn)的所所有者；在已確確定的IISMSS范圍內(nèi)內(nèi)，對所所有的信信息資產(chǎn)產(chǎn)進行列列表識別別。信息息資產(chǎn)包包括文檔檔/數(shù)據(jù)據(jù)、軟件件/系統(tǒng)統(tǒng)、硬件件/設(shè)施施、人力力資源、服務(wù)、無形資資產(chǎn)等。對每一一項信息息資產(chǎn)，根據(jù)重重要信息息資產(chǎn)判判斷依據(jù)據(jù)確定

23、是是否為重重要信息息資產(chǎn)，形成信息資資產(chǎn)識別別表。2) 識識別對這這些資產(chǎn)產(chǎn)的威脅脅，一項項資產(chǎn)可可能面對對若干個個威脅；3) 識識別可能能被威脅脅利用的的脆弱性性，一項項脆弱性性也可能能面對若若干個威威脅；4) 識識別保密密性、完完整性和和可用性性損失可可能對資資產(chǎn)造成成的影響響。解釋： “所有者者”代表已已被授權(quán)權(quán)的個人人或?qū)嶓w體，對資資產(chǎn)的生生產(chǎn)、開開發(fā)、維維護、使使用、安安全負有有管理責責任。“所有者者”不代表表個人對對資產(chǎn)具具有真正正的財產(chǎn)產(chǎn)權(quán)。e) 分分析并評評價風險險：1) 在在資產(chǎn)識識別的基基礎(chǔ)上，針對每每一項重重要信息息資產(chǎn)，依據(jù)風險評評估原則則中的的信息資資產(chǎn)CIIAB分分

24、級標準準，進行行CIAAB的資資產(chǎn)賦值值計算；2) 針針對每一一項重要要信息資資產(chǎn)，參參考風風險評估估原則中的威脅參參考表及以往往的安全全事故（事件）記錄、信息資資產(chǎn)所處處的環(huán)境境等因素素，識別別出重要要信息資資產(chǎn)所面面臨的所所有威脅脅；3)按照照風險險評估原原則中中的威威脅分級級標準對每一一個威脅脅發(fā)生的的可能性性進行賦賦值；4)針對對每一項項威脅，考慮現(xiàn)現(xiàn)有的控控制措施施，參考考風險險評估原原則中中的脆脆弱性參參考表識別出出被該威威脅可能能利用的的所有薄薄弱點，并根據(jù)據(jù)風險險評估原原則中中的脆脆弱性分分級標準準對每每一個脆脆弱性被被威脅利利用的難難易程度度進行賦賦值；5)按照照風險評評估模

25、型型結(jié)合威威脅和脆脆弱性賦賦值對風風險發(fā)生生可能性性進行評評價。6)按照照風險評評估模型型結(jié)合資資產(chǎn)和脆脆弱性賦賦值對風風險發(fā)生生的損失失進行評評價。7) 按按照風險險評估模模型對風風險發(fā)生生可能性性和風險險發(fā)生的的損失進進行計算算得出風風險評估估賦值，并按照照風險險評估原原則中中的風風險等級級標準評價出出信息安安全風險險等級。8)對于于信息安安全風險險，在考考慮控制制措施與與費用平平衡的原原則下制制定的信信息安全全風險接接受準則則，按照照該準則則確定何何種等級級的風險險為不可可接受風風險。f) 識識別并評評價風險險處理的的選擇：對于信息息安全風風險，應(yīng)應(yīng)考慮控控制措施施與費用用的平衡衡原則，

26、選用以以下適當當?shù)拇胧┦?) 應(yīng)應(yīng)用適當當?shù)目刂浦埔越档偷惋L險：這可能能是降低低事件發(fā)發(fā)生的可可能性，也可能能是降低低安全失失敗(保保密性、完整性性或可用用性丟失失)的業(yè)業(yè)務(wù)損害害。2) 如如果能證證明風險險滿足公公司的方方針和風風險接受受準則，有意的的、客觀觀的接受受風險；一般針針對那些些不可避避免的風風險，而而且技術(shù)術(shù)上、資資源上不不可能采采取對策策來降低低，或者者降低對對公司來來說不經(jīng)經(jīng)濟。 “接受風風險”是針對對判斷為為不可接接受的風風險所采采取的處處理方法法，而不不是針對對那些低低于風險險接受水水平的本本來就可可接受的的風險。3) 避避免風險險；對于于不是公公司的核核心工作作內(nèi)容的

27、的活動，公司可可以采取取避免某某項活動動或者避避免采用用某項不不成熟的的產(chǎn)品技技術(shù)等來來回避可可能產(chǎn)生生的風險險。4) 將將有關(guān)的的業(yè)務(wù)風風險轉(zhuǎn)移移到其他他方，例例如保險險公司、供方。信息安全全委員會會應(yīng)組織織有關(guān)部部門根據(jù)據(jù)風險評評估的結(jié)結(jié)果，形形成風風險處理理計劃，該計計劃應(yīng)明明確風險險處理責責任部門門、方法法及時間間。g) 為為風險的的處理選選擇控制制目標與與控制措措施。應(yīng)選擇并并實施控控制目標標和控制制措施，以滿足足風險評評估和風風險處理理過程所所識別的的要求。選擇時時，應(yīng)考考慮接受受風險的的準則以以及法律律法規(guī)和和合同要要求。信息安全全委員會會根據(jù)信信息安全全方針、業(yè)務(wù)發(fā)發(fā)展要求求及

28、風險險評估的的結(jié)果，組織有有關(guān)部門門制定信信息安全全目標，并將目目標分解解到有關(guān)關(guān)部門。信息安安全目標標應(yīng)獲得得信息安安全最高高責任者者的批準準。從附錄AA中選擇擇的控制制目標和和控制措措施應(yīng)作作為這一一過程的的一部分分，并滿滿足上述述要求。公司也也可根據(jù)據(jù)需要選選擇另外外的控制制目標和和控制措措施。注：附錄錄A包含含了組織織內(nèi)一般般要用到到的全面面的控制制目標和和控制措措施的列列表。本本標準用用戶可將將附錄AA作為選選擇控制制措施的的出發(fā)點點，以確確保不會會遺漏重重要的控控制可選選措施。h) 獲獲得最高高管理者者對建議議的剩余余風險的的批準，剩余風風險接受受批準應(yīng)應(yīng)該在風險評評估表上留下下記

29、錄。i) 獲獲得管理理者對實實施和運運行ISSMS的的授權(quán)。ISMMS管理理者代表表的任命命和授權(quán)權(quán)、ISSMS文文檔的簽簽署可以以作為實實施和運運作ISSMS的的授權(quán)證證據(jù)。j) 準準備適用用性聲明明，內(nèi)容容應(yīng)包括括：1)所選選擇的控控制目標標和控制制措施，以及選選擇的原原因；2) 當當前實施施的控制制目標和和控制措措施；3) 附附錄A中中控制目目標和控控制措施施的刪減減，以及及刪減的的理由。4)質(zhì)量量與項目目管理中中心負責責組織編編制信信息安全全適用性性聲明。注：適用用性聲明明提供了了一個風風險處理理決策的的總結(jié)。通過判判斷刪減減的理由由，再次次確認控控制目標標沒有被被無意識識的遺漏漏。4

30、.2.2 實實施并運運作ISSMS為確保IISMSS有效實實施，對對已識別別的風險險進行有有效處理理，本公公司開展展以下活活動：a) 制制定風險險處理計計劃闡明明為控制制信息安安全風險險確定的的適當?shù)牡墓芾砘罨顒印⒙毬氊熞约凹皟?yōu)先權(quán)權(quán)。b) 為為了達到到所確定定的控制制目標，實施風風險處理理計劃，包括考考慮資金金以及角角色和職職責的分分配，明明確各崗崗位的信信息安全全職責；c) 實實施所選選的控制制措施，以滿足足控制目目標。d) 確確定如何何測量所所選擇的的一個/組控制制措施的的有效性性，并規(guī)規(guī)定這些些測量措措施如何何用于評評估控制制的有效效性以得得出可比比較的、可重復(fù)復(fù)的結(jié)果果。注：測量量控

31、制措措施的有有效性允允許管理理者和相相關(guān)人員員來確定定這些控控制措施施實現(xiàn)策策劃的控控制目標標的程度度。e) 實實施培訓(xùn)訓(xùn)和意識識計劃。f) 對對ISMMS的運運作進行行管理。g) 對對ISMMS的資資源進行行管理。h) 實實施能夠夠快速檢檢測安全全事情、響應(yīng)安安全事件件的程序序和其它它控制。4.2.3 監(jiān)監(jiān)控并評評審ISSMSa) 本本公司通通過實施施不定期期安全檢檢查、內(nèi)內(nèi)部審核核、事故故報告調(diào)調(diào)查處理理、電子子監(jiān)控、定期技技術(shù)檢查查等控制制措施并并報告結(jié)結(jié)果以實實現(xiàn)：1）快速速檢測處處理結(jié)果果中的錯錯誤；2）快速速識別失失敗的和和成功的的安全破破壞和事事件；3）能使使管理者者確認人人工或

32、自自動執(zhí)行行的安全全活動達達到預(yù)期期的結(jié)果果；4) 幫幫助檢測測安全事事情，并并利用指指標預(yù)防防安全事事件；5）確定定解決安安全破壞壞所采取取的措施施是否有有效。b) 定定期評審審ISMMS的有有效性（包括安安全方針針和目標標的符合合性，對對安全控控制措施施的評審審），考考慮安全全審核、事件、有效性性測量的的結(jié)果，以及所所有相關(guān)關(guān)方的建建議和反反饋。c) 測測量控制制措施的的有效性性，以證證實安全全要求已已得到滿滿足。d) 按按照計劃劃的時間間間隔，評審風風險評估估，評審審剩余風風險以及及可接受受風險的的等級，考慮到到下列變變化：1) 組組織機構(gòu)構(gòu)和職責責；2) 技技術(shù)；3) 業(yè)業(yè)務(wù)目標標和過

33、程程；4) 已已識別的的威脅；5) 實實施控制制的有效效性； 6) 外外部事件件，例如如法律或或規(guī)章環(huán)環(huán)境的變變化、合合同責任任的變化化以及社社會環(huán)境境的變化化。e) 按按照計劃劃的時間間間隔（不超過過一年）進行IISMSS內(nèi)部審審核。注：內(nèi)部部審核，也稱為為第一方方審核，是為了了內(nèi)部的的目的，由公司司或以公公司的名名義進行行的審核核。f) 定定期對IISMSS進行管管理評審審，以確確保范圍圍的充分分性，并并識別IISMSS過程的的改進。g) 考考慮監(jiān)視視和評審審活動的的發(fā)現(xiàn)，更新安安全計劃劃。h) 記記錄可能能對ISSMS有有效性或或業(yè)績有有影響的的活動和和事情。4.2.4 保保持并持持續(xù)改

34、進進ISMMS本公司開開展以下下活動，以確保保ISMMS的持持續(xù)改進進：a) 實實施已識識別的IISMSS改進措措施。 b) 采采取適當當?shù)募m正正和預(yù)防防措施。吸取從從其他公公司的安安全經(jīng)驗驗以及組組織自身身安全實實踐中得得到的教教訓(xùn)。c) 與與所有相相關(guān)方溝溝通措施施和改進進。溝通通的詳細細程度應(yīng)應(yīng)與環(huán)境境相適宜宜，必要要時，應(yīng)應(yīng)約定如如何進行行。d) 確確保改進進達到其其預(yù)期的的目標。4.3 文件要要求4.3.1 總總則本公司信信息安全全管理體體系文件件包括：A:信息息安全管管理手冊冊(包括括文件化化的方針針、控制制目標、管理體體系的范范圍及信息安安全適應(yīng)應(yīng)性聲明明、信息息安全策策略)；B

35、:程序序文件；C:作業(yè)業(yè)指導(dǎo)書書；D:風險險評估方方法的描描述.，風險評評估報告告及風險險處理計計劃； E:外來來文件；F:表單單。4.3.2 信信息安全全管理手手冊A:編寫寫目的：向公司司內(nèi)部或或外部提提供關(guān)于于信息安安全管理理體系的的基本信信息，用用于對公公司的信信息安全全管理體體系做綱綱領(lǐng)性和和概括性性的描述述。B:信息息安全管管理手冊冊的編寫寫：由管管理者代代表負責責組織編編寫，總總經(jīng)理批批準后發(fā)發(fā)布實施施。C:信息息安全管管理手冊冊的管理理：質(zhì)量量與項目目管理中中心負責責保管及及發(fā)放管管理。D:信息息安全管管理手冊冊的發(fā)放放：手冊冊分“受控”和 “非受控控”兩種。受控手手冊在封封面上

36、加加蓋紅色色“受控文文件”章，僅僅限于公公司內(nèi)部部使用，當修訂訂或換版版時進行行相應(yīng)控控制，且且人員調(diào)調(diào)離時應(yīng)應(yīng)予歸還還；非受受控手冊冊不蓋任任何印章章，發(fā)放放對象為為認證機機構(gòu)、客客戶等，在修訂訂和換版版時不予予控制。4.3.3 文文件和資資料管理理公司建立立文件件管理程程序，規(guī)定以以下方面面的控制制要求：A:文件件在發(fā)放放前應(yīng)按按規(guī)定的的審核和和批準權(quán)權(quán)限進行行批準后后才能發(fā)發(fā)布；B:必要要時對文文件進行行評審與與更新，并按規(guī)規(guī)定的權(quán)權(quán)限重新新批準；C:由質(zhì)質(zhì)量與項項目管理理中心對文文件的現(xiàn)現(xiàn)行修訂訂狀態(tài)進進行標識識，文件件更改由由相應(yīng)更更改部門門進行標標識，確確保文件件的更改改狀態(tài)清清晰

37、明了了；D: 質(zhì)質(zhì)量與項項目管理理中心應(yīng)確確保所有有使用文文件的場場所能夠夠獲得有有關(guān)文件件的有效效版本；E:各部部門應(yīng)愛愛護文件件，確保保文件清清晰，易易于辨識識；F:各部部門獲得得外來文文件應(yīng)統(tǒng)統(tǒng)一交相相關(guān)部門門保存，進行標標識并控控制發(fā)放放；G: 質(zhì)質(zhì)量與項項目管理理中心應(yīng)控控制作廢廢文件的的使用，若各部部門有必必要保存存作廢文文件時，應(yīng)向質(zhì)質(zhì)量與項項目管理理中心報告告并由質(zhì)質(zhì)量與項項目管理理中心加蓋蓋“作廢”章。4.3.4 記記錄控制制公司建立立記錄錄管理程程序，規(guī)定公公司有關(guān)關(guān)記錄的的標識、貯存、保護、檢索、保存期期限和過過期的處處理方法法等，以以提供產(chǎn)產(chǎn)品符合合要求和和信息安安全管

38、理理體系有有效運行行的客觀觀證據(jù)。ISMMS記錄錄應(yīng)該考考慮任何何相關(guān)的的法律和和法規(guī)要要求以及及合同責責任，記記錄中應(yīng)應(yīng)該包含含所有過過程的業(yè)業(yè)績，以以及發(fā)生生的、與與ISMMS相關(guān)關(guān)的重大大安全事事件。4.3.5 相相關(guān)文件件文件控控制程序序記錄控控制程序序5.管理理職責5.1 管理者者承諾：公司總經(jīng)經(jīng)理的承承諾是：建立和和實施信信息安全全管理體體系，持持續(xù)改善善其有效效性，確確保提交交給客戶戶滿意的的產(chǎn)品和和服務(wù)，并通過過開展以以下活動動為以上上承諾提提供證據(jù)據(jù)：5.1.1 向向公司內(nèi)內(nèi)部員工工傳達滿滿足方針針目標、滿足客客戶需求求、符合合法律法法規(guī)和持持續(xù)改進進的重要要性；5.1.2

39、制制定信息息安全方方針；5.1.3 確確保信息息安全控控制目標標的制定定；5.1.4 進進行管理理評審；5.1.5規(guī)定定職責和和權(quán)限；5.1.6確保保內(nèi)部審審核的實實施；5.1.7決定定信息安安全接受受風險的的準則和和風險的的可接受受等級；5.1.8 確確保為公公司管理理體系配配備必要要的資源源。公司的組組織機構(gòu)構(gòu)見附件件。5.1.9 職職責和權(quán)權(quán)限A:公司司總經(jīng)理理確定組組織結(jié)構(gòu)構(gòu)圖，明明確公司司的組織織機構(gòu)形形式，并并確定各各部門的的職責和和權(quán)限，予以發(fā)發(fā)布實施施。(詳詳見信信息安全全委員會會組織結(jié)結(jié)構(gòu)圖)B:各部部門應(yīng)了了解本部部門的職職責、權(quán)權(quán)限及相相互關(guān)系系，以便便更好地地開展工工作

40、，保保證體系系的有效效性，各各崗位具具體信息息安全職職責見崗位說說明書。C:各部部門職責責和權(quán)限限a)總經(jīng)經(jīng)理：任命管理理者代表表，明確確管理者者代表的的職責和和權(quán)限；確保在內(nèi)內(nèi)部傳達達滿足客客戶和法法律法規(guī)規(guī)的重要要性；為信息安安全管理理體系配配備必要要的資源源；主持管理理評審；負責公司司信息安安全管理理和企業(yè)業(yè)管理的的計劃、組織、協(xié)調(diào)、監(jiān)督、控制和和考核工工作；遵守公司司信息安安全的相相關(guān)規(guī)定定以及本本崗位相相關(guān)的保保密要求求。b) 管管理代表表者：負責建立立、實施施、保持持和改進進信息安安全管理理體系，保證信信息安全全體系的的有效運運行；負責公司司信息安安全管理理手冊的的審核，程序文文件

41、的批批準，組組織并領(lǐng)領(lǐng)導(dǎo)公司司內(nèi)部IISMSS審核工工作； 負責向總總經(jīng)理報報告信息息安全體體系運行行的業(yè)績績和任何何改進的的需求；負責就信信息安全全管理體體系有關(guān)關(guān)事宜的的對外聯(lián)聯(lián)絡(luò)；遵守公司司信息安安全的相相關(guān)規(guī)定定以及本本崗位相相關(guān)的保保密要求求。C) 軟軟件研發(fā)發(fā)中心：軟件研發(fā)發(fā)中心下下設(shè)6個部門門，其中中JAVVA技術(shù)術(shù)部、.NETT技術(shù)部部、稅務(wù)務(wù)研發(fā)部部、通信信事業(yè)部部這4個部門門根據(jù)不不同業(yè)務(wù)務(wù)領(lǐng)域進進行軟件件產(chǎn)品的的研制與與研發(fā)，其職責責是：需求調(diào)研研；負責與顧顧客溝通通與聯(lián)系系；提供顧客客產(chǎn)品的的資料；軟件產(chǎn)品品的開發(fā)發(fā)方案的的設(shè)計與與制作；進行軟件件產(chǎn)品的的開發(fā)；項目實施

42、施的計劃劃編排與與控制；對開發(fā)完完成的產(chǎn)產(chǎn)品進行行及時的的業(yè)務(wù)培培訓(xùn)；技術(shù)支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。綜合維護護部的職職責是：市場信息息的搜集集；解決方案案的設(shè)計計與制作作；對開發(fā)完完成的產(chǎn)產(chǎn)品進行行及時的的業(yè)務(wù)培培訓(xùn)；售后服務(wù)務(wù)的技術(shù)術(shù)支持；外包服務(wù)務(wù)的提供供；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。測試部的的職責是是：軟件產(chǎn)品品的測試試；測試資源源的管理理與維護護；數(shù)據(jù)分析析；負責工作作過程中中的信息息安

43、全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。d)系統(tǒng)統(tǒng)集成中中心：系統(tǒng)集成成中心下下設(shè)技術(shù)術(shù)支持中中心、工工程中心心和采購購中心，其中技技術(shù)支持持中心和和工程中中心的職職責是：需求調(diào)研研；解決方案案的設(shè)計計與制作作；項目實施施的計劃劃編排與與控制；檢驗規(guī)范范的制定定與管理理；外包服務(wù)務(wù)的提供供；技術(shù)支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。采購中心心的職責責是：供方的選選擇與評評估；采購產(chǎn)品品、不合合格品的的檢驗與與處理；負責工作作過程中中的信息息安全實

44、實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。e)業(yè)務(wù)務(wù)中心：業(yè)務(wù)中心心下設(shè)五五個部門門，其中中海外業(yè)業(yè)務(wù)部專專門從事事軟件外外包業(yè)務(wù)務(wù)的開拓拓。該中中心的下下設(shè)部門門的職責責為：市場信息息的搜集集；負責同客客戶進行行業(yè)務(wù)溝溝通工作作；提供顧客客產(chǎn)品的的資料；市場開拓拓；合約、定定單的審審查及變變更的處處理；負責根據(jù)據(jù)簽訂的的顧客要要求安排排生產(chǎn)；顧客報怨怨的受理理與回饋饋；顧客滿意意度的調(diào)調(diào)查；顧客售后后服務(wù)的的受理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。f)服

45、務(wù)務(wù)中心：市場信息息的搜集集；負責與顧顧客溝通通與聯(lián)系系；提供顧客客產(chǎn)品的的資料；市場開拓拓；合約、定定單的審審查及變變更的處處理；顧客報怨怨的受理理與回饋饋；顧客滿意意度的調(diào)調(diào)查；顧客售后后服務(wù)的的受理；技術(shù)支持持；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。g)行政政管理部部：行政管理理部下設(shè)設(shè)管理部部和網(wǎng)管管中心，其職責責為：負責公司司計算機機及網(wǎng)絡(luò)絡(luò)設(shè)備的的管理和和維護；負責了解解世界計計算機及及網(wǎng)絡(luò)技技術(shù)的發(fā)發(fā)展趨勢勢，為公公司計算算機及網(wǎng)網(wǎng)絡(luò)設(shè)備備的更新新和升級級提出建建議并予予以實施施；負責客戶戶大規(guī)

46、模模電子文文件的接接收和發(fā)發(fā)送；負責公司司網(wǎng)站的的管理、維護和和內(nèi)容更更新；保障公司司IT方面面的信息息安全；負責公司司應(yīng)用系系統(tǒng)軟件件的管理理和維護護；負責公司司信息安安全內(nèi)部部審核的的管理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。h)人力力資源部部：負責人力力資源管管理工作作，確保保人員的的信息安安全；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。I)質(zhì)量量與項目目管理中中心：項目實施施的監(jiān)控控與管理理；合約、定定單的審審查及變變

47、更的處處理；監(jiān)督并審審核質(zhì)量量執(zhí)行與與達成狀狀況；監(jiān)督各部部門主管管落實質(zhì)質(zhì)量方針針，實現(xiàn)現(xiàn)質(zhì)量目目標；質(zhì)量異常常矯正措措施的監(jiān)監(jiān)督；不合格品品管理的的監(jiān)督；顧客抱怨怨處理與與對策的的追蹤；顧客滿意意度調(diào)查查后的匯匯整分析析及改進進；質(zhì)量體系系內(nèi)部審審核的計計劃編制制與執(zhí)行行；數(shù)據(jù)分析析與改進進；公司所有有體系文文件、文文檔資料料的管理理；負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。j)財務(wù)務(wù)部：實行日常常財務(wù)管管理和會會計核算算，編制制和執(zhí)行行企業(yè)財財務(wù)計劃劃；控制企業(yè)業(yè)運作成成本，按按月進行行各類財財務(wù)分析析，

48、為管管理層提提供決策策依據(jù)；向有關(guān)管管理部門門上交各各類財務(wù)務(wù)報表，如實反反映企業(yè)業(yè)經(jīng)營狀狀況；與各結(jié)算算銀行進進行業(yè)務(wù)務(wù)溝通和和聯(lián)系，向國家家稅務(wù)部部門按時時繳納各各項稅金金。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。k)分支支機構(gòu)：倫敦辦事事處主要要職責：負責公司司與海外外合作公公司的溝溝通；負責海外外市場的的拓展；負責海外外合作項項目的跟跟蹤、監(jiān)監(jiān)控和協(xié)協(xié)調(diào)。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。北京辦事事處主要要職責：負

49、責公司司的重大大項目的的協(xié)調(diào)工工作。負責公司司對外分分支機構(gòu)構(gòu)選址和和建立。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。蘇州、無無錫、常常州辦事事處主要要職責：開拓公司司稅務(wù)產(chǎn)產(chǎn)品的市市場以及及售后服服務(wù)工作作；負責江蘇蘇省內(nèi)各各個代理理的管理理；負責公司司產(chǎn)品在在其它地地區(qū)的銷銷售和維維護工作作。負責工作作過程中中的信息息安全實實施；本部門人人員必須須遵守公公司信息息安全的的相關(guān)規(guī)規(guī)定以及及本崗位位相關(guān)的的保密要要求。5.2 資源管管理公司應(yīng)確確定并提提供確保保客戶滿滿意，保保持信息息安全管管理體系系有效運運行并

50、持持續(xù)改進進所需的的資源，并對資資源進行行有效控控制和管管理。公司資源源包括：人力資資源、計計算機網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)、工作作環(huán)境及及技術(shù)、信息等等。5.2.1資源源提供建立實施施運行監(jiān)監(jiān)控評審審和維護護信息安安全管理理體系；確保信息息安全程程序支持持業(yè)務(wù)要要求；識別和強強調(diào)法律律法規(guī)要要求和合合同安全全責任；正確的應(yīng)應(yīng)用所有有實施的的控制措措施維護護足夠的的安全；通過管理理評審或或其他評評審活動動對資源源的充分分性進行行評審，并對評評審的結(jié)結(jié)果采取取適當措措施；f) 需需要時，改進信信息安全全管理體體系的有有效性。5.2.2培訓(xùn)訓(xùn)、意識識和能力力公司確定定從事與與信息安安全有關(guān)關(guān)的人員員所需的的能力

51、，采取以以下控制制確保這這些人員員能夠勝勝任工作作：確定從事事影響信信息安全全管理體體系的人人員所必必要的能能力，通通過崗位說說明書的任職職要求來來確定，并在招招聘活動動中確認認相關(guān)信信息安全全的任職職要求； 對人員提提供培訓(xùn)訓(xùn)或其他他措施滿滿足這些些要求；評價采取取培訓(xùn)和和采取措措施的有有效性；建立并組組織實施施人力力資源管管理程序序，對對以上方方面進行行控制，并保存存與教育育、培訓(xùn)訓(xùn)、技能能、經(jīng)驗驗及對員員工能力力評價的的記錄。 應(yīng)確保所所有相關(guān)關(guān)人員認認識到他他們信息息安全活活動的相相關(guān)性和和重要性性，以及及他們?nèi)缛绾螢閷崒崿F(xiàn)信息息安全管管理體系系目標做做貢獻。5.2.3 相相關(guān)文件件人

52、力資資源管理理程序信息安全全體系要要求與體體系文件件及部門門職能分分配表：ISO 270001條條文要求求責 任 部 門門總經(jīng)理管理者代代表軟件研發(fā)發(fā)中心系統(tǒng)集成成中心業(yè)務(wù)中心心服務(wù)中心心行政管理理部人力資源源部質(zhì)量與項項目管理理中心財務(wù)部分支機構(gòu)構(gòu)4信息安全全管理體體系4.1總要求4.2建立并管管理ISSMS4.2.1建立ISSMS4.2.2實施和運運行ISSMS4.2.3監(jiān)視和評評審ISSMS4.2.4保持和改改進ISSMS4.3文件要求求4.3.1總則4.3.2文件控制制4.3.3記錄控制制5管理職責責5.1管理者承承諾5.2資源管理理5.2.1資源提供供5.2.2培訓(xùn)、意意識和能能力6

53、ISMSS內(nèi)部審審核7ISMSS 管理理評審7.1 總則7.2 評審輸入入7.3 評審輸出出8ISMSS 改進進8.1持續(xù)改進進8.2糾正措施施8.3預(yù)防措施施附錄A條條文要求求責 任 部 門門總經(jīng)理管理者代代表軟件研發(fā)發(fā)中心系統(tǒng)集成成中心業(yè)務(wù)中心心服務(wù)中心心行政管理理部人力資源源部質(zhì)量與項項目管理理中心財務(wù)部分支機構(gòu)構(gòu) A.5信息安全全策略A.5.1信息安全全方針 AA.6信息安全全組織A.6.1內(nèi)部組織織A.6.2外部相關(guān)關(guān)方A.7資產(chǎn)管理理A.7.1資產(chǎn)責任任A.7.2信息分類類A.8人力資源源安全A.8.1聘用前A.8.2聘用期間間A.9物理和環(huán)環(huán)境安全全A.9.1安全區(qū)域域A.9.2

54、設(shè)備安全全A.100通信和運運作管理理A.100.1操作程序序和職責責A.100.2第三方服服務(wù)交付付管理A.100.3系統(tǒng)策劃劃與接收收A.100.4防范惡意意和可移移動代碼碼A.100.5備份A.100.6網(wǎng)絡(luò)安全全管理A.100.7介質(zhì)的處處理A.100.8信息交換換A.100.9電子商務(wù)務(wù)服務(wù)（只包括括A.110.99.3公公共信息息）A.100.100監(jiān)控A.111訪問控制制A.111.1訪問控制制的業(yè)務(wù)務(wù)要求A.111.2用戶訪問問管理A.111.3用戶責任任A.111.4網(wǎng)絡(luò)訪問問控制A.111.5操作系統(tǒng)統(tǒng)訪問控控制A.111.6應(yīng)用程序序及信息息訪問控控制A.111.7移動計

55、算算和遠程程工作A.122信息系統(tǒng)統(tǒng)獲取開開發(fā)和維維護A.122.1信息系統(tǒng)統(tǒng)的安全全需求A.122.2應(yīng)用程序序的正確確處理A.122.3加密控制制A.122.4系統(tǒng)文件件安全A.122.5開發(fā)和支支持過程程的安全全（不包包括A.12.5.55）A.122.6技術(shù)薄弱弱點管理理A.133信息安全全事件管管理A.133.1報告信息息安全事事情和薄薄弱點A.133.2信息安全全事件和和改進管管理A.144業(yè)務(wù)連續(xù)續(xù)性管理理A.144.1業(yè)務(wù)連續(xù)續(xù)性管理理中的信信息安全全事項A.155符合性A.155.1符合法律律要求A.155.2符合安全全方針和和標準，以及技技術(shù)符合合A.155.3信息系統(tǒng)統(tǒng)審

56、核相相關(guān)事宜宜*注：領(lǐng)領(lǐng)導(dǎo)職責責以“”表示；監(jiān)督部部門以“”表表示；負負責部門門以“”表示示；相關(guān)關(guān)部門以以“”表示。6. IISMSS內(nèi)部審審核A:公司司建立并并實施信息安安全內(nèi)部部審核程程序，明確審審核的要要求，確確保公司司信息安安全管理理體系的的符合性性和有效效性，符符合已經(jīng)經(jīng)識別的的信息安安全要求求。B:公司司管理者者代表負負責督促促內(nèi)部審審核的進進行，并并將審核核情況報報告總經(jīng)經(jīng)理。C:公司司按計劃劃的時間間間隔（不超過過一年）組織內(nèi)內(nèi)部審核核，審核核計劃的的安排應(yīng)應(yīng)考慮區(qū)區(qū)域的重重要性及及以往的的執(zhí)行情情況。D:應(yīng)安安排具備備審核員員資格的的人員進進行審核核，審核核員不應(yīng)應(yīng)審核自自己部門門的工作作，以確確保審核核的公正正性和客客觀性。E:受審審核區(qū)域域應(yīng)采取取適當?shù)牡拇胧韵l(fā)現(xiàn)的的不合格格現(xiàn)象。F:審核核員應(yīng)對對所采取取措施的的情況進進行跟蹤蹤驗證，確保不不合格的的結(jié)案。G:有關(guān)關(guān)審核的的所有記記錄應(yīng)由由管理部部進行保保存。H:相關(guān)關(guān)文件：信息息安全內(nèi)內(nèi)部審核核程序7. IISMSS 管理理評審7.1.1公司司建立并并實施信息安安全管理理評審程程序，規(guī)定每每年組織織公司各各部門主主管進行行管理評評審，評評審的目目的是：A:確保保公司建建立的信信息安全全管理體體系的充充分性、適宜性性和有效效性；B:發(fā)現(xiàn)現(xiàn)信息安安全管理理體系的的