ISMSS公開

inoso

fth01

XX信

息安

全管

理手

冊

信息安全管理手文檔名稱信息安全管理手冊

文檔編號ISMS/Sinosoft-h-01-2008

公布組織Sinosoft信息安全委員會

冊公布日期2008年1月1日

執行日期2008年1月1日

版本號A1.0

批準人簽字審核人簽字制訂人簽字

日期：2008/1/I日期：2008/1/I日期：2008/1/I

南京擎天科技有限公司

NanjingSinosoftTechnologyCo.,Ltc.

變更履歷

序版本編號變化簡要■說明i變更內容、變更日期變更人審核人批準人批準日期

號或者更換狀態變更位置、變更原因與

記錄編號*變更范圍）

1A1.0C創建，全頁。2008/1/1許明星茅建平汪曉剛2008/1/1

*變化狀態：C——創建，A——增加，M——修改，D-刪除

公司介紹

南京擎天科技有限公司(NanjingSinosoftTechnologyCo.,Ltd.簡稱

Sinosoft)成立于1998年12月，通過持續創新，公司已成長為集應用軟件開發、

信息系統集成與專業咨詢服務為一體的國家級高新技術企業。2005年，公司成

功中標國稅總局的“金稅三期出口退稅系統”建設工程。2006年3月6日在倫

敦證交所掛牌上市，市值達18億元，是國內首家登陸英國資本市場的軟件企業。

Sinosoft總部設在南京，在南京市國家級高新技術開發區建有獨立的研發

與測試中心，在北京、蘇州、無錫、常州設有分支機構及技術服務中心。公司

以領先的技術、穩固可靠的產品、優質完善的服務，贏得了廣大客戶的支持與

信任，打造出“擎天”品牌。

Sinosoft定位于應用軟件的開發，公司先后承擔國家、省、市重大科研開

發項目數十項，公司擁有70多項自主開發產品，其中49項獲得國家版權局頒

發的著作權證書及有關國家專利，并積極參與全國性的軟件標準制訂工作。多

個項目被列為“國家重點火炬計劃”、“國家火炬計劃”、“國家創新基金”、

“國家重點新產品”。多項產品先后榮獲中國優秀軟件產品、江蘇省優秀軟件

產品獎(金慧獎)、江蘇省科技進步三等獎、南京市優秀軟件一等獎、南京市科

技進步一等獎、南京市科技進步二等獎。Sinosoft現有客戶30000余家，包含

巴斯夫、摩托羅拉、LG等世界500強知名企業。Sinosoft現已在中國、英國、

美國、香港地區、臺灣地區注冊商標，申請多項專利，今后還將繼續加大知識

產權的保護力度。通過多年的積存，公司己獲得諸多資質與榮譽，包含：

?國家信息產業部計算機信息系統集成二級資質

?通過國際軟件成熟度模型集成CMMI3級評估

?通過IS09001：2000質量管理體系認證，04年、07年順利通過復審國家智

能化工程設計甲級資質

?入選國家電子政務標準化總體構成員單位

?入選國家金稅三期工程專家構成員單位

?入選全國辦公自動化專業委員單位

?A級納稅單位

?資信等級為AAA

?榮獲江蘇省名牌稱號

?江蘇省百家重點培養民營科技企業

?江蘇省重點服務外包企業

?南京市骨干軟件企業

?南京市百強科技工業企業

?江蘇軟件收入二十強

通過多年的市場開拓，Sinosoft先后承接全國數百個大中型建設項目，

積存了豐富的工程技術經驗。目前Sinosoft的出口退稅系統系列產品在國家

稅務總局、江蘇省國稅局、海南省國稅局等出口退稅部門與4萬余戶出口企業

中應用，并得到良好的應用，截止2007年10月，“擎天出口退稅系統軟件”

占全國產品市場總份額的35%,全國同行業第一位。

Sinosoft不斷跟蹤國際信息技術及有關技術、管理規范的最新進展，結

合中國國情與實際經驗，不斷更新軟件開發、系統集成、工程管理等方面的技

術水平與規范標準，依托企業形成市場、技術、人才與產品的良性循環，努力

將“Sinosoft技術中心”建成全省共性軟件、平臺軟件與基礎軟件新技術、

新產品、新標準的“輻射中心”，帶動本行業開發企業不斷向更高更新的層次

進展。

信息安全方針批準令

信息安全管理體系方針

1.總體方針：

實施風險管理，技術管理同步，確保信息安全，滿足有關方要求，實現可持續進展。

2.詮釋:

我們通過計算機及網絡設備提供公司各類業務服務的開展，因此，信息資產的安全性對

我們來說是最重要的情況。為了保證各類信息資產的保密性、完整性、可用性，給客戶提供

更加安心的服務，我們根據ISO/IEC27001:2005標準，建立信息安全管理體系，并承諾如

下：

2.1在公司內各層次建立完整的信息安全管理組織機構，確定信息安全方針、安全目

標與操縱措施，明確信息安全的管理職責：

2.2識別并滿足適用法律法規與政府、客戶等有關方的信息安全要求：

2.3定期進行信息安全風險評估，體系評審，采取糾正預防措施，保證本公司信息安

全體系的持續有效性；

2.4使用先進有效的設施與技術，處理、傳遞、儲存與保護各類信息：

2.5對全體員工進行持續的信息安全教育與培訓，不斷增強員工信息安全意識與能力：

2.6制定并保持完善的業務連續性計戈ij,實現可持續進展；

2.7關于本基本方針的適用性、充分性，將結合實際狀況定期評審，必要時予以修訂；

2.8公司根據本信息安全管理體系方針制定各類策略。

2008年1月

南京擎天科技有限公司

總經理：

1.目的與范圍

為了建立、健全本公司信息安全管理體系，確定信息安全方針與目標，對信息安全風

險進行有效管理，確保全體員工懂得并遵照執行信息安全管理體系文件、持續改進管理體

系的有效性，特制定本手冊。

1.1本手冊按照ISO/IEC27001:2005《信息安全管理體系要求》，并結合我公司管理的實

際情況編寫，用于在合同條件下向客戶與第三方證明我公司的信息安全管理體系能滿足規

定的標準。

1.2信息安全管理體系適用范圍

本手冊適用于4.2.1條款確定范圍內的信息安全管理活動.

1）數據處理活動；

2）本公司范圍內的上訴業務流程包含的部門與員工；

3）與2）所述活動有關的應用系統及支持性信息管理系統包含的全部信息資產；

4）公司連接互聯網的服務器及有關數據傳輸的活動。

2.引用標準

ISO/IEC17799:2005《信息技術一安全技術-信息安全管理實施細則》

ISO/IEC27001:2005《信息安全管理體系要求》

3.術語與定義

本手冊使用ISO/IEC27001:2005中的術語與定義。

3.1要求

明示的、通常隱含的或者務必履行的需求或者期望。

3.2顧客滿意

顧客對其要求已被滿足的程度的感受。

3.3信息安全管理體系

在信息安全方面指揮與操縱組織的管理體系。

3.4方針

由組織的最高管理者正式公布的該組織總的安全宗旨與方向。

3.5目標

在安全管理方面,所追求的目的。

3.6持續改進

增強滿足要求的能力的循環活動。

3.7顧客

同意產品的組織或者個人。

3.8供方

提供產品的組織或者個人。

3.9組織

職貨、權限與相互關系得到安排的?組人員及設施。

3.10有關方

與組織的業績或者成就有利益關系的個人或者團體。

3.11過程

一組將輸入轉化為輸出的相互關聯或者相互作用的活動.

3.12產品

過程的結果。

3.13可追溯性

追溯所考慮對象的歷史、應用情況或者所處場所的能力。

3.14預防措施

為消除潛在不合格或者其他潛在不期望情況的原因所采取的措施。

3.15糾正措施

為消除已發現的不合格或者其他不期望情況的原因所采取的措施。

3.16手冊

規定組織安全管理體系的文件。

3.17審核

為獲得審核證據并勸其進行客觀的評價，以確定滿足審核準則的程度所進行的系統

的、獨立的并形成文件的過程。

3.18評審

為確定主題事項達到規定目標的適宜性、充分性與有效性所進行的活動。

3.19記錄

闡明所取得的結果或者提供所完成活動的證據的文件。

3.20規范

闡明要求的文件。

3.21資產

對組織有價值的任何事物。[IS0/IEC13335-1:2004]

3.22可用性

己授權實體一旦需要就可訪問與使用的特性。[IS0/IEC13335-1:2004]

3.23保密性

使信息不泄露給未授權的個人、實體、過程或者不使信息為其利用的特性。[IS0/IEC

13335-1:2004]

3.24信息安全

保持信息的保密性、完整性與可用性；另外，還可能包含其實性、可核查性、抗抵賴

與可靠性。[1S0/IEC17799：2005]

3.25信息安全情況

系統、服務或者網絡狀態已經確認發生顯示可能違背信息安全方針或者安全故障，或

者可能與安全有關的往常未知的情況[1SO/IECTR18044:2004]

3.26信息安全事件

單一或者?系列不必要的或者不期望的有危及業務運作與威脅信息安全的重大可能

的信息安全事件[ISO/IECTR18044:2004]

3.27信息安全管理體系([SMS)

組織整個管理體系的一部分，以業務風險方法為基礎，建立、實施、運作、監視、評

審、保持并持續改進信息安全。

注：管理體系包含：組織結構、方針、計劃活動、職責、規范、程序、過程與資源。

3.28完整性

保護費產準確性與完備性的特性。[ISO/IEC13335-1:2004]

3.29剩余風險

通過風險處理后殘留的風險。[ISO/IEC73指南:2002]

3.30風險同意

同意某一風險的決定。[ISO/IEC73指南:2002]

3.31風險分析

系統的使用信息，以識別來源并估計風險。USO/IEC73指南:20()2]

3.32風險評估

整個風險分析與風險評價過程。[ISO/IEC73指南:2002]

3.33風險評價

根據給定的風險準則比較已估計的風險，以確定風險嚴重程度的過程。[ISO/IEC73

指南:2002]

3.34風險管理

指導并操縱組織有關風險的協調的活動。[IS0/1EC73指南:2002]

3.35風險處理

選擇并實施措施以降低風險的過程。[ISO/IEC73指南:2002]

3.36適用性聲明

描述關于并適用于組織的TSMS的操縱目標與操縱措施的文件。

注：操縱目標與操縱措施足建立在風險評估與處理過程的結果與結論、法律法規要求、

合同義務與組織的信息安全業務要求的基礎上。

3.37有關縮寫的術語

ISO-國際標準化組織

IEC-國際電工委員會

GB-國家標準

ISMS-信息安全管埋體系

Sinosoft-南京擎天科技有限公司

4.信息安全管理體系

4.1總要求

公司根據ISO/IEC27001:2005標準的要求，建立、實施、運行、監視、評審、保持與

改進信息安全管理體系，形成文件;本公司全體員工將有效地貫徹執行并持續改進有效性，

對過程的應用與管理詳見《信息安全管理體系過程模式圖》（圖1）。

信息安全管理體系是在公司整體經營活動與經營風險架構下，針對信息安全風險的管理

體系：

圖1信息安全管理體系過程模式圖

4.2建立與管理ISMS

4.2.1建立ISMS

公司應：

a）根據公司的業務特征、組織結構、地理位置、資產與技術定義ISMS范圍與邊界，包含在

范圍內任何刪減的細節與理由（見標準1.2）。

本公司ISMS的范圍與邊界包含：

1）數據處理活動；

2）本公司范圍內的上訴業務流程包含的部門與員工；

3）與2）所述活動有關的應用系統及支持性信息管理系統包含的全部信息資產；

4）公司連接互聯網的服務器及有關數據傳輸的活動。

b）根據公司的業務特征、組織結構、地理位置、資產與技術定義ISMS方針，務必滿足下列

要求：

1）為ISMS目標建立一個框架并為信息安全活動建立整體的方向與原則；

2）考慮業務及法律或者法規的要求，與合同的安全義務；

3）與公司戰略與風險管理相?致的環境下，建立與保存ISMS；

4）建立風險評價的準則；

5）總經理批準公布ISMS方針。

c）定義公司風險評估方法。

質量與項目管理中心負責建立《信息安全風險評估管理程序》并組織實施?！缎畔?/p>

全風險評估管理程序》包含可同意風險準則與可同意水平。

1）識別適用于ISMS與己經識別的業務信息安全、法律與法規要求的風險評估方

法。

2）建立同意風險的掛則并識別風險的可同意等級。

選擇的風險評估方法應確保風險評估能產生可比較的與可重復的結果。

注：風險評估具有小一致的方法。具體參照TSO/IECTR13335-3,《信息技術一一IT

安全管理指南一一IT安全管理技術》。

3）公司的風險評估的流程

信息資產識別一重要信息資產（通過資產評估標準）一信息資產的威脅識別與評價

一薄弱點識別與評價（對應威脅）一確認已經采取的安全操縱措施一確定風險等級（風險等

級標準）

d）識別風險：

1）識別ISMS操縱范圍內的資產與這些資產的所有者：在己確定的ISMS范圍內，

對所有的信息資產進行列表識別。信息資產包含文檔/數據、軟件/系統、硬件/設施、人力

資源、服務、無形資產等。對每?項信息資產，根據重要信息資產推斷根據確定是否為重要

信息資產，形成《信息資產識別表譏

2）識別對這些資產的威脅，一項資產可能面對若干個威脅；

3）識別可能被威脅利用的脆弱性，一項脆弱性也可能面對若干個威脅；

4）識別保密性、完整性與可用性缺失可能對資產造成的影響。

解釋：“所有者”代表已被授權的個人或者實體，對資產的生產、開發、保護、

使用、安全負有管理責任。“所有者”不代表個人對資產具有真正的財產權。

e）分析并評價風險：

1）在資產識別的基礎上，針對每?項重要信息資產，根據《風險評估原則》中的

信息資產CIAB分級標準，進行CIAB的資產賦值計算：

2）針對每一項重要信息資產，參考《風險評估原則》中的《威脅參考表》及以往

的安全事故（事件）記錄、信息資產所處的環境等因素，識別出重要信息資產所面臨的所有

威脅：

3）按照《風險評估原則》中的《威脅分級標準》對每一個威脅發生的可能性進行賦

值；

4）針對每?項威脅，考慮現有的操縱措施，參考《風險評估原則》中的《脆弱性參

考表》識別出被該威脅可能利用的所有薄弱點，并根據《風險評估原則》中的《脆弱性分級

標準》對每?個脆弱性被威脅利用的難易程度進行賦值；

5）按照風險評估模型結合威脅與脆弱性賦值對風險發生可能性進行評價。

6）按照風險評估模型結合資產與脆弱性賦值對風險發生的缺失進行評價。

7）按照風險評估模型對風險發生可能性與風險發生的缺失進行計算得出風險評估

賦值，并按照《風險評估原則》中的《風險等級標準》評價出信息安全風險等級。

8）關于信息安全風險，在考慮操縱措施與費用平衡的原則下制定的信息安全風險同

意準則，按照該準則確定何種等級的風險為不可同意風險。

f）識別并評價風險處理的選擇：

關于信息安全風險，應考慮操縱措施與費用的平衡原則，選用下列適當的措施：

1）應用適當的操縱以降低風險：這可能是降低事件發生的可能性，也可能是降低

安全失敗（保密性、完整性或者可用性丟失）的業務損害。

2）假如能證明風險滿足公司的方針與風險同意潴則，有意的、客觀的同意風險：

通常針對那些不可避免的風險，而且技術上、資源上不可能采取計策來降低，或者者降低對

公司來說不經濟?！巴怙L險”是針對推斷為不可同意的風險所采取的處理方法，而不是

針對那些低于風險同意水平的本來就可同意的風險。

3）避免風險：關于不是公司的核心工作內容的活動，公司能夠采取避免某項活動

或者者避免使用某項不成熟的產品技術等來回避可能產生的風險。

4）將有關的業務風險轉移到其他方，比如保險公司、供方。

信息安全委員會應組織有關部門根據風險評估的結果，形成《風險處理計劃》，該

計劃應明確風險處埋責任部門、方法及時間。

g）為風險的處理選擇操縱目標與操縱措施。

應選擇并實施操縱目標與操縱措施，以滿足風險評估與風險處理過程所識別的要

求。選擇時，應考慮同意風險的準則與法律法規與合同要求。

信息安全委員會根據信息安全方針、業務進展要求及風險評估的結果，組織有關部

門制定信息安全目標，并將目標分解到右.關部門。信息安全目標應獲得信息安全最高責任者

的批準。

從附錄A中選擇的操縱目標與操縱措施應作為這一過程的一部分，并滿足上述要

求。公司也可根據需要選擇另外的操縱目標與操縱措施。

注：附錄A包含了組織內通常要用到的全面的操縱目標與操縱措施的列表。木標準

用戶可將附錄A作為選擇操縱措施的出發點，以確保不可能遺漏重要的操縱可選措施。

h）獲得最高管理者對建議的剩余風險的批準，剩余風險同意批準應該在《風險評估表》上

留下記錄。

i）獲得管理者對實施與運行ISMS的授權。ISMS管理者代表的任命與授權、ISMS文檔的簽

署能夠作為實施與運作ISMS的授權證據。

j）準備適用性聲明，內容應包含：

1）所選擇的操縱目標與操縱措施，與選擇的原因；

2）當前實施的操縱目標與操縱措施：

3）附錄A中操縱目標與操縱措施的刪減，與刪減的理由。

4）質量與項目管理中心負責組織編制《信息安全適用性聲明》。

注：適用性聲明提供了一個風險處理決策的總結。通過推斷刪減的理由，再次確認

操縱目標沒有被無意識的遺漏。

4.2.2實施并運作ISMS

為確保ISMS有效實施，咐己識別的風險進行有效處理，本公司開展下列活動：

a）制定風險處理計劃闡明為操縱信息安全風險確定的適當的管理活動、職責與優

先權。

b）為了達到所確定的操縱目標，實施風險處理計劃，包含考慮資金與角色與職責

的分配，明確各崗位的信息安全職責；

c）實施所選的操縱措施，以滿足操縱目標。

d）確定如何測量所選擇的?個/組操縱措施的有效性，并規定這些測量措施如何用

于評估操縱的有效性以得出可比較的、可重復的結果。

注：測量操縱措施的有效性同意管理者與有關人員來確定這些操縱措施實現策劃的

操縱目標的程度。

e）實施培訓與意識計劃。

f）時ISMS的運作進行管理。

g）對ISMS的資源進行管理。

h）實施能夠快速檢測安全情況、響應安全事件的程序與其它操縱。

4.2.3監控并評審1SMS

a）本公司通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監控、

定期技術檢查等操縱措施并報告結果以實現：

1）快速檢測處理結果中的錯誤；

2）快速識別失敗的與成功的安全破壞與事件；

3）能使管理者確認人工或者自動執行的安全活動達到預期的結果；

4）幫助檢測安全情況，并利用指標預防安全事件：

5）確定解決安全破壞所采取的措施是否有效.

b）定期評審ISMS的有效性（包含安全方針與目標的符合性，對安全操縱措施的評

審），考慮安全審核、事件、有效性測量的結果，與所有有關方的建議與反饋。

c）測量操縱措施的有效性，以證實安全要求已得到滿足。

d）按照計劃的時間間隔，評審風險評估，評審剩余風險與可同意風險的等級，考

慮到下列變化：

1）組織機構與職責：

2）技術;

3）業務目標與過程：

4）己識別的威脅：

5）實施操縱的有效性：

6）外部事件，比如法律或者規章環境的變化、合同責任的變化與社會環境

的變化。

e）按照計劃的時間間隔（不超過一年）進行ISMS內部審核。

注：內部審核，也稱之第一方審核，是為了內部的目的，由公司或者以公司

的名義進行的審核。

f）定期對ISMS進行管理評審，以確保范圍的充分性，并識別ISMS過程的改進。

g）考慮監視與評審洱?動的發現，更新安全計劃。

h）記錄可能對ISMS有效性或者業績有影響的活動與情況。

4.2.4保持并持續改進ISMS

本公司開展下列活動，以確保ISMS的持續改進：

a）實施已識別的ISUS改進措施。

b）采取適當的糾正與預防措施。吸取從其他公司的安全經驗與組織自身安全實踐

中得到的教訓。

c）與所有有關方溝通措施與改進。溝通的全面程度應與環境相適宜，必要時，應

約定如何進行。

d）確保改進達到其預期的目標。

4.3文件要求

4.3.1總則

本公司信息安全管理體系文件包含：

A:信息安全管理手冊（包含文件化的方針、操縱目標、管理體系的范圍及信

息安全習慣性聲明、信息安全策略）；

B:程序文件；

c：作業指導書；

D:風險評估方法的描述.，風險評估報告及風險處理計劃；

E:外來文件；

F:表單。

4.3.2信息安全管理手冊

A:編寫目的：向公司內部或者外部提供關于信息安全管理體系的基本信息，

用于對公司的信息安全管理體系做綱領性與概括性的描述。

B:信息安全管理手冊的編寫：由管理者代表負責紐織編寫，總經理批準后公

布實施。

C:信息安全管理手冊的管理：質量與項目管理中心負責保管及發放管理。

D:信息安全管理手冊的發放：手冊分“受控”與“非受控”兩種。受控手

冊在封面上加蓋紅色“受控文件”章，僅限于公司內部使用，當修訂或者換版時進行相應

操縱，且人員調離時應予歸還；非受控手冊不蓋任何印章，發放對象為認證機構、客戶等,

在修訂與換版時不予操縱。

4.3.3文件與資料管理

公司建立《文件管理程序》，規定下列方面的操縱要求：

A:文件在發放前應按規定的審核與批準權限進行批準后才能公布；

B:必要時對文件進行評審與更新，并按規定的權限重新批準；

C:由質量與項目管理中心對文件的現行修訂狀態進行標識，文件更換由相應

更換部門進行標識，確保文件的更換狀態清晰明了：

D：質量與項目管理中心應確保所有使用文件的場所能夠獲得有關文件的有

效版本：

E:各部門應愛護文件，確保文件清晰，易于辨識；

F:各部門獲得外來文件應統一交有關部門儲存，進行標識并操縱發放；

G:質量與項目管理中心應操縱作廢文件的使用，若各部門有必要儲存作廢

文件時，應向質量與項目管理中心報告并由質量與項目管理中心加蓋“作廢”章。

4.3.4記錄操縱

公司建立《記錄管理程序》，規定公司有關記錄的標識、貯存、保護、檢索、儲存

期限與過期的處理方法等，以提供產品符合要求與信息安全管理體系有效運行的客觀證

據。ISMS記錄應該考慮任何有關的法律與法規要求與合同責任，記錄中應該包含所有過

程的業績，與發生的、與ISMS有關的重大安全事件。

4.3.5有關文件

《文件操縱程序》

《記錄操縱程序》

5.管理職責

5.1管理者承諾:

公司總經理的承諾是：建立與實施信息安全管理體系，持續改善其有效性，確保提交

給客戶滿意的產品與服務，并通過開展下列活動為以上承諾提洪證據：

5.1.1向公司內部員工傳達滿足方針目標、滿足客戶需求、符合法律法規與持續改進的重

要性：

5.1.2制定信息安全方針；

5.1.3確保信息安全操縱目標的制定：

5.1.4進行管理評審；

5.1.5規定職責與權限：

5.1.6確保內部審核的實施；

5.1.7決定信息安全同意風險妁準則與風險的可同意等級；

5.1.8確保為公司管理體系配備必要的資源。

公司的組織機構見附件。

5.1.9職責與權限

A:公司總經理確定組織結構圖，明確公司的組織機構形式，并確定各部門的

職責與權限，予以公布實施。（詳見《信息安全委員會組織結構圖》）

B：各部門應熟悉本部門的職責、權限及相互關系，以便更好地開展工作，保

證體系的有效性，各崗位具體信息安全職責見《崗位說明書》。

C:各部門職責與權限

a）總經理：

?任命管理者代表，明確管理者代表的職責與權限：

?確保在內部傳達滿足客戶與法律法規的重要性；

?為信息安全管理體系配備必要的資源；

?主持管理評審：

?負貢公司信息安全管理與企業管理的計劃、組織、協調、監督、操

縱與考核工作；

?遵守公司信息安全的有關規定與本崗位有關的保密要求。

b）管理代表者：

?負責建立、實施、保持與改進信息安全管理體系，保證信息安全體

系的有效運行：

?負責公司信息安全管理手冊的審核，程序文件的批準，組織并領導

公司內部1SMS審核JL作：

?負責向總經理報告信息安全體系運行的業績與任何改進的需求；

?負責就宿息安全管理體系有關事宜的對外聯絡；

?遵守公司信息安全的有關規定與本崗位有關的保密要求。

0軟件研發中心：

軟件研發中心下設6個部門，其中JAVA技術部、.NET技術部、稅務研發部、

通信事業部這4個部門根據不一致業務領域進行軟件產品的研制與研發，其職

責是：

?需求調研：

?負責與領客溝通與聯系；

?提供顧客產品的資料；

?軟件產品的開發方案的設計與制作；

?進行軟件產品的開發；

?項目實施的計劃編排與操縱；

?對開發完成的產品進行及時的業務培訓：

?技術支持；

?負責工年過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定馬木崗位有關的保

密要求。

綜合保護部的職責是：

?市場信息的搜集；

?解決方案的設計與制作：

?對開發完成的產品進行及時的業務培訓：

?售后服務的技術支持；

?外包服務的提供：

?負責工，’乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

測試部的職責是：

?軟件產品的測試；

?測試資源的管理與保護；

?數據分析；

?負員工年過程中的信息安全實施；

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

d）系統集成中心：

系統集成中心下設技術支持中心、工程中心與采購中心，其中技術支持中

心與工程中心的職責是：

?需求調研：

?解決方案的設計與制作；

?項目實施的計劃編排與操縱：

?檢驗規范的制定與管理；

?外包服務的提供：

?技術支持；

?負責工年過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

采購中心的職責是：

?供方的逃擇與評估；

?采購產品、不合格品的檢驗與處理；

?負責?工年過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

e）業務中心：

業務中心下設五個部門，其中海外業務部專門從事軟件外包業務的開拓。

該中心的下設部門的職責為：

?市場信息的搜集；

?負責同客戶進行業務溝通工作：

?提供顧客產品的資料；

?市場開拓；

?合約、定單的審查及變更的處理；

?負責根據簽訂的顧客要求安排生產；

?顧客報怨的受理與回饋；

?顧客滿意度的調查;

?顧客售后服務的受理；

?負責工年過程中的信息安全實施；

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

f）服務中心：

?市場信息的搜集:

?負責與顧客溝通與聯系；

?提供顧客產品的資料；

?市場開拓：

?合約、定單的審查及變更的處理：

?顧客報怨的受理與回饋；

?顧客滿意度的調查；

?顧客售后服務的受理；

?技術支待；

?負貢工，'乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

g）行政管理部：

行政管理部下設管理部與網管中心，其職責為：

?負責公司計算機及網絡設備的管理與保護；

?負責熟悉世界計算機及網絡技術的進展趨勢，為公司計算機及網絡

設備的更新與升級提出建議并予以實施：

?負責客戶大規模電子文件的接收與發送；

?負責公司網站的管理、保護與內容更新：

?保障公司IT方面的信息安全；

?負貨公司應用系統軟件的管理與保護；

?負貢公司信息安全內部審核的管理；

?負責工年過程中的信息安全實施；

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

h）人力資源部：

?負責人力資源管理工作，確保人員的信息安全；

?負貢工，’乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

1）質量與項目管埋中心：

?項目實施的監控與管理；

?合約、定單的審查及變更的處理；

?監督并審核質量執行與達成狀況；

?監督各部門主管落實質量方針，實現質量目標；

?質量特殊矯正措施的監督；

?不合格品管理的監督；

?顧客埋怨處理與計策的追蹤；

?顧客滿意度調查后的匯整分析及改進；

?質量體系內部審核的計劃編制與執行；

?數據分析與改進：

?公司所有體系文件、文檔資料的管理；

?負責工，’乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

j）財務部：

?實行日常財務管理與會計核算，編制與執行企業財務計劃；

?操縱企業運作成本，按月進行各類財務分析?，為管理層提供決策根

據；

?向有關管理部門上交各類財務報表，如實反映企業經營狀況；

?與各結算銀行進行業務溝通與聯系，向國家稅務部門按時繳納各項

稅金。

?負責工，’乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

k）分支機構:

倫敦辦事處要緊職賁：

?負貢公司與海外合作公司的溝通：

?負責海外市場的拓展；

?負責海外合作項目的跟蹤、監控與協調。

?負責工，'乍過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

北京辦事處要緊職責：

?負責公司的重大項目的協調工作。

?負責公司對外分支機構選址與建立。

?負責工作過程中的信息安全實施：

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

蘇州、無錫、常州辦事處要緊職責：

?開拓公司稅務產品的市場與售后服務工作；

?負責江蘇省內各個代理的管理；

?負責公司產品在其它地區的銷售與保護工作。

?負責工作過程中的信息安全實施；

?本部門人員務必遵守公司信息安全的有關規定與本崗位有關的保

密要求。

5.2資源管理

公司應確定并提供確?？蛻魸M意，保持信息安全管理體系有效運行并持續改進所需的

資源，并對資源進行有效操縱與管理。

公司資源包含：人力資源、計算機網絡系統、工作環境及技術、信息等。

5.2.1資源提供

a）建立實施運行監控評審與保護信息安全管理，本系：

b）確保信息安全程序支持業務要求；

c）識別與強調法律法規要求與合同安全責任；

d）正確的應用所有實施的操縱措施保護足夠的安全：

e）通過管理評審或者其他評審活動對資源的充分性進行評審，并對評審的

結果采取適當措施：

f）需要時.，改進信息安全管理體系的有效性。

5.2.2培訓、意識與能力

公司確定從事與信息安全有關的人員所需的能力，采取下列操縱確保這些人員能夠勝

任工作：

u）確定從事影響信息安全管理體系的人員所必要的能力，通過《崗位說明

書》的任職要求來確定，并在招聘活動中確認有關信息安全的任職要求：

b）對人員提供培訓或者其他措施滿足這些要求；

c）評價采取培訓與采取措施的有效性：

d）建立并組織實施《人力資源管理程序》，對以上方面進行操縱，并儲存

與教育、培訓、技能、經驗及對員工能力評價的記錄。

應確保所有有關人員認識到他們信息安全活動的有關性與羽要性，與他們如

何為實現信息安全管理體系目標做奉獻。

5.2.3有關文件

《人力資源管理程序》

信息安全體系要求與體系文件及部門職能分配表:

責任部門

質

系量

軟

統

分

管

行人與

件

服

業財

理

總

政

集

支

研

務力項

務

經

條文要求者

ISO27001務管

成

發

中

機

理資

代

理