信息安全管理手册

1、XXXXXX 科技 XX编号XX-ISMS-01版本A/0密级内部限制受 控是A 安 全 管 理 手 册生效日期核准审査制订2016. 3. 1修改记录序号修改原因修改内容修改人/时间批准人/时间备注3 / 33目录0.1、信息安全管理手册发布令0.2、管理者代表任命书0.3、公司简介0.4、信息安全方针0.5、信息安全目标1、X围2、引用标准3、术语和定义4、信息安全管理体系4.1组织环境4.2理解相关方的需求和期望4.3明确信息安全管理体系的X围4.4信息安全管理体系5、领导5.1领导和承诺5. 2方针5.3组织角色、职责和权力6、计划6.1处置风险和机遇6.2信息安全目标的计划和实现7、

2、支持7.1资源7.2能力0.1信息安全管理手册发布令7. 3意识7. 4沟通7.5文档要求8、实施8. 1运行计划和控制8.2信息安全风险评估8. 3信息安全风险处置9、绩效评价9.1监视、测量、分析和评价9.2内部审核9. 3管理评审10、改进10.1不符合项和纠正措施10. 2持续改进附件：附件一：信息安全职能分配表附件二：信息安全职责附件三：信息安全管理体系程序文件清单附件四：信息安全管理体系作业指导书文件清单5 / 33为提高XXXXXX科技XX的信息安全管理水平，保障企业经营、服务和日常管理活动, 防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或安全事故, 公司开

3、展贯彻IS0/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求标准 的工作，建立文件化的信息安全管理体系，制定了 XXXXXX科技XX信息安全管理手册 （以下简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领和行 动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运 行、持续改进，是XXXXXX科技XX信息安全管理工作长期遵循的准则。全体职工必须严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规 定，努力实现XXXXXX科技XX的管理目标和管理承诺。本手册自颁布之日起生效执行。XXXXXX科技XX总经理：二o六

4、年三月一日0. 2管理者代表任命书兹委任担任XXXXXX科技XXIS027001信息安全管理体系管理者代表。他将履行以下职责及权限：1、负责公司IS027001的推行认证工作，负责组织信息安全管理体系建立、实施 和维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准；2、信息安全管理体系内部审核的策划、组织及实施；3、批准信息安全管理体系程序文件；4、代表公司就信息安全的有关事项和外部进行联络。总经理:日期：二O六年三月一日公司组织架构如下图所示:9 / 330.4信息安全方针实施风险管理，确保信息安全，保障业务可持续发展。信息安全方针含义：乩根据本公司业务信息安全的特点、法律法规要求

5、，建立风险评估程序，确定风 险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发 生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资 产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险 的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。C.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人 为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进, 保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯， 最终保障

6、企业生产、经营、管理和服务的持续和安全，实现企业发展目标。05、信息安全目标：本公司信息安全目标：1）安全事件发生次数：重大安全事件目标值：0次/年；较大安全事件目标值：不大于4次/年；一般安全事件目标值：不大于8次/年。2）信息泄密次数：保证各种需要XX的资料（包扌舌电子文档、光盘等）不被泄密，确保秘密、XX信息不泄漏给非授权人员。信息泄密次数目标值：0次/年各部门信息安全目标:部门部门信息安全目标统计方式监测 频率综合部1、人员招聘手续办理完 成率100%；2、人员教育或培训实施 率 100%；3、人员离职手续办理完 成率100%；4、办公环境消防设施配 置率100%；5、办公环境消防设施

7、点 检率100%；6、每年至少组织实施完 成1次信息安全内审，且 资料齐全；7、每年至少组织实施完 成1次信息安全管理评 审，且资料齐全；8、每年至少进行1次信 息安全体系文件评审及 更新；9、每年至少组织实施完 成1次风险评估。1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况；4、现场检查办公环境消防器材配备情 况；5、现场检查办公环境消防器材的检修情 况；7、按照信息安全内审计划执行内审及改 进，及时整理信息安全内审资料；8、按照信息安全管理评审计划执行评审 及改进，及时整理信息安全管理评审资 料；9、每年集中对信息安全管理体系文件进 行

8、评审，必要时进行更新；10、每年组织各相关部门进行风险评佔 回顾、对新增或发生变化的信息资产进 行风险评估。每年研发部1、网络非正常中断每月 W1次。2、主机系统非正常中断 每月W1次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半 年其他部 门至要文档及数据被正确 保管及使用，XX信息泄 露次数为0次每半年检查一次日常工作文件及数据是 否被正确保管及使用，以及XX信息泄露 相关事件。每年1、X围1.1 总则为了建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系（简 称ISMS）,确定信息安全方针和目标，对信息安全风险进行有效管理，确保全体员工理 解并遵照执

9、行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定 本手册。1.2 应用1.2. 1覆盖X围木信息安全管理手册规定了 XXXXXX科技XX信息安全管理体系的建立和管理、管 理职责、内部审核、管理评审和体系持续改进等方面内容。1.2.2删减说明本信息安全管理手册采用了 IS0/IEC27001:2013标准正文的全部内容，对附录A 的删减见适用性声明SoAK2、规X性引用文件IS0/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求IS0/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则11/333、术语和定义3. 3. 1 ISO/IEC 2

10、7001:2013信息技术-安全技术-信息安全管理体系要求、 IS0/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则规定的术语和 定义适用于本信息安全管理手册。3. 3.2 本组织、本公司、我司：指XXXXXX科技XX。4、信息安全管理体系4.1组织环境组织外部环境包括如下几个方面，但并不局限于此：文化、政治、法律、规章、金融、技术、经济、自然环境以及竞争环境，无 论是国际、国内、区域或地方；影响组织目标的主要驱动因素和发展趋势；外部利益相关者的观点和价值观。组织内部环境包括如下几个方面，但并不局限于此：资源与知识的理解能力（如：资本、时间、人力、流程、系统和技术）；信息

11、系统、信息流动以及决策过程（包括正式和非正式的）；内部利益相关者；政策，为实现的目标及战略；观念、价值观、文化；组织通过的标准以及参考模型；以上相关因素将影响公司实现信息安全管理体系的预期成果。4. 2理解相关方的需求和期望小与本公司信息安全管理体系有关的相关方有：供方、合同方、顾客及其他第三 方访问者。b）各相关方对我司的信息安全需求，包括了信息安全相关法律法规要求和合同规 定的义务。4.3本公司信息安全管理体系的X围和边界本公司根据业务特征、组织结构、地理位置、资产和技术定义了 X围和边界，木 公司信息安全管理体系的X围包括：8）业务X围：ooooo。的设计开发和服务的信息安全管理活动；b

12、）信息系统X围：所述活动、系统及支持性系统包含的全部信息资产；C）组织X围：与所述业务有关的部门和所有员工；d）地理X围：。4. 4信息安全管理体系本公司按照ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系-要求 规定，参照IS0/IEC 27002:2013 信息技术-安全技术-信息安全管理实用规则，建立、 实施、运行、监视、评审、保持和改进文件化的信息安全管理体系。13 / 335领导5.1领导和承诺木公司通过以下行动证明公司实施了与信息安全管理体系有关的领导工作与承诺：a）确保建立与组织战略目标一致的信息安全方针和信息安全目标；b）确保信息安全管理体系要求集成到组

13、织的管理流程；c）确保提供信息安全管理体系需要的各项资源；d）传达信息安全管理的重要性及信息安全管理体系要求；e）确保信息安全管理体系实现其预期目标；f）指导和支持信息安全团队；g）促使持续改进；h）支持其他相关的管理者在其职责X围内履行管理职责。5.2方针为了满足适用法律法规及相关方要求，维持公司经营和管理的正常进行，实现业务 可持续发展的目的。木公司根据组织的业务特征、组织结构、地理位置、资产和技术定 义了 ISMS方针，见木信息安全管理手册第0.4条款。该信息安全方针符合以下要求：1）为信息安全目标建立了框架，并为信息安全活动建立整体的方向和原则；2）考虑业务及法律或法规的要求，及合同的

14、安全义务；3）与组织战略和风险管理相一致的环境下，建立和保持ISMS；4）建立了风险评价的准则；5）经最高管理者批准。5. 3组织角色、职责和权力5. 3. 1信息安全组织机构本公司成立了由最高管理者、管理者代表及各部门负责人组成的信息安全委员会， 其职责是实现信息安全管理体系方针和木公司承诺，负责制订、落实信息安全管理工作 计划，建立健全企业的信息安全管理体系，保持其有效、持续运行。木公司采取相关部门代表组成的运行分析会议的方式，进行信息安全协调和协作， 以：R确保安全活动的执行符合信息安全方针；b）确定怎样处理不符合；c）批准信息安全的方法和过程，如风险评估、信息分类；5. 3. 2信息安

15、全职责和权限木公司总经理为信息安全最高管理者，对信息安全全而负责，主要包括：a）组织制定信息安全方针及目标，任命管理者代表，明确管理者代表的职责和权 限。b）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。c）为信息安全管理体系配备必要的资源。各部门负责人为木部门信息安全管理责任者，全体员工都应按XX承诺的要求自觉 履行信息安全XX义务；各部门有关信息安全职责分配见信息安全管理职能分配表。各部门应按照信息安全适用性声明中规定的安全目标、控制措施（包括安全运 行的各种控制程序）的要XX施信息安全控制措施。15 / 336. 1处置风险和机遇6. 1. 1总则为实现公司信息安全管理

16、体系方针和目标，我司参考组织环境中的问题和相关方的 需求和，来决定需要被处置的风险和机遇：a）确保信息安全管理体系可以实现其预期目标；b）避免或减少不良影响；c）实现持续改进。公司对以下方面进行规划：a）处置风险和机遇的行动；b）如何1）将实施行动整合到信息安全管理体系流程中；2）评价行动的有效性。6. 1. 2信息安全风险评估公司制定信息安全风险评估控制程序，建立识别适用于信息安全管理体系和已 经识别的业务信息安全、法律和法规要求的风险评估方法，建立接受风险的准则并识别 风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的 结果。信息安全风险评估的流程见芒I 2.风险

17、巧估流程图。资产识另与妄珈产确主 IJ.1阪胁识别11已有控制摺庙确认1鸿弱点识别I ?件发生朗可能性pI事件崟生的莊5 PI确定冈险等级i忑详目标卩 17 / 33公司实施信息安全风险评估流程，从而：a）建立和维护信息安全风险标准，包括：1）风险接受标准；2）实施信息安全风险评估的标准；b）确保信息安全风险评估活动产生一致性，产生有效的和可比较的结果；c）识别信息安全风险：1）在信息安全管理体系X围内，通过信息安全风险评估流程，识别由于信息的XX性、完整性和可用性的丧失带来的风险；2）识别风险的属主；d）分析信息安全风险：1）评估在信息安全风险评估中识别的风险产生的潜在后果；2）评估在信息安

18、全风险评估中识别的风险转化为事件的可能性；3）确定风险的等级；e）评价信息安全风险：1）将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较；2）根据风险等级确定风险处置的优先级。f）组织保留有关信息安全风险评估的过程文档。6.1.3信息安全风险处置公司根据风险评估的结果，形成风险处理计划，该计划明确了风险处理责任部门、 负责人、处理方法及起始、完成时间。对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：R采用适当的内部控制措施；b）接受风险（不可能将所有风险降低为零）；c）避免风险（如物理隔离）；d）转移风险（如将风险转移给保险者、供方、分包商）。控制目标及控制措

19、施的选择原则来源于ISO/IEC 27001:2013附录A,具体控制措施 参考IS0/IEC 27002:2013信息技术-安全技术-信息安全管理实用规则组织保留信息安全风险处置的过程文档。6.2信息安全目标的计划和实现本公司建立不同职能及层级的信息安全目标。详见木手册0.5章内容。此信息安全 目标应：a）与信息安全方针一致；b）可度量（如果可操作）；c）考虑适用的信息安全要求，以及风险评估和风险处置结果；d）得到沟通；e）及时更新。信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确：a）要做什么；b）需要什么资源；c）谁来负责；d）什么时候完成；e）如何评价结果。25 /

20、 337.1资源本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响 信息安全管理体系工作的员工的能力是胜任的，以保证：a）建立、实施、运作、监视、评审、保持和改进信息安全管理体系；b）确保信息安全程序支持业务要求；c）识别并指出法律法规要求和合同安全责任；d）通过正确应用所实施的所有控制来保持充分的安全；e）必要时进行评审，并对评审的结果采取适当措施；f）需要时，改进信息安全管理体系的有效性。7.2能力公司制定并实施人力资源安全管理程序文件，确保被分配信息安全管理体系规定职责的所有人员，都必须有能力执行所要求的任务。可以通过：R确定承担信息安全管理体系各工作岗位的职工所必

21、要的能力；b）提供职业技术教育和技能培训或采取其他的措施来满足这些需求；c）评价所采取措施的有效性；d）保留教育、培训、技能、经验和资历的记录。本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性，以及如何为实现信息安全管理体系目标做出贡献。7.3意识公司员工应理解：a）信息安全方针；b）个人对于实现信息安全管理的重要性，提高组织信息安全绩效的收益；c）不符合信息安全管理体系要求所造成的影响。7.4沟通公司制定信息沟通协调管理规X，以明确与信息安全管理体系相关的内、外部沟 通需求，包括：R沟通什么；b）何时沟通；c）和谁沟通；d）谁应该沟通；e）哪种沟通过程有效。7. 5文档要

22、求7. 5.1综述组织的信息安全管理体系包括：a）符合IS0/IEC27001:2013标准的文件包括：信息安全管理手册、程序文件、管理 规定、作业指导书和为保证信息安全管理体系有效策划、运行和控制所需的受控文件；b）组织所明确的，表明信息安全管理体系有效性的必要的记录文档。7. 5. 2创建和更新公司制定并实施文件控制程序，对信息安全管理体系所要求的文件进行管理，以 确定：a）识别和描述（例如：标题、H期、作者和版本号）；b）格式（例如：语言、软件版本和图形）与介质（例如：纸质、电子）；c）适宜性和充分性经过评审。7. 5. 3文档控制公司制定并实施文件控制程序，对信息安全管理体系所要求的文

23、件进行管理。以 确保：a）在需要的时间和场合可用；b）文档得到充分保护（例如：防止泄密、不当使用或丧失完整性）。文档控制应保证：R文件发布前得到批准，以确保文件是充分的；b）必要时对文件进行评审、更新并再次批准；C）确保文件的更改和现行修订状态得到识别；d）确保在使用时，可获得相关文件的最新版本；e）确保文件保持清晰、易于识别；f）确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和 最终的销毁；g）确保外来文件得到识别；h）确保文件的分发得到控制；i）防止作废文件的非预期使用；j）若因任何目的需保留作废文件时，应对其进行适当的标识。8实施& 1运行计划和控制为确保信息安全管

24、理体系有效实施，对己识别的风险进行有效处理，本公司开展以 下活动：R形成风险处理计划，以确定适当的管理措施、职责及安全控制措施的优先级；b）为实现己确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；c）实施所选择的控制措施，以实现控制目标的要求；d）确定如何测量所选择的控制措施的有效性，并规定这些测量措施如何用于评估控 制的有效性以得出可比较的、可重复的结果；e）进行信息安全培训，提高全员信息安全意识和能力；f）对信息安全体系的运作进行管理；g）对信息安全所需资源进行管理；h）实施控制程序，对信息安全事故（或征兆）进行迅速反应。公司保留以上必要的过程文档信息，以表明相关过程己按照计划

25、执行。控制计划更 改，并审核计划变更的影响，如有必要采取措施减少不利影响。确保外包过程受控。& 2信息安全风险评估8. 2.1识别风险在已确定的信息安全管理体系X围内，按照计划，或者在重大改变提岀或发生时进 行信息安全风险评估，本公司执行信息安全风险评估控制程序，对所有的资产进行列 表识别，并识别这些资产的所有者。资产包括-硬件与设施、软件与系统、数据与文档、 服务及人力资源。对每一项资产按自身价值、信息分类、XX性、完整性、法律法规符合 性要求进行了量化赋值，形成资产清单。同时，根据信息安全风险评估控制程序，识别对这些资产的威胁、可能被威胁利 用的脆弱性、识别资产价值、XX性、完整性和可用性

26、、合规性损失可能对资产造成的影 响。8. 2. 2分析和评价风险本公司按信息安全风险评估控制程序，分析和评价风险：R针对重要资产自身价值、XX性、完整性和可用性、合规性损失导致的后果进行赋 值；b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的控制措施，判定安全 失效发生的可能性，并进行赋值；c）根据信息安全风险评估控制程序计算风险等级；d）根据信息安全风险评估控制程序中的风险接受准则，判断风险为可接受或 需要处理。公司根据风险评估的结果，形成了风险处理计划，该计划明确了风险处理责任部 门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置，并保持处置的记 录。对风险处理后的剩余风

27、险，得到了管理者的批准。9绩效评价9. 1监视、测量、分析和评价本公司通过实施监视、测量、分析和评价控制程序以监视、测量、分析和评价 公司信息安全管理状况结果，以实现：R及时发现处理结果中的错误、信息安全体系的事故和隐患；b）及时了解识别失败的和成功的安全破坏和事件、信息处理系统遭受的各类攻击；c）使管理者确认人工或自动执行的安全活动达到预期的结果；d）使管理者掌握信息安全活动和解决安全破坏所采取的措施是否有效；e）积累信息安全方而的经验；9.2内部审核公司建立内部审核控制程序。内部审核控制程序包括策划和实施审核以及报 告结果和保持记录的职责和要求。并按照策划的时间间隔（两次内部审核的间隔不得

28、超 过12个月）进行内部信息安全管理体系审核，以确定其信息安全管理体系的控制目标、 控制措施、过程和程序是否：a）符合木标准的要求和相关法律法规的要求；b）符合己识别的信息安全要求；c）得到有效地实施和维护；d）按预期执行。内部审核的过程文档应清晰地形成记录，并加以保持。g）纠正措施的结果。10. 2持续改进本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正 和预防措施以及管理评审，不断完善信息安全管理体系的适宜性、充分性和有效性。附件一：信息安全职能分配表（注：负责部门；相关部门）:信息安全委员会总经理管理者综合部研发部技术部财务部销售部4组织环境4. 1理解组织及其环

29、境4.2理解相关方的需求和期望4.3明确信息安全管理体系的X隔4.4信息安全管理体系5领导5. 1领导和承诺5.2方针5.3组织角色、职责和权力6计划61处宜风险和机遇6.2信息安全目标的汁划和实现7支持7. 1资源7.2能力7.3意识7.4沟通7.5文档要求8实施8. 1运行计划和控制8.2信息安全风险评估8.3信息安全风险处宜9绩效评价9.1监视.测址.分析和评价9.2内部审核9.3管理评审10改进10.1不符合项和纠正措施10.2持续改进A. 5信息安全方针A. 5.1信息安全管理抬引A.6信息安全组织A. 6.1内部组织A. 6.2移动设备和远程办公A.7人力资源安全A.7. 1任用前

30、A. 7.2任用中A. 7.3任用终止和变更A.8资产管理A. 8.1资产的责任A. 8.2信息分类A. 8.3介质处理A.9访问控制A. 9.1访问控制的业务需求A. 9.2用户访问管理A. 9.3用户责任A. 9.4系统和应用访问控制A. 10加密技术A. 10. 1加密控制A. 11物理和环境安全A. 11. 1安全区域A. 11.2设备安全A. 12操作安全A. 12. 1操作程序及职责A. 12. 2防X恶意软件A. 12. 3备份A. 12. 4日志记录和监控A. 12. 5操作软件的控制A. 12.6技术脆弱性管理A. 12. 7信息系统审il的考虑因素A. 13通信安全A. 1

31、3. 1网络安全管理A. 13. 2信息传输A. 14系统的获取.开发及维护A. 14. 1信息系统安全需求A. 14. 2开发和支持过程的安全A. 14. 3测试数据A. 15供应商关系A. 15. 1供应商关系的信息安全A.15.2供应商服务交付管理A. 16信息安全事件管理A. 16. 1信息安全爭件的管理和改 进A. 16. 1. 1职责和程序A. 16. 1.2报告信息安全事态A. 16. 1.3报告信息安全弱点A. 16. 1.4评估和决策信息安全事 件A. 16. 1.5响应信息安全事故A. 16. 1.6从信息安全事故中学习A. 16. 1.7收集证据A. 17业务连续性管理中

32、的信息安 全A. 17. 1信息安全的连续性A. 17. 2冗余A. 18符合性A. 18. 1法律和合同规定的符合性A. 18. 2信息安全评审附件二：信息安全职责序号架构/部门成员及职能1信息安全 委员会最高管理者总经理：X建厂管理者代表XXX成员XX （销售部）、XX （技术部）、XX （研发部）、XXX （综合部）、XX （财务部）系我司信息安全最高组织机构，负责公司整体信息安全管理工作，推动信息安全 工作的实施；制定信息安全方针、信息安全管理1标；负责审核信息安全小组提 交的信息安全管理体系、规X及管理办法；负责决策与信息安全管理相关的重大 事项，包括信息安全组织机构调整、信息安全关

33、键人事变动以及信息安全管理重 大策略变更、确认可接受的风险和风险水平等；评审与监督重大信息安全事故的 处理与改进；定期组织信息安全管理体系（ISMS）评审等。2最高管理者1）组织并制定信息安全方针策略。2）任命管理者代表，明确管理者代表的职责和权限。3）确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。4）为信息安全管理体系配备必要的资源。5）主持管理评审。6）对信息安全全面负责。3管理者代表1）协助最高管理者建立、实施、检查、改进信息安全管理体系。2）负责建立、实施、保持和改进信息安全管理体系，保证信息安全体系的有效 运行。3）组织公司信息安全风险评估和风险管理。4）组织开展信

34、息安全内部审核、安全检查工作。5）负责向总经理报告信息安全体系运行的业绩和任何改进的需求。6）负责就信息安全管理体系有关事宜的对外联络。7）监控信息安全事件和确保安全控制措施得到执行。4各部门负责 人1）负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。2）参与公司信息安全工作的讨论和决策。3）对信息安全管理体系内部审核、管理评审及其他安全检查时发现的问题及采 取的纠正预防措施进行审核和确认。4）负责管理和维护部门发布的信息安全管理体系相关文件。5）负责信息安全事件的调查及协调处理。6）做好本岗位信息安全相关的XX工作5综合部1）负责监控信息安全管理体系的日常运行。2）负责信息

35、安全管理体系文件的控制。3）负责本公司信息安全管理体系的推行落实。4）负责公司员工招聘、聘用及离职全过程的安全管理。5）负责公司内部人事档案等重要文件资料的安全管控。6）负责公司日常行政安全的管理。7）负责公司办公环境的物理安全，包括人员及物品出入控制、门禁管理等。8）负责公司业务相关的销售管理。9）负责本部门的重要信息的安全XX管控，包括客户信息、商务文档、项口合同、 投标文件等重要文件的安全管控。10）负责公司及部门重要文件资料的安全管控。11）信息安全事件的报告及协助处理。6研发部1）负责公司信息系统的安全规划设计及实施。2）负责公司机房及软硕件系统的安全运行维护。3）负责本部门重要信息

36、的安全管控，包括项口方案、设计文档等重要文件的安 全管控。4）负责信息安全事件的调查及协调处理。7技术部1）负责对公司客户请求的积极响应，妥善处理顾客的投诉等。2）负责本部门重要信息的安全XX管控，包括客户信息等重要数据的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全相关的XX工作8销售部1）负责公司业务相关的销售工作。2）负责本人接触到的重要信息的安全XX管控，包括客户信息、商务文档、项口 合同、投标文件等重要文件的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全相关的XX工作9财务部1）负责公司的财务管理工作。2）负责本部门的重要信息的安全XX管控，包

37、括财务凭证、财务报表、工资单等 重要文件的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全相关的XX工作10IT维护工程 师/网络管 理员1）负责公司信息系统建设及运行维护。2）负责公司机房安全管理。3）负责公司各部门办公电脑的维护及安全管理。4）按时记录网络机房运行日志5）信息安全事件的报告、响应及协调处理。6）做好本岗位信息安全相关的XX工作11会计及出纳1）负责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。2）负责本岗位的重要信息的安全XX管控，包括财务报表、各类凭证等重要文件 的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全相关的XX工作12

38、项口经理及 项目专员1）负责服务项目的具体实施及管理。2）负责本岗位的重要信息的安全XX管控，包括各类基础数据、原始数据、拨打 数据等重要数据的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全相关的XX工作13所有员工1）严格遵守国家及行业的法律法规和政策。2）严格遵守公司的各项信息安全政策。3）正确、安全的使用及保管公司及客户的各类信息资产。4）积极参加信息安全教育与培训，提高信息安全意识。5）信息安全事件的报告及协助处理。6）做好本岗位信息安全相关的XX工作附件三：信息安全管理体系程序文件清单序号文件名称文件编号版本号制定/修订日期制定部门备注1文件控制程序XX-QP-01A/02016. 3. 1综合部受控文件2记录控制程序XX-QP-02A/02016. 3. 1综合部受控文件3内部审核控制程序XX-QP-03A/02016. 3. 1综合部受控文件4管理评审控制程序XX-QP-04A/02016. 3. 1综合部受控文件