ISMSSinosoft信息安全管理手册

1、保密等级公开文档名称信息安全管理手册文档编号ISMS/Si nosoft-h-01-2008发布组织Sinosoft信息安全委员会发布日期2008年1月1日执行日期2008年1月1日版本号A1.0信息安全管理手册批准人签字审核人签字制订人签字日期：2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanji ng Sinosoft Tech no logy Co., Ltd.变更履历序号版本编号或更改记录编号变化状态*简要说明（变更内容、变更位置、变 更原因和变更范 围）变更日期变更人审核人批准人批准日期1A1.0C创建，全页。2008/1 /1许明星茅建平

2、汪晓刚2008/1 /1*变化状态：C创建，A增加，M修改，D一一删除公司介绍南京擎天科技有限公司 (Nanjing Sinosoft Technology Co., Ltd. 简称 Sinosoft) 成立于 1998 年 12 月，通过持续创新， 公司已成长为集应用软件开发、 信息系统集成和专业咨询服务为一体的国家级高新技术企业。2005 年，公司成功中标国税总局的“金税三期出口退税系统”建设工程。 2006年 3月 6 日在伦 敦证交所挂牌上市， 市值达 18 亿元，是国内首家登陆英国资本市场的软件企业。Sinosoft 总部设在南京，在南京市国家级高新技术开发区建有独立的研发 与测试中

3、心，在北京、苏州、无锡、常州设有分支机构及技术服务中心。公司 以领先的技术、稳定可靠的产品、优质完善的服务，赢得了广大客户的支持与 信任，打造出“擎天”品牌。Sinosoft 定位于应用软件的开发，公司先后承担国家、省、市重大科研开 发项目数十项，公司拥有 70 多项自主开发产品，其中 49项获得国家版权局颁 发的著作权证书及有关国家专利，并积极参与全国性的软件标准制订工作。多 个项目被列为“国家重点火炬计划”、“国家火炬计划”、“国家创新基金”、 “国家重点新产品”。多项产品先后荣获中国优秀软件产品、江苏省优秀软件 产品奖(金慧奖) 、江苏省科技进步三等奖、南京市优秀软件一等奖、南京市科 技

4、进步一等奖、南京市科技进步二等奖。 Sinosoft 现有客户 30000 余家，包括 巴斯夫、摩托罗拉、LG等世界500强知名企业。Sinosoft现已在中国、英国、 美国、香港地区、台湾地区注册商标，申请多项专利，今后还将继续加大知识 产权的保护力度。经过多年的积累，公司已获得诸多资质和荣誉，包括：国家信息产业部计算机信息系统集成二级资质通过国际软件成熟度模型集成 CMMI3级评估通过 ISO9001：2000 质量管理体系认证， 04年、 07年顺利通过复审国家智 能化工程设计甲级资质入选国家电子政务标准化总体组成员单位入选国家金税三期工程专家组成员单位 入选全国办公自动化专业委员单位A

5、级纳税单位资信等级为 AAA荣获江苏省名牌称号 江苏省百家重点培育民营科技企业 江苏省重点服务外包企业南京市骨干软件企业 南京市百强科技工业企业江苏软件收入二十强经过多年的市场开拓， Sinosoft 先后承接全国数百个大中型建设项目， 积累了丰富的工程技术经验。目前 Sinosoft 的出口退税系统系列产品在国家 税务总局、 江苏省国税局、 海南省国税局等出口退税部门和 4 万余户出口企业 中应用，并得到良好的应用， 截止 2007年 10月，“擎天出口退税系统软件” 占全国产品市场总份额的 35%，全国同行业第一位。Sinosoft 不断跟踪国际信息技术及相关技术、 管理规范的最新发展，

6、结合中国国情和实际经验， 不断更新软件开发、 系统集成、 工程管理等方面的 技术水平和规范标准，依托企业形成市场、技术、人才和产品的良性循环，努 力将“ Sinosoft 技术中心”建成全省共性软件、 平台软件和基础软件新技术、 新产品、 新标准的“辐射中心”， 带动本行业开发企业不断向更高更新的层次 发展。信息安全方针批准令信息安全管理体系方针1总体方针： 实施风险管理，技术管理同步，确保信息安全，满足相关方要求，实现可持续发展。 2诠释：我们通过计算机及网络设备提供公司各种业务服务的开展， 因此， 信息资产的安全性对 我们来说是最重要的事情。为了保证各种信息资产的保密性、 完整性、 可用性

7、，给客户提供 更加安心的服务，我们依据 ISO/IEC 27001:2005 标准，建立信息安全管理体系，并承诺如 下：2 1 在公司内各层次建立完整的信息安全管理组织机构，确定信息安全方针、安全目 标和控制措施，明确信息安全的管理职责；2 2 识别并满足适用法律法规和政府、客户等相关方的信息安全要求；2 3 定期进行信息安全风险评估，体系评审，采取纠正预防措施，保证本公司信息安 全体系的持续有效性；2 4 采用先进有效的设施和技术，处理、传递、储存和保护各类信息；25 对全体员工进行持续的信息安全教育和培训， 不断增强员工信息安全意识和能力； 2 6 制定并保持完善的业务连续性计划，实现可持

8、续发展；27 对于本基本方针的适用性、 充分性， 将结合实际状况定期评审，必要时予以修订； 2 8 公司根据本信息安全管理体系方针制定各种策略。2 0 0 8年1月南京擎天科技有限公司 总经理：1. 目的和范围为了建立、 健全本公司信息安全管理体系， 确定信息安全方针和目标， 对信息安全风 险进行有效管理， 确保全体员工理解并遵照执行信息安全管理体系文件、 持续改进管理体 系的有效性，特制定本手册。1.1 本手册按照 ISO/IEC 27001:2005 信息安全管理体系要求 ，并结合我公司管理的实 际情况编写， 用于在合同条件下向客户和第三方证明我公司的信息安全管理体系能满足规 定的标准。1

9、.2 信息安全管理体系适用范围本手册适用于 4.2.1 条款确定范围内的信息安全管理活动。1）数据处理活动；2）本公司范围内的上诉业务流程包括的部门和员工；3）与 2） 所述活动相关的应用系统及支持性信息管理系统包含的全部信息资产；4）公司连接互联网的服务器及相关数据传输的活动。2. 引用标准ISO/IEC 17799:2005 信息技术安全技术 - 信息安全管理实施细则ISO/IEC 27001:2005 信息安全管理体系要求3. 术语和定义本手册采用 ISO/IEC 27001:2005 中的术语和定义。3.1 要求 明示的、通常隐含的或必须履行的需求或期望。3.2 顾客满意 顾客对其要求

10、已被满足的程度的感受。3.3 信息安全管理体系 在信息安全方面指挥和控制组织的管理体系。3.4 方针 由组织的最高管理者正式发布的该组织总的安全宗旨和方向。3.5 目标 在安全管理方面 , 所追求的目的。3.6 持续改进 增强满足要求的能力的循环活动。3.7 顾客 接受产品的组织或个人。3.8 供方 提供产品的组织或个人。3.9 组织职责、权限和相互关系得到安排的一组人员及设施。3.10 相关方 与组织的业绩或成就有利益关系的个人或团体。3.11 过程 一组将输入转化为输出的相互关联或相互作用的活动。3.12 产品 过程的结果。3.13 可追溯性 追溯所考虑对象的历史、应用情况或所处场所的能力

11、。3.14 预防措施 为消除潜在不合格或其他潜在不期望情况的原因所采取的措施。3.15 纠正措施 为消除已发现的不合格或其他不期望情况的原因所采取的措施。3.16 手册 规定组织安全管理体系的文件。3.17 审核 为获得审核证据并对其进行客观的评价, 以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。3.18 评审 为确定主题事项达到规定目标的适宜性、充分性和有效性所进行的活动。3.19 记录 阐明所取得的结果或提供所完成活动的证据的文件。3.20 规范 阐明要求的文件。3.21 资产 对组织有价值的任何事物。 ISO/IEC 13335-1:20043.22 可用性 已授权实体

12、一旦需要就可访问和使用的特性。ISO/IEC 13335-1:20043.23 保密性 使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。 ISO/IEC 13335-1:20043.24 信息安全 保持信息的保密性、完整性和可用性；另外，还可能包括真实性、可核查性、抗抵赖 和可靠性。 ISO/IEC 17799 ： 20053.25 信息安全事情系统、 服务或网络状态已经确认发生显示可能违背信息安全方针或安全故障，或可能与安全相关的以前未知的情况 ISO/IEC TR 18044:20043.26 信息安全事件单一或一系列不必要的或不期望的有危及业务运作和威胁信息安全的重大可能

13、的信 息安全事件 ISO/IEC TR 18044:20043.27 信息安全管理体系 (ISMS) 组织整个管理体系的一部分，以业务风险方法为基础，建立、实施、运作、监视、评 审、保持并持续改进信息安全。注：管理体系包括：组织结构、方针、计划活动、职责、规范、程序、过程和资源。3.28 完整性 保护资产准确性和完备性的特性。 ISO/IEC 13335-1:20043.29 剩余风险 经过风险处理后残留的风险。 ISO/IEC 73 指南 :20023.30 风险接受 接受某一风险的决定。 ISO/IEC 73 指南 :20023.31 风险分析 系统的使用信息，以识别来源并估计风险。 IS

14、O/IEC 73 指南 :20023.32 风险评估 整个风险分析和风险评价过程。 ISO/IEC 73 指南 :20023.33 风险评价 依据给定的风险准则比较已估计的风险，以确定风险严重程度的过程。 ISO/IEC 73 指南 :20023.34 风险管理 指导并控制组织有关风险的协调的活动。 ISO/IEC 73 指南 :20023.35 风险处理 选择并实施措施以降低风险的过程。 ISO/IEC 73 指南 :20023.36 适用性声明描述关于并适用于组织的 ISMS的控制目标和控制措施的文件。 注：控制目标和控制措施是建立在风险评估和处理过程的结果和结论、 法律法规要求、 合同义

15、务和组织的信息安全业务要求的基础上。3.37 有关缩写的术语ISO-国际标准化组织IEC- 国际电工委员会GB-国家标准ISMS-信息安全管理体系Sinosoft- 南京擎天科技有限公司4. 信息安全管理体系4.1 总要求公司依据ISO/IEC 27001:2005 标准的要求，建立、实施、运行、监视、评审、保持和改进信息安全管理体系，形成文件；本公司全体员工将有效地贯彻执行并持续改进有效性，对过程的应用和管理详见信息安全管理体系过程模式图（图1 ）。信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险的管理体系；图1信息安全管理体系过程模式图4.2 建立和管理 ISMS4.

16、2.1 建立 ISMS公司应：a）根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界，包括在范围内任何删减的细节和理由（见标准 1.2 ）。本公司ISMS的范围和边界包括：1）数据处理活动；2）本公司范围内的上诉业务流程包括的部门和员工；3）与 2） 所述活动相关的应用系统及支持性信息管理系统包含的全部信息资产；4 ） 公司连接互联网的服务器及相关数据传输的活动。b）根据公司的业务特征、组织结构、地理位置、资产和技术定义ISMS方针，必须满足以下要求：1）为ISMS目标建立一个框架并为信息安全活动建立整体的方向和原则；2）考虑业务及法律或法规的要求，以及合同的安全义务；3

17、）与公司战略和风险管理相一致的环境下，建立和保持ISMS；4）建立风险评价的准则；5）总经理批准发布ISMS方针。c）定义公司风险评估方法。质量与项目管理中心负责建立 信息安全风险评估管理程序 并组织实施。信息安 全风险评估管理程序包括可接受风险准则和可接受水平。1）识别适用于 ISMS 和已经识别的业务信息安全、法律和法规要求的风险评估方 法。2）建立接受风险的准则并识别风险的可接受等级 。 选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。注：风险评估具有不同的方法。具体参照 ISO/IEC TR 13335-3 ，信息技术 IT 安 全管理指南 IT 安全管理技术 。3）公司

18、的风险评估的流程信息资产识别 - 重要信息资产 （通过资产评估标准） - 信息资产的威胁识别和评价 - 薄弱点识别和评价 （对应威胁） - 确认已经采取的安全控制措施确定风险等级 （风险等 级标准）d）识别风险：1）识别ISMS控制范围内的资产以及这些资产的所有者；在已确定的ISMS范围内，对所有的信息资产进行列表识别。信息资产包括文档 /数据、软件 / 系统、硬件 / 设施、人力 资源、 服务、无形资产等。 对每一项信息资产， 根据重要信息资产判断依据确定是否为重要 信息资产，形成信息资产识别表 。2）识别对这些资产的威胁，一项资产可能面对若干个威胁；3）识别可能被威胁利用的脆弱性，一项脆弱

19、性也可能面对若干个威胁；4) 识别保密性、完整性和可用性损失可能对资产造成的影响。解释： “所有者”代表已被授权的个人或实体，对资产的生产、开发、维护、使 用、安全负有管理责任。 “所有者”不代表个人对资产具有真正的财产权。e) 分析并评价风险：1) 在资产识别的基础上，针对每一项重要信息资产，依据风险评估原则中的信息资产CIAB分级标准，进行 CIAB的资产赋值计算；2) 针对每一项重要信息资产，参考风险评估原则中的威胁参考表及以往 的安全事故 (事件) 记录、信息资产所处的环境等因素，识别出重要信息资产所面临的所有 威胁；3) 按照风险评估原则 中的威胁分级标准对每一个威胁发生的可能性进行

20、赋值；4) 针对每一项威胁，考虑现有的控制措施，参考风险评估原则中的脆弱性参 考表识别出被该威胁可能利用的所有薄弱点，并根据风险评估原则中的脆弱性分级 标准对每一个脆弱性被威胁利用的难易程度进行赋值；5) 按照风险评估模型结合威胁和脆弱性赋值对风险发生可能性进行评价。6) 按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。7) 按照风险评估模型对风险发生可能性和风险发生的损失进行计算得出风险评估 赋值，并按照风险评估原则中的风险等级标准评价出信息安全风险等级。8) 对于信息安全风险， 在考虑控制措施与费用平衡的原则下制定的信息安全风险接 受准则，按照该准则确定何种等级的风险为不可接

21、受风险。f) 识别并评价风险处理的选择：对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：1) 应用适当的控制以降低风险：这可能是降低事件发生的可能性，也可能是降低 安全失败 (保密性、完整性或可用性丢失 ) 的业务损害。2) 如果能证明风险满足公司的方针和风险接受准则，有意的、客观的接受风险； 一般针对那些不可避免的风险， 而且技术上、 资源上不可能采取对策来降低， 或者降低对公 司来说不经济。 “接受风险”是针对判断为不可接受的风险所采取的处理方法，而不是针 对那些低于风险接受水平的本来就可接受的风险。3) 避免风险；对于不是公司的核心工作内容的活动，公司可以采取避免某

22、项活动 或者避免采用某项不成熟的产品技术等来回避可能产生的风险。4) 将有关的业务风险转移到其他方，例如保险公司、供方。信息安全委员会应组织有关部门根据风险评估的结果，形成风险处理计划，该计划应明确风险处理责任部门、方法及时间。g) 为风险的处理选择控制目标与控制措施。应选择并实施控制目标和控制措施，以满足风险评估和风险处理过程所识别的要 求。选择时，应考虑接受风险的准则以及法律法规和合同要求。信息安全委员会根据信息安全方针、 业务发展要求及风险评估的结果， 组织有关部 门制定信息安全目标， 并将目标分解到有关部门。 信息安全目标应获得信息安全最高责任者 的批准。从附录 A 中选择的控制目标和

23、控制措施应作为这一过程的一部分，并满足上述要 求。公司也可根据需要选择另外的控制目标和控制措施。注：附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录 A 作为选择控制措施的出发点，以确保不会遗漏重要的控制可选措施。h) 获得最高管理者对建议的剩余风险的批准，剩余风险接受批准应该在风险评估表上 留下记录。i) 获得管理者对实施和运行 ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签 署可以作为实施和运作 ISMS的授权证据。j) 准备适用性声明，内容应包括：1) 所选择的控制目标和控制措施，以及选择的原因；2) 当前实施的控制目标和控制措施；3

24、) 附录A中控制目标和控制措施的删减，以及删减的理由。4) 质量与项目管理中心负责组织编制信息安全适用性声明 。注：适用性声明提供了一个风险处理决策的总结。 通过判断删减的理由， 再次确认 控制目标没有被无意识的遗漏。4.2.2 实施并运作 ISMS为确保ISMS有效实施，对已识别的风险进行有效处理，本公司开展以下活动：a) 制定风险处理计划阐明为控制信息安全风险确定的适当的管理活动、职责以及 优先权。b) 为了达到所确定的控制目标，实施风险处理计划，包括考虑资金以及角色和职责的分配，明确各岗位的信息安全职责；c) 实施所选的控制措施，以满足控制目标。d) 确定如何测量所选择的一个 / 组控制

25、措施的有效性， 并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果。注：测量控制措施的有效性允许管理者和相关人员来确定这些控制措施实现策划的 控制目标的程度。e) 实施培训和意识计划。f) 对ISMS的运作进行管理。g) 对ISMS的资源进行管理。h) 实施能够快速检测安全事情、响应安全事件的程序和其它控制。4.2.3 监控并评审 ISMSa) 本公司通过实施不定期安全检查、内部审核、事故报告调查处理、电子监控、 定期技术检查等控制措施并报告结果以实现：1) 快速检测处理结果中的错误；2) 快速识别失败的和成功的安全破坏和事件；3) 能使管理者确认人工或自动执行的安全活动达

26、到预期的结果；4) 帮助检测安全事情，并利用指标预防安全事件；5) 确定解决安全破坏所采取的措施是否有效。b) 定期评审ISMS的有效性(包括安全方针和目标的符合性，对安全控制措施的评审)，考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。c) 测量控制措施的有效性，以证实安全要求已得到满足。d) 按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级， 考虑到下列变化：1) 组织机构和职责；2) 技术；3) 业务目标和过程；4) 已识别的威胁；5) 实施控制的有效性；6) 外部事件， 例如法律或规章环境的变化、 合同责任的变化以及社会环境 的变化。e) 按照计划的

27、时间间隔(不超过一年)进行ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司 的名义进行的审核。f) 定期对ISMS进行管理评审，以确保范围的充分性，并识别ISMS过程的改进。g) 考虑监视和评审活动的发现，更新安全计划。h) 记录可能对ISMS有效性或业绩有影响的活动和事情。4.2.4 保持并持续改进 ISMS本公司开展以下活动，以确保ISMS的持续改进：a) 实施已识别的ISMS改进措施。b) 采取适当的纠正和预防措施。吸取从其他公司的安全经验以及组织自身安全实 践中得到的教训。c) 与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜，必要时，应约定如

28、何进行。d) 确保改进达到其预期的目标。4.3 文件要求4.3.1 总则本公司信息安全管理体系文件包括：A：信息安全管理手册(包括文件化的方针、控制目标、管理体系的范围及信息安全适应性声明、信息安全策略 ) ；B: 程序文件；C：作业指导书；D: 风险评估方法的描述 . ，风险评估报告及风险处理计划；E: 外来文件；F: 表单。4.3.2 信息安全管理手册A: 编写目的： 向公司内部或外部提供关于信息安全管理体系的基本信息， 用 于对公司的信息安全管理体系做纲领性和概括性的描述。B: 信息安全管理手册的编写： 由管理者代表负责组织编写， 总经理批准后发 布实施。C: 信息安全管理手册的管理：质

29、量与项目管理中心负责保管及发放管理。D：信息安全管理手册的发放：手册分“受控”和“非受控”两种。受控手册在封面上加盖红色 “受控文件”章，仅限于公司内部使用， 当修订或换版时进行相应控 制，且人员调离时应予归还；非受控手册不盖任何印章，发放对象为认证机构、客户等， 在修订和换版时不予控制。4.3.3 文件和资料管理公司建立文件管理程序 ，规定以下方面的控制要求：A: 文件在发放前应按规定的审核和批准权限进行批准后才能发布；B: 必要时对文件进行评审与更新，并按规定的权限重新批准；C：由质量与项目管理中心对文件的现行修订状态进行标识，文件更改由相应更改部门进行标识，确保文件的更改状态清晰明了；D

30、: 质量与项目管理中心应确保所有使用文件的场所能够获得有关文件的有 效版本；E: 各部门应爱护文件，确保文件清晰，易于辨识；F: 各部门获得外来文件应统一交相关部门保存，进行标识并控制发放；G: 质量与项目管理中心应控制作废文件的使用，若各部门有必要保存作废 文件时，应向质量与项目管理中心报告并由质量与项目管理中心加盖“作废”章。4.3.4 记录控制公司建立记录管理程序 ，规定公司有关记录的标识、贮存、保护、检索、保存 期限和过期的处理方法等，以提供产品符合要求和信息安全管理体系有效运行的客观证 据。 ISMS 记录应该考虑任何相关的法律和法规要求以及合同责任，记录中应该包含所有 过程的业绩，

31、以及发生的、与ISMS相关的重大安全事件。4.3.5 相关文件文件控制程序记录控制程序5. 管理职责5.1 管理者承诺：公司总经理的承诺是： 建立和实施信息安全管理体系， 持续改善其有效性， 确保提交给客户满意的产品和服务，并通过开展以下活动为以上承诺提供证据：5.1.1 向公司内部员工传达满足方针目标、 满足客户需求、 符合法律法规和持续改进的重 要性；5.1.2 制定信息安全方针；5.1.3 确保信息安全控制目标的制定；5.1.4 进行管理评审；5.1.5 规定职责和权限；5.1.6 确保内部审核的实施；5.1.7 决定信息安全接受风险的准则和风险的可接受等级；5.1.8 确保为公司管理体

32、系配备必要的资源。公司的组织机构见附件。5.1.9 职责和权限A:公司总经理确定组织结构图，明确公司的组织机构形式，并确定各部门的职责和权限，予以发布实施。 （ 详见信息安全委员会组织结构图 ）B: 各部门应了解本部门的职责、权限及相互关系，以便更好地开展工作， 保证体系的有效性，各岗位具体信息安全职责见岗位说明书 。C:各部门职责和权限a）总经理：任命管理者代表，明确管理者代表的职责和权限； 确保在内部传达满足客户和法律法规的重要性； 为信息安全管理体系配备必要的资源； 主持管理评审； 负责公司信息安全管理和企业管理的计划、组织、协调、监督、控 制和考核工作； 遵守公司信息安全的相关规定以及

33、本岗位相关的保密要求。b） 管理代表者：负责建立、实施、保持和改进信息安全管理体系，保证信息安全体 系的有效运行； 负责公司信息安全管理手册的审核，程序文件的批准，组织并领导 公司内部ISMS审核工作； 负责向总经理报告信息安全体系运行的业绩和任何改进的需求； 负责就信息安全管理体系有关事宜的对外联络； 遵守公司信息安全的相关规定以及本岗位相关的保密要求。C) 软件研发中心：软件研发中心下设 6个部门，其中JAVA技术部、.NET技术部、税务研发部、通信事业部这 4 个部门根据不同业务领域进行软件产品的研制与研发， 其 职责是：需求调研；负责与顾客沟通与联系； 提供顾客产品的资料； 软件产品的

34、开发方案的设计与制作； 进行软件产品的开发； 项目实施的计划编排与控制； 对开发完成的产品进行及时的业务培训； 技术支持；负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。综合维护部的职责是：市场信息的搜集； 解决方案的设计与制作； 对开发完成的产品进行及时的业务培训； 售后服务的技术支持；外包服务的提供； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。测试部的职责是：软件产品的测试； 测试资源的管理与维护； 数据分析； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规

35、定以及本岗位相关的 保密要求。d) 系统集成中心：系统集成中心下设技术支持中心、 工程中心和采购中心， 其中技术支持中 心和工程中心的职责是：需求调研；解决方案的设计与制作； 项目实施的计划编排与控制； 检验规范的制定与管理； 外包服务的提供；技术支持； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。采购中心的职责是：供方的选择与评估； 采购产品、不合格品的检验与处理； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。e) 业务中心： 业务中心下设五个部门，其中海外业务部专门从事软件外包业

36、务的开拓。 该中心的下设部门的职责为：市场信息的搜集； 负责同客户进行业务沟通工作； 提供顾客产品的资料；市场开拓； 合约、定单的审查及变更的处理； 负责根据签订的顾客要求安排生产； 顾客报怨的受理与回馈； 顾客满意度的调查； 顾客售后服务的受理； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。f) 服务中心：市场信息的搜集；负责与顾客沟通与联系； 提供顾客产品的资料； 市场开拓；合约、定单的审查及变更的处理； 顾客报怨的受理与回馈； 顾客满意度的调查； 顾客售后服务的受理；技术支持； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司

37、信息安全的相关规定以及本岗位相关的 保密要求。g）行政管理部：行政管理部下设管理部和网管中心，其职责为： 负责公司计算机及网络设备的管理和维护； 负责了解世界计算机及网络技术的发展趋势， 为公司计算机及网络 设备的更新和升级提出建议并予以实施； 负责客户大规模电子文件的接收和发送； 负责公司网站的管理、维护和内容更新；保障公司 IT 方面的信息安全； 负责公司应用系统软件的管理和维护； 负责公司信息安全内部审核的管理； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。h）人力资源部：负责人力资源管理工作，确保人员的信息安全； 负责工作过程中的

38、信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。I） 质量与项目管理中心：项目实施的监控与管理； 合约、定单的审查及变更的处理； 监督并审核质量执行与达成状况； 监督各部门主管落实质量方针，实现质量目标； 质量异常矫正措施的监督； 不合格品管理的监督； 顾客抱怨处理与对策的追踪； 顾客满意度调查后的汇整分析及改进； 质量体系内部审核的计划编制与执行； 数据分析与改进； 公司所有体系文件、文档资料的管理； 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。j) 财务部： 实行日常财务管理和会计核算，编制和执行企

39、业财务计划； 控制企业运作成本，按月进行各类财务分析，为管理层提供决策依 据； 向有关管理部门上交各类财务报表，如实反映企业经营状况； 与各结算银行进行业务沟通和联系， 向国家税务部门按时缴纳各项 税金。负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。k) 分支机构： 伦敦办事处主要职责：负责公司与海外合作公司的沟通； 负责海外市场的拓展； 负责海外合作项目的跟踪、监控和协调。 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。北京办事处主要职责：负责公司的重大项目的协调工作。 负责公司对外分

40、支机构选址和建立。负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。苏州、无锡、常州办事处主要职责：开拓公司税务产品的市场以及售后服务工作； 负责江苏省内各个代理的管理； 负责公司产品在其它地区的销售和维护工作。 负责工作过程中的信息安全实施； 本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的 保密要求。5.2 资源管理公司应确定并提供确保客户满意， 保持信息安全管理体系有效运行并持续改进所需的 资源，并对资源进行有效控制和管理。公司资源包括：人力资源、计算机网络系统、工作环境及技术、信息等。5.2.1 资源提供a) 建立实施运行监控评

41、审和维护信息安全管理体系；b) 确保信息安全程序支持业务要求；c) 识别和强调法律法规要求和合同安全责任；d) 正确的应用所有实施的控制措施维护足够的安全；e) 通过管理评审或其他评审活动对资源的充分性进行评审， 并对评审的结 果采取适当措施；f) 需要时，改进信息安全管理体系的有效性。5.2.2 培训、意识和能力 公司确定从事与信息安全有关的人员所需的能力， 采取以下控制确保这些人员能够胜 任工作：a) 确定从事影响信息安全管理体系的人员所必要的能力， 通过岗位说明 书的任职要求来确定，并在招聘活动中确认相关信息安全的任职要求；b) 对人员提供培训或其他措施满足这些要求；c) 评价采取培训和

42、采取措施的有效性；d) 建立并组织实施人力资源管理程序 ，对以上方面进行控制，并保存 与教育、培训、技能、经验及对员工能力评价的记录。应确保所有相关人员认识到他们信息安全活动的相关性和重要性，以及他 们如何为实现信息安全管理体系目标做贡献。5.2.3 相关文件人力资源管理程序信息安全体系要求与体系文件及部门职能分配表:221 、-K> 立日 任 责总经理管理者代表软件研发中心系 统 集 成 中 心业 务 中 心服务中心行政管理部人 力 资 源 部质量与项目管理中心财 务 部分 支 机 构4皿系 息体 信理4.1总要求OOOOOOOOOO4.2建立并管理ISMS建立ISMSOOOOOOOO

43、实施和运行ISMSOOOOOOOO监视和评审ISMSOOOOOOOO保持和改进ISMSOOOOOOOO4.3文件要求总则OOOOOOOO文件控制OOOOOOOOO记录控制OOOOOOOOO5管理职责5.1管理者承诺OOOOOOOOOO5.2资源管理资源提供OOOOOOOOOO培训、意识和 能力OOOOOOOOO6ISMS内部审 核OOOOOOOOO7ISMS管理评审7.1总则OOOOOOOOO7.2评审输入OOOOOOOOO7.3评审输出OOOOOOOOO8I SMS改进8.1持续改进OOOOOOOOO8.2纠正措施O.OOOOOOOO8.3预防措施O.OOOOOOOO责任部门附录A条文要求总

44、经理管理者代表软件研发中心系 统 集 成 中 心业 务 中 心服务中心行政管理部人 力 资 源 部质量与项目管理中心财 务 部分 支 机 构5A匚.5.1AOO.二丄O二O6 A织 组 全 自心Cn1 sA织 组 RH 立日 内。OO.OO-OO.O2 s AOO。OOO。一。7 Am 二 S 管 产 资1A任责/、资OO。一。OO一。一。一27.A类 扮 自心OO。OO一。一8 AU88A前 用OOO。_。一OO一O。_o_28AOOO。_。OO一 O,。9 A19AOO。一O。29AOO。_。一O。_。_o_o1A10A责 职 和 ff序 程 作 操OOO。一O。oOOO。OO ooOOO

45、。O。_。o_代 动 移 可 和 意 恶加码O2OOOAOO.o份 备OOO。O。OOO。O。oOOO。O。o.OOO。O。o电子商务服务（只包括公共信息）OOOOOOOOO监控OOOOOOOOOA.11访问控制访问控制的业务要求OOOOOOOOO用户访问管理OOOOOOOOO用户责任OOOOOOOOO网络访问控制OOOOOOOOO操作系统访问控制OOOOOOOOO应用程序及信息访问 控制OOOOOOOOO移动计算和远程工作OOOOOOOOOA.12信息系统获取开发和 维护信息系统的安全需求OOOOOOOOO应用程序的正确处理OOOOOOOOO加密控制OOOOOOOOO系统文件安全OOOOOO

46、OOO开发和支持过程的安全（不包括）OOOOOOOOO技术薄弱点管理OOOOOOOOOA.13信息安全事件管理报告信息安全事情和 薄弱点OOOOOOOOO信息安全事件和改进 管理OOOOOOOOOA.14业务连续性管理业务连续性管理中的 信息安全事项OOOOOOOOA.15符合性符合法律要求OOOOOOOOO符合安全方针和标准，以及技术符合OOOOOOOO信息系统审核相关事 宜OOOOOOOO*注：领导职责以“”表示；监督部门以“”表示；负责部门以“”表示；相关部门 以“O”表示。6. ISMS 内部审核A: 公司建立并实施 信息安全内部审核程序 ，明确审核的要求， 确保公司信息安全管 理体系

47、的符合性和有效性，符合已经识别的信息安全要求。B：公司管理者代表负责督促内部审核的进行，并将审核情况报告总经理。C: 公司按计划的时间间隔（不超过一年）组织内部审核，审核计划的安排应考虑区域 的重要性及以往的执行情况。D：应安排具备审核员资格的人员进行审核，审核员不应审核自己部门的工作，以确保 审核的公正性和客观性。E: 受审核区域应采取适当的措施，以消除发现的不合格现象。F: 审核员应对所采取措施的情况进行跟踪验证，确保不合格的结案。G:有关审核的所有记录应由管理部进行保存。H:相关文件：信息安全内部审核程序7. ISMS 管理评审7.1.1 公司建立并实施信息安全管理评审程序 ，规定每年组织公司各部门主管进行管 理评审，评审的目的是