信息安全管理手册样本

保密级别公开文档名称信息安全管理手册文档编号ISMS/Sinosoft-h-01-发布组织Sinosoft信息安全委员会发布日期1月执行日期1版本号A1.0信息安全管理手册批准人签字审核人签字制定人签字日期：/日期：/日期：/南京擎天科技有限公司NanjingSinosoftTechnologyCo.，Ltd.变更履历序号版本编号或更改记录编号变化状态*简要阐明(变更内容、变更位置、变更因素和变更范畴)变更日期变更人审核人批准人批准日期1A1.0C创立，全页。/许明星茅建平汪晓刚/*变化状态：C——创立，A——增长，M——修改，D——删除

公司简介南京擎天科技有限公司(NanjingSinosoftTechnologyCo.，Ltd.简称Sinosoft)成立于1998年12月，通过持续创新，公司已成长为集应用软件开发、信息系统集成和专业征询服务为一体国家级高新技术公司。，公司成功中标国税总局“金税三期出口退税系统”建设工程。3月6日在伦敦证交所挂牌上市，市值达18亿元，是国内首家登陆英国资我市场软件公司。Sinosoft总部设在南京，在南京市国家级高新技术开发区建有独立研发与测试中心，在北京、苏州、无锡、常州设有分支机构及技术服务中心。公司以领先技术、稳定可靠产品、优质完善服务，赢得了广大客户支持与信任，打造出“擎天”品牌。Sinosoft定位于应用软件开发，公司先后承担国家、省、市重大科研开发项目数十项，公司拥有70多项自主开发产品，其中49项获得国家版权局颁发著作权证书及关于国家专利，并积极参加全国性软件原则制定工作。各种项目被列为“国家重点火炬筹划”、“国家火炬筹划”、“国家创新基金”、“国家重点新产品”。多项产品先后荣获中华人民共和国先进软件产品、江苏省先进软件产品奖(金慧奖)、江苏省科技进步三等奖、南京市先进软件一等奖、南京市科技进步一等奖、南京市科技进步二等奖。Sinosoft既有客户30000余家，涉及巴斯夫、摩托罗拉、LG等世界500强知名公司。Sinosoft现已在中华人民共和国、英国、美国、香港地区、台湾地区注册商标，申请多项专利，此后还将继续加大知识产权保护力度。通过近年积累，公司已获得诸多资质和荣誉，涉及：国家信息产业部计算机信息系统集成二级资质通过国际软件成熟度模型集成CMMI3级评估通过ISO9001：质量管理体系认证，、顺利通过复审国家智能化工程设计甲级资质入选国家电子政务原则化总体构成员单位入选国家金税三期工程专家构成员单位入选全国办公自动化专业委员单位A级纳税单位资信级别为AAA荣获江苏省名牌称号江苏省百家重点哺育民营科技公司江苏省重点服务外包公司南京市骨干软件公司南京市百强科技工业公司江苏软件收入二十强通过近年市场开拓，Sinosoft先后承办全国数百个大中型建设项目，积累了丰富工程技术经验。当前Sinosoft出口退税系统系列产品在国家税务总局、江苏省国税局、海南省国税局等出口退税部门和4万余户出口公司中应用，并得到良好应用，截止10月，“擎天出口退税系统软件”占全国产品市场总份额35%，全国同行业第一位。

Sinosoft不断跟踪国际信息技术及有关技术、管理规范最新发展，结合中华人民共和国国情和实际经验，不断更新软件开发、系统集成、工程管理等方面技术水平和规范原则，依托公司形成市场、技术、人才和产品良性循环，努力将“Sinosoft技术中心”建成全省共性软件、平台软件和基本软件新技术、新产品、新原则“辐射中心”，带动本行业开发公司不断向更高更新层次发展。信息安全方针批准令信息安全管理体系方针1．总体方针：实行风险管理，技术管理同步，保证信息安全，满足有关方规定，实现可持续发展。2．诠释：咱们通过计算机及网络设备提供公司各种业务服务开展，因而，信息资产安全性对咱们来说是最重要事情。为了保证各种信息资产保密性、完整性、可用性，给客户提供更加安心服务，咱们根据ISO/IEC27001:原则，建立信息安全管理体系，并承诺如下：2．1在公司内各层次建立完整信息安全管理组织机构，拟定信息安全方针、安全目的和控制办法，明确信息安全管理职责；2．2辨认并满足合用法律法规和政府、客户等有关方信息安全规定；2．3定期进行信息安全风险评估，体系评审，采用纠正防止办法，保证我司信息安全体系持续有效性；2．4采用先进有效设施和技术，解决、传递、储存和保护各类信息；2．5对全体员工进行持续信息安全教诲和培训，不断增强员工信息安全意识和能力；2．6制定并保持完善业务持续性筹划，实现可持续发展；2．7对于本基本方针合用性、充分性，将结合实际状况定期评审，必要时予以修订；2．8公司依照本信息安全管理体系方针制定各种方略。２００8年1月南京擎天科技有限公司总经理：1.目和范畴为了建立、健全我司信息安全管理体系，拟定信息安全方针和目的，对信息安全风险进行有效管理，保证全体员工理解并遵循执行信息安全管理体系文献、持续改进管理体系有效性，特制定本手册。1.1本手册按照ISO/IEC27001:《信息安全管理体系规定》，并结合我公司管理实际状况编写，用于在合同条件下向客户和第三方证明我公司信息安全管理体系能满足规定原则。1.2信息安全管理体系合用范畴本手册合用于4.2.1条款拟定范畴内信息安全管理活动。1)数据解决活动；2)我司范畴内上诉业务流程涉及部门和员工；3)与2)所述活动有关应用系统及支持性信息管理系统包括所有信息资产；4)公司连接互联网服务器及有关数据传播活动。2.引用原则ISO/IEC17799：《信息技术—安全技术-信息安全管理实行细则》ISO/IEC27001:《信息安全管理体系规定》3.术语和定义本手册采用ISO/IEC27001:中术语和定义。3.1规定明示、普通隐含或必要履行需求或盼望。3.2顾客满意顾客对其规定已被满足限度感受。3.3信息安全管理体系在信息安全面指挥和控制组织管理体系。3.4方针由组织最高管理者正式发布该组织总安全宗旨和方向。3.5目的在安全管理方面,所追求目。3.6持续改进增强满足规定能力循环活动。3.7顾客接受产品组织或个人。3.8供方提供产品组织或个人。3.9组织职责、权限和互有关系得到安排一组人员及设施。3.10有关方与组织业绩或成就有利益关系个人或团队。3.11过程一组将输入转化为输出互有关联或互相作用活动。3.12产品过程成果。3.13可追溯性追溯所考虑对象历史、应用状况或所处场合能力。3.14防止办法为消除潜在不合格或其她潜在不盼望状况因素所采用办法。3.15纠正办法为消除已发现不合格或其她不盼望状况因素所采用办法。3.16手册规定组织安全管理体系文献。3.17审核为获得审核证据并对其进行客观评价,以拟定满足审核准则限度所进行系统、独立并形成文献过程。3.18评审为拟定主题事项达到规定目的适当性、充分性和有效性所进行活动。3.19记录阐明所获得成果或提供所完毕活动证据文献。3.20规范阐明规定文献。3.21资产对组织有价值任何事物。[ISO/IEC13335-1:]3.22可用性已授权实体一旦需要就可访问和使用特性。[ISO/IEC13335-1:]3.23保密性使信息不泄露给未授权个人、实体、过程或不使信息为其运用特性。[ISO/IEC13335-1:]3.24信息安全保持信息保密性、完整性和可用性；此外，还也许涉及真实性、可核查性、抗抵赖和可靠性。[ISO/IEC17799：]3.25信息安全事情系统、服务或网络状态已经确认发生显示也许违背信息安全方针或安全故障，或也许与安全有关此前未知状况[ISO/IECTR18044:]3.26信息安全事件单一或一系列不必要或不盼望有危及业务运作和威胁信息安全重大也许信息安全事件[ISO/IECTR18044:]3.27信息安全管理体系(ISMS)组织整个管理体系一某些，以业务风险办法为基本，建立、实行、运作、监视、评审、保持并持续改进信息安全。注：管理体系涉及：组织构造、方针、筹划活动、职责、规范、程序、过程和资源。3.28完整性保护资产精确性和完备性特性。[ISO/IEC13335-1:]3.29剩余风险通过风险解决后残留风险。[ISO/IEC73指南:]3.30风险接受接受某一风险决定。[ISO/IEC73指南:]3.31风险分析系统使用信息，以辨认来源并预计风险。[ISO/IEC73指南:]3.32风险评估整个风险分析和风险评价过程。[ISO/IEC73指南:]3.33风险评价根据给定风险准则比较已预计风险，以拟定风险严重限度过程。[ISO/IEC73指南:]3.34风险管理指引并控制组织关于风险协调活动。[ISO/IEC73指南:]3.35风险解决选取并实行办法以减少风险过程。[ISO/IEC73指南:]3.36合用性声明描述关于并合用于组织ISMS控制目的和控制办法文献。注：控制目的和控制办法是建立在风险评估和解决过程成果和结论、法律法规规定、合同义务和组织信息安全业务规定基本上。3.37关于缩写术语ISO-国际原则化组织IEC-国际电工委员会GB-国标ISMS-信息安全管理体系Sinosoft-南京擎天科技有限公司

4.信息安全管理体系4.1总规定公司根据ISO/IEC27001:原则规定，建立、实行、运营、监视、评审、保持和改进信息安全管理体系，形成文献;我司全体员工将有效地贯彻执行并持续改进有效性，对过程应用和管理详见《信息安全管理体系过程模式图》（图1）。信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险管理体系；输入输入输出有关方信息安全规定和盼望有关方管理信息安全建立ISMS实行和运营ISMS保持和改进ISMS监视和评审ISMSPlanDoCheckAction图1信息安全管理体系过程模式图

4.2建立和管理ISMS4.2.1建立ISMS公司应：a)依照公司业务特性、组织构造、地理位置、资产和技术定义ISMS范畴和边界，涉及在范畴内任何删减细节和理由（见原则1.2）。我司ISMS范畴和边界涉及：1)数据解决活动；2)我司范畴内上诉业务流程涉及部门和员工；3)与2)所述活动有关应用系统及支持性信息管理系统包括所有信息资产；4)公司连接互联网服务器及有关数据传播活动。b)依照公司业务特性、组织构造、地理位置、资产和技术定义ISMS方针，必要满足如下规定：1)为ISMS目的建立一种框架并为信息安全活动建立整体方向和原则；2)考虑业务及法律或法规规定，以及合同安全义务；3)与公司战略和风险管理相一致环境下，建立和保持ISMS；4)建立风险评价准则；5)总经理批准发布ISMS方针。c)定义公司风险评估办法。质量与项目管理中心负责建立《信息安全风险评估管理程序》并组织实行。《信息安全风险评估管理程序》涉及可接受风险准则和可接受水平。1)辨认合用于ISMS和已经辨认业务信息安全、法律和法规规定风险评估办法。2)建立接受风险准则并辨认风险可接受级别。选取风险评估办法应保证风险评估能产生可比较和可重复成果。注：风险评估具备不同办法。详细参照ISO/IECTR13335-3，《信息技术——IT安全管理指南——IT安全管理技术》。3)公司风险评估流程信息资产辨认--重要信息资产（通过资产评估原则）--信息资产威胁辨认和评价--薄弱点辨认和评价（相应威胁）--确认已经采用安全控制办法—拟定风险级别（风险级别原则）d)辨认风险：1)辨认ISMS控制范畴内资产以及这些资产所有者；在已拟定ISMS范畴内，对所有信息资产进行列表辨认。信息资产涉及文档/数据、软件/系统、硬件/设施、人力资源、服务、无形资产等。对每一项信息资产，依照重要信息资产判断根据拟定与否为重要信息资产，形成《信息资产辨认表》。2)辨认对这些资产威胁，一项资产也许面对若干个威胁；3)辨认也许被威胁运用脆弱性，一项脆弱性也也许面对若干个威胁；4)辨认保密性、完整性和可用性损失也许对资产导致影响。解释：“所有者”代表已被授权个人或实体，对资产生产、开发、维护、使用、安全负有管理责任。“所有者”不代表个人对资产具备真正财产权。e)分析并评价风险：1)在资产辨认基本上，针对每一项重要信息资产，根据《风险评估原则》中信息资产CIAB分级原则，进行CIAB资产赋值计算；2)针对每一项重要信息资产，参照《风险评估原则》中《威胁参照表》及以往安全事故（事件）记录、信息资产所处环境等因素，辨认出重要信息资产所面临所有威胁；3)按照《风险评估原则》中《威胁分级原则》对每一种威胁发生也许性进行赋值；4)针对每一项威胁，考虑既有控制办法，参照《风险评估原则》中《脆弱性参照表》辨认出被该威胁也许运用所有薄弱点，并依照《风险评估原则》中《脆弱性分级原则》对每一种脆弱性被威胁运用难易限度进行赋值；5)按照风险评估模型结合威胁和脆弱性赋值对风险发生也许性进行评价。6)按照风险评估模型结合资产和脆弱性赋值对风险发生损失进行评价。7)按照风险评估模型对风险发生也许性和风险发生损失进行计算得出风险评估赋值，并按照《风险评估原则》中《风险级别原则》评价出信息安全风险级别。8)对于信息安全风险，在考虑控制办法与费用平衡原则下制定信息安全风险接受准则，按照该准则拟定何种级别风险为不可接受风险。f)辨认并评价风险解决选取：对于信息安全风险，应考虑控制办法与费用平衡原则，选用如下恰当办法：1)应用恰当控制以减少风险：这也许是减少事件发生也许性，也也许是减少安全失败(保密性、完整性或可用性丢失)业务损害。2)如果能证明风险满足公司方针和风险接受准则，故意、客观接受风险；普通针对那些不可避免风险，并且技术上、资源上不也许采用对策来减少，或者减少对公司来说不经济。“接受风险”是针对判断为不可接受风险所采用解决办法，而不是针对那些低于风险接受水平本来就可接受风险。3)避免风险；对于不是公司核心工作内容活动，公司可以采用避免某项活动或者避免采用某项不成熟产品技术等来回避也许产生风险。4)将关于业务风险转移到其她方，例如保险公司、供方。信息安全委员会应组织关于部门依照风险评估成果，形成《风险解决筹划》，该筹划应明确风险解决责任部门、办法及时间。g)为风险解决选取控制目的与控制办法。应选取并实行控制目的和控制办法，以满足风险评估和风险解决过程所辨认规定。选取时，应考虑接受风险准则以及法律法规和合同规定。信息安全委员会依照信息安全方针、业务发展规定及风险评估成果，组织关于部门制定信息安全目的，并将目的分解到关于部门。信息安全目的应获得信息安全最高责任者批准。从附录A中选取控制目的和控制办法应作为这一过程一某些，并满足上述规定。公司也可依照需要选取此外控制目的和控制办法。注：附录A包括了组织内普通要用到全面控制目的和控制办法列表。本原则顾客可将附录A作为选取控制办法出发点，以保证不会漏掉重要控制可选办法。h)获得最高管理者对建议剩余风险批准，剩余风险接受批准应当在《风险评估表》上留下记录。i)获得管理者对实行和运营ISMS授权。ISMS管理者代表任命和授权、ISMS文档订立可以作为实行和运作ISMS授权证据。j)准备合用性声明，内容应涉及：1)所选取控制目的和控制办法，以及选取因素；2)当前实行控制目的和控制办法；3)附录A中控制目的和控制办法删减，以及删减理由。4)质量与项目管理中心负责组织编制《信息安全合用性声明》。注：合用性声明提供了一种风险解决决策总结。通过判断删减理由，再次确认控制目的没有被无意识漏掉。4.2.2实行并运作ISMS为保证ISMS有效实行，对已辨认风险进行有效解决，我司开展如下活动：a)制定风险解决筹划阐明为控制信息安全风险拟定恰当管理活动、职责以及优先权。b)为了达到所拟定控制目的，实行风险解决筹划，涉及考虑资金以及角色和职责分派，明确各岗位信息安全职责；c)实行所选控制办法，以满足控制目的。d)拟定如何测量所选取一种/组控制办法有效性，并规定这些测量办法如何用于评估控制有效性以得出可比较、可重复成果。注：测量控制办法有效性容许管理者和有关人员来拟定这些控制办法实现策划控制目的限度。e)实行培训和意识筹划。f)对ISMS运作进行管理。g)对ISMS资源进行管理。h)实行可以迅速检测安全事情、响应安全事件程序和其他控制。4.2.3监控并评审ISMSa)我司通过实行不定期安全检查、内部审核、事故报告调查解决、电子监控、定期技术检查等控制办法并报告成果以实现：1）迅速检测解决成果中错误；2）迅速辨认失败和成功安全破坏和事件；3）能使管理者确认人工或自动执行安全活动达到预期成果；4)协助检测安全事情，并运用指标防止安全事件；5）拟定解决安全破坏所采用办法与否有效。b)定期评审ISMS有效性（涉及安全方针和目的符合性，对安全控制办法评审），考虑安全审核、事件、有效性测量成果，以及所有有关方建议和反馈。c)测量控制办法有效性，以证明安全规定已得到满足。d)按照筹划时间间隔，评审风险评估，评审剩余风险以及可接受风险级别，考虑到下列变化：1)组织机构和职责；2)技术；3)业务目的和过程；4)已辨认威胁；5)实行控制有效性；6)外部事件，例如法律或规章环境变化、合同责任变化以及社会环境变化。e)按照筹划时间间隔（不超过一年）进行ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部目，由公司或以公司名义进行审核。f)定期对ISMS进行管理评审，以保证范畴充分性，并辨认ISMS过程改进。g)考虑监视和评审活动发现，更新安全筹划。h)记录也许对ISMS有效性或业绩有影响活动和事情。4.2.4保持并持续改进ISMS我司开展如下活动，以保证ISMS持续改进：a)实行已辨认ISMS改进办法。b)采用恰当纠正和防止办法。吸取从其她公司安全经验以及组织自身安全实践中得到教训。c)与所有有关方沟通办法和改进。沟通详细限度应与环境相适当，必要时，应商定如何进行。d)保证改进达到其预期目的。4.3文献规定4.3.1总则我司信息安全管理体系文献涉及：A:信息安全管理手册(涉及文献化方针、控制目的、管理体系范畴及信息安全适应性声明、信息安全方略)；B:程序文献；C:作业指引书；D:风险评估办法描述.，风险评估报告及风险解决筹划；E:外来文献；F:表单。4.3.2信息安全管理手册A:编写目：向公司内部或外部提供关于信息安全管理体系基本信息，用于对公司信息安全管理体系做大纲性和概括性描述。B:信息安全管理手册编写：由管理者代表负责组织编写，总经理批准后发布实行。C:信息安全管理手册管理：质量与项目管理中心负责保管及发放管理。D:信息安全管理手册发放：手册分“受控”和“非受控”两种。受控手册在封面上加盖红色“受控文献”章，仅限于公司内部使用，当修订或换版时进行相应控制，且人员调离时应予归还；非受控手册不盖任何印章，发放对象为认证机构、客户等，在修订和换版时不予控制。4.3.3文献和资料管理公司建立《文献管理程序》，规定如下方面控制规定：A:文献在发放前应按规定审核和批准权限进行批准后才干发布；B:必要时对文献进行评审与更新，并按规定权限重新批准；C:由质量与项目管理中心对文献现行修订状态进行标记，文献更改由相应更改部门进行标记，保证文献更改状态清晰明了；D：质量与项目管理中心应保证所有使用文献场合可以获得关于文献有效版本；E:各部门应爱护文献，保证文献清晰，易于辨识；F:各部门获得外来文献应统一交有关部门保存，进行标记并控制发放；G：质量与项目管理中心应控制作废文献使用，若各部门有必要保存作废文献时，应向质量与项目管理中心报告并由质量与项目管理中心加盖“作废”章。4.3.4记录控制公司建立《记录管理程序》，规定公司关于记录标记、贮存、保护、检索、保存期限和过期解决办法等，以提供产品符合规定和信息安全管理体系有效运营客观证据。ISMS记录应当考虑任何有关法律和法规规定以及合同责任，记录中应当包括所有过程业绩，以及发生、与ISMS有关重大安全事件。4.3.5有关文献《文献控制程序》《记录控制程序》5.管理职责5.1管理者承诺：公司总经理承诺是：建立和实行信息安全管理体系，持续改进其有效性，保证提交给客户满意产品和服务，并通过开展如下活动为以上承诺提供证据：5.1.1向公司内部员工传达满足方针目的、满足客户需求、符合法律法规和持续改进重要性；5.1.2制定信息安全方针；5.1.3保证信息安全控制目的制定；5.1.4进行管理评审；5.1.5规定职责和权限；5.1.6保证内部审核算施；5.1.7决定信息安全接受风险准则和风险可接受级别；5.1.8保证为公司管理体系配备必要资源。公司组织机构见附件。5.1.9职责和权限A:公司总经理拟定组织构造图，明确公司组织机构形式，并拟定各部门职责和权限，予以发布实行。(详见《信息安全委员会组织构造图》)B:各部门应理解本部门职责、权限及互有关系，以便更好地开展工作，保证体系有效性，各岗位详细信息安全职责见《岗位阐明书》。C:各部门职责和权限a)总经理：任命管理者代表，明确管理者代表职责和权限；保证在内部传达满足客户和法律法规重要性；为信息安全管理体系配备必要资源；主持管理评审；负责公司信息安全管理和公司管理筹划、组织、协调、监督、控制和考核工作；遵守公司信息安全有关规定以及本岗位有关保密规定。b)管理代表者：负责建立、实行、保持和改进信息安全管理体系，保证信息安全体系有效运营；负责公司信息安全管理手册审核，程序文献批准，组织并领导公司内部ISMS审核工作；负责向总经理报告信息安全体系运营业绩和任何改进需求；负责就信息安全管理体系关于事宜对外联系；遵守公司信息安全有关规定以及本岗位有关保密规定。C)软件研发中心：软件研发中心下设6个部门，其中JAVA技术部、.NET技术部、税务研发部、通信事业部这4个部门依照不同业务领域进行软件产品研制与研发，其职责是：需求调研；负责与顾客沟通与联系；提供顾客产品资料；软件产品开发方案设计与制作；进行软件产品开发；项目实行筹划编排与控制；对开发完毕产品进行及时业务培训；技术支持；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。综合维护部职责是：市场信息收集；解决方案设计与制作；对开发完毕产品进行及时业务培训；售后服务技术支持；外包服务提供；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。测试部职责是：软件产品测试；测试资源管理与维护；数据分析；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。d)系统集成中心：系统集成中心下设技术支持中心、工程中心和采购中心，其中技术支持中心和工程中心职责是：需求调研；解决方案设计与制作；项目实行筹划编排与控制；检查规范制定与管理；外包服务提供；技术支持；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。采购中心职责是：供方选取与评估；采购产品、不合格品检查与解决；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。e)业务中心：业务中心下设五个部门，其中海外业务部专门从事软件外包业务开拓。该中心下设部门职责为：市场信息收集；负责同客户进行业务沟通工作；提供顾客产品资料；市场开拓；合约、定单审查及变更解决；负责依照订立顾客规定安排生产；顾客报怨受理与回馈；顾客满意度调查；顾客售后服务受理；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。f)服务中心：市场信息收集；负责与顾客沟通与联系；提供顾客产品资料；市场开拓；合约、定单审查及变更解决；顾客报怨受理与回馈；顾客满意度调查；顾客售后服务受理；技术支持；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。g)行政管理部：行政管理部下设管理部和网管中心，其职责为：负责公司计算机及网络设备管理和维护；负责理解世界计算机及网络技术发展趋势，为公司计算机及网络设备更新和升级提出建议并予以实行；负责客户大规模电子文献接受和发送；负责公司网站管理、维护和内容更新；保障公司IT方面信息安全；负责公司应用系统软件管理和维护；负责公司信息安全内部审核管理；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。h)人力资源部：负责人力资源管理工作，保证人员信息安全；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。I)质量与项目管理中心：项目实行监控与管理；合约、定单审查及变更解决；监督并审核质量执行与达到状况；监督各部门主管贯彻质量方针，实现质量目的；质量异常矫正办法监督；不合格品管理监督；顾客抱怨解决与对策追踪；顾客满意度调查后汇整分析及改进；质量体系内部审核筹划编制与执行；数据分析与改进；公司所有体系文献、文档资料管理；负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。j)财务部：实行寻常财务管理和会计核算，编制和执行公司财务筹划；控制公司运作成本，按月进行各类财务分析，为管理层提供决策根据；向关于管理部门上交各类财务报表，如实反映公司经营状况；与各结算银行进行业务沟通和联系，向国家税务部门准时缴纳各项税金。负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。k)分支机构：伦敦办事处重要职责：

负责公司与海外合伙公司沟通；负责海外市场拓展；负责海外合伙项目跟踪、监控和协调。负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。北京办事处重要职责：负责公司重大项目协调工作。负责公司对外分支机构选址和建立。负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。苏州、无锡、常州办事处重要职责：开拓公司税务产品市场以及售后服务工作；负责江苏省内各个代理管理；负责公司产品在其他地区销售和维护工作。负责工作过程中信息安全实行；本部门人员必要遵守公司信息安全有关规定以及本岗位有关保密规定。5.2资源管理公司应拟定并提供保证客户满意，保持信息安全管理体系有效运营并持续改进所需资源，并对资源进行有效控制和管理。公司资源涉及：人力资源、计算机网络系统、工作环境及技术、信息等。5.2.1资源提供建立实行运营监控评审和维护信息安全管理体系；保证信息安全程序支持业务规定；辨认和强调法律法规规定和合同安全责任；对的应用所有实行控制办法维护足够安全；通过管理评审或其她评审活动对资源充分性进行评审，并对评审成果采用恰当办法；f)需要时，改进信息安全管理体系有效性。5.2.2培训、意识和能力公司拟定从事与信息安全关于人员所需能力，采用如下控制保证这些人员可以胜任工作：拟定从事影响信息安全管理体系人员所必要能力，通过《岗位阐明书》任职规定来拟定，并在招聘活动中确认有关信息安全任职规定；对人员提供培训或其她办法满足这些规定；评价采用培训和采用办法有效性；建立并组织实行《人力资源管理程序》，对以上方面进行控制，并保存与教诲、培训、技能、经验及对员工能力评价记录。应保证所有有关人员结识到她们信息安全活动有关性和重要性，以及她们如何为实现信息安全管理体系目的做贡献。5.2.3有关文献《人力资源管理程序》信息安全体系规定与体系文献及部门职能分派表：ISO27001条文规定责任部门总经理管理者代表软件研发中心系统集成中心业务中心服务中心行政管理部人力资源部质量与项目管理中心财务部分支机构4信息安全管理体系4.1总规定◆○○○○○○○○○○4.2建立并管理ISMS4.2.1建立ISMS◆○○○○○○△○○4.2.2实行和运营ISMS◆○○○○○○△○○4.2.3监视和评审ISMS◆○○○○○○△○○4.2.4保持和改进ISMS◆○○○○○○△○○4.3文献规定4.3.1总则◆○○○○○○△○○4.3.2文献控制○○○○○○○△○○4.3.3记录控制○○○○○○○△○○5管理职责5.1管理者承诺◆○○○○○○○○○○5.2资源管理5.2.1资源提供◆○○○○○○○○○○5.2.2培训、意识和能力○◆○○○○○△○○○6ISMS内部审核○◆○○○○○○△○○7ISMS管理评审7.1总则◆○○○○○○○△○○7.2评审输入○◆○○○○○○△○○7.3评审输出○◆○○○○○○△○○8ISMS改进8.1持续改进○◆○○○○○○△○○8.2纠正办法○◆○○○○○○△○○8.3防止办法○◆○○○○○○△○○附录A条文规定责任部门总经理管理者代表软件研发中心系统集成中心业务中心服务中心行政管理部人力资源部质量与项目管理中心财务部分支机构A.5信息安全方略A.5.1信息安全方针◆○○○○○○○△○○A.6信息安全组织A.6.1内部组织○◆○○○○○○△○○A.6.2外部有关方○◆○○○○○○△○○A.7资产管理A.7.1资产责任○◆○○○○○○△○○A.7.2信息分类○◆○○○○○○△○○A.8人力资源安全A.8.1聘任前○○○○○○○△○○○A.8.2聘任期间○○○○○○○△○○○A.9物理和环境安全A.9.1安全区域○◆○○○○△○●○○A.9.2设备安全○◆○○○○△○●○○A.10通信和运作管理A.10.1操作程序和职责○○○○○○△○●○○A.10.2第三方服务交付管理○○○○○○△○●○○A.10.3系统策划与接受○○○○○○△○●○○A.10.4防范恶意和可移动代码○○○○○○△○●○○A.10.5备份○○○○○○△○●○○A.10.6网络安全管理○○○○○○△○●○○A.10.7介质解决○○○○○○△○●○○A.10.8信息互换○○○○○○△○●○○A.10.9电子商务服务（只涉及A.10.9.3公共信息）○○○○○○△○●○○A.10.10监控○○○○○○△○●○○A.11访问控制A.11.1访问控制业务规定○○○○○○△○●○○A.11.2顾客访问管理○○○○○○△○●○○A.11.3顾客责任○○○○○○△○●○○A.11.4网络访问控制○○○○○○△○●○○A.11.5操作系统访问控制○○○○○○△○●○○A.11.6应用程序及信息访问控制○○○○○○△○●○○A.11.7移动计算和远程工作○○○○○○△○●○○A.12信息系统获取开发和维护A.12.1信息系统安全需求○○○○○○△○●○○A.12.2应用程序对的解决○○○○○○△○●○○A.12.3加密控制○○○○○○△○●○○A.12.4系统文献安全○○○○○○△○●○○A.12.5开发和支持过程安全（不涉及A.12.5.5）○○○○○○△○●○○A.12.6技术薄弱点管理○○○○○○△○●○○A.13信息安全事件管理A.13.1报告信息安全事情和薄弱点○○○○○○△○●○○A.13.2信息安全事件和改进管理○○○○○○△○●○○A.14业务持续性管理A.14.1业务持续性管理中信息安全事项○◆○○○○△○●○○A.15符合性A.15.1符合法律规定○○○○○○△○●○○A.15.2符合安全方针和原则，以及技术符合○◆○○○○△○●○○A.15.3信息系统审核有关事宜○◆○○○○△○●○○*注：领导职责以“◆”表达；监督部门以“●”表达；负责部门以“△”表达；有关部门以“○”表达。6.ISMS内部审核A:公司建立并实行《信息安全内部审核程序》，明确审核规定，保证公司信息安全管理体系符合性和有效性，符合已经辨认信息安全规定。B:公司管理者代表负责督促内部审核进行，并将审核状况报告总经理。C:公司按筹划时间间隔（不超过一年）组织内部审核，审核筹划安排应考虑区域重要性及以往执行状况。D:应安排具备审核员资格人员进行审核，审核员不应审核自己部门工作，以保证审核公正性和客观性。E:受审核区域应采用恰当办法，以消除发现不合格现象。F:审核员应对所采用办法状况进行跟踪验证，保证不合格结案。G:关于审核所有记录应由管理部进行保存。H:有关文献：《信息安全内部审核程序》7.ISMS管理评审7.1.1公司建立并实行《信息安全管理评审