信息安全管理手册

保密等级公开文档名称信息安全管理手册文档编号ISMS/Sinosoft-h-01-2023发布组织Sinosoft信息安全委员会发布日期2023年执行日期2023版本号A1.0信息安全管理手册批准人签字审核人签字制订人签字日期：2023/日期：2023/日期：2023/南京擎天科技有限公司NanjingSinosoftTechnologyCo.,Ltd.变更履历序号版本编号或更改记录编号变化状态*简要说明(变更内容、变更位置、变更因素和变更范围)变更日期变更人审核人批准人批准日期1A1.0C创建，全页。2023/许明星茅建平汪晓刚2023/*变化状态：C——创建，A——增长，M——修改，D——删除

公司介绍南京擎天科技有限公司(NanjingSinosoftTechnologyCo.,Ltd.简称Sinosoft)成立于1998年12月，通过连续创新，公司已成长为集应用软件开发、信息系统集成和专业征询服务为一体的国家级高新技术公司。2023年，公司成功中标国税总局的“金税三期出口退税系统”建设工程。2023年3月6日在伦敦证交所挂牌上市，市值达18亿元，是国内首家登陆英国资本市场的软件公司。Sinosoft总部设在南京，在南京市国家级高新技术开发区建有独立的研发与测试中心，在北京、苏州、无锡、常州设有分支机构及技术服务中心。公司以领先的技术、稳定可靠的产品、优质完善的服务，赢得了广大客户的支持与信任，打造出“擎天”品牌。Sinosoft定位于应用软件的开发，公司先后承担国家、省、市重大科研开发项目数十项，公司拥有70多项自主开发产品，其中49项获得国家版权局颁发的著作权证书及有关国家专利，并积极参与全国性的软件标准制订工作。多个项目被列为“国家重点火炬计划”、“国家火炬计划”、“国家创新基金”、“国家重点新产品”。多项产品先后荣获中国优秀软件产品、江苏省优秀软件产品奖(金慧奖)、江苏省科技进步三等奖、南京市优秀软件一等奖、南京市科技进步一等奖、南京市科技进步二等奖。Sinosoft现有客户30000余家，涉及巴斯夫、摩托罗拉、LG等世界500强知名公司。Sinosoft现已在中国、英国、美国、香港地区、台湾地区注册商标，申请多项专利，此后还将继续加大知识产权的保护力度。通过数年的积累，公司已获得诸多资质和荣誉，涉及：国家信息产业部计算机信息系统集成二级资质通过国际软件成熟度模型集成CMMI3级评估通过ISO9001：2023质量管理体系认证，2023、2023顺利通过复审国家智能化工程设计甲级资质入选国家电子政务标准化总体组成员单位入选国家金税三期工程专家组成员单位入选全国办公自动化专业委员单位A级纳税单位资信等级为AAA荣获江苏省名牌称号江苏省百家重点哺育民营科技公司江苏省重点服务外包公司南京市骨干软件公司南京市百强科技工业公司江苏软件收入二十强通过数年的市场开拓，Sinosoft先后承接全国数百个大中型建设项目，积累了丰富的工程技术经验。目前Sinosoft的出口退税系统系列产品在国家税务总局、江苏省国税局、海南省国税局等出口退税部门和4万余户出口公司中应用，并得到良好的应用，截止2023年10月，“擎天出口退税系统软件”占全国产品市场总份额的35%，全国同行业第一位。

Sinosoft不断跟踪国际信息技术及相关技术、管理规范的最新发展，结合中国国情和实际经验，不断更新软件开发、系统集成、工程管理等方面的技术水平和规范标准，依托公司形成市场、技术、人才和产品的良性循环，努力将“Sinosoft技术中心”建成全省共性软件、平台软件和基础软件新技术、新产品、新标准的“辐射中心”，带动本行业开发公司不断向更高更新的层次发展。信息安全方针批准令信息安全管理体系方针1．总体方针：实行风险管理，技术管理同步，保证信息安全，满足相关方规定，实现可连续发展。2．诠释：我们通过计算机及网络设备提供公司各种业务服务的开展，因此，信息资产的安全性对我们来说是最重要的事情。为了保证各种信息资产的保密性、完整性、可用性，给客户提供更加安心的服务，我们依据ISO/IEC27001:2023标准，建立信息安全管理体系，并承诺如下：2．1在公司内各层次建立完整的信息安全管理组织机构，拟定信息安全方针、安全目的和控制措施，明确信息安全的管理职责；2．2辨认并满足合用法律法规和政府、客户等相关方的信息安全规定；2．3定期进行信息安全风险评估，体系评审，采用纠正防止措施，保证本公司信息安全体系的连续有效性；2．4采用先进有效的设施和技术，解决、传递、储存和保护各类信息；2．5对全体员工进行连续的信息安全教育和培训，不断增强员工信息安全意识和能力；2．6制定并保持完善的业务连续性计划，实现可连续发展；2．7对于本基本方针的合用性、充足性，将结合实际状况定期评审，必要时予以修订；2．8公司根据本信息安全管理体系方针制定各种策略。２００8年1月南京擎天科技有限公司总经理：1.目的和范围为了建立、健全本公司信息安全管理体系，拟定信息安全方针和目的，对信息安全风险进行有效管理，保证全体员工理解并遵照执行信息安全管理体系文献、连续改善管理体系的有效性，特制定本手册。1.1本手册按照ISO/IEC27001:2023《信息安全管理体系规定》，并结合我公司管理的实际情况编写，用于在协议条件下向客户和第三方证明我公司的信息安全管理体系能满足规定的标准。1.2信息安全管理体系合用范围本手册合用于4.2.1条款拟定范围内的信息安全管理活动。1)数据解决活动；2)本公司范围内的上诉业务流程涉及的部门和员工；3)与2)所述活动相关的应用系统及支持性信息管理系统包含的所有信息资产；4)公司连接互联网的服务器及相关数据传输的活动。2.引用标准ISO/IEC17799:2023《信息技术—安全技术-信息安全管理实行细则》ISO/IEC27001:2023《信息安全管理体系规定》3.术语和定义本手册采用ISO/IEC27001:2023中的术语和定义。3.1规定明示的、通常隐含的或必须履行的需求或盼望。3.2顾客满意顾客对其规定已被满足的限度的感受。3.3信息安全管理体系在信息安全面指挥和控制组织的管理体系。3.4方针由组织的最高管理者正式发布的该组织总的安全宗旨和方向。3.5目的在安全管理方面,所追求的目的。3.6连续改善增强满足规定的能力的循环活动。3.7顾客接受产品的组织或个人。3.8供方提供产品的组织或个人。3.9组织职责、权限和互相关系得到安排的一组人员及设施。3.10相关方与组织的业绩或成就有利益关系的个人或团队。3.11过程一组将输入转化为输出的互相关联或互相作用的活动。3.12产品过程的结果。3.13可追溯性追溯所考虑对象的历史、应用情况或所处场合的能力。3.14防止措施为消除潜在不合格或其他潜在不盼望情况的因素所采用的措施。3.15纠正措施为消除已发现的不合格或其他不盼望情况的因素所采用的措施。3.16手册规定组织安全管理体系的文献。3.17审核为获得审核证据并对其进行客观的评价,以拟定满足审核准则的限度所进行的系统的、独立的并形成文献的过程。3.18评审为拟定主题事项达成规定目的的适宜性、充足性和有效性所进行的活动。3.19记录阐明所取得的结果或提供所完毕活动的证据的文献。3.20规范阐明规定的文献。3.21资产对组织有价值的任何事物。[ISO/IEC13335-1:2023]3.22可用性已授权实体一旦需要就可访问和使用的特性。[ISO/IEC13335-1:2023]3.23保密性使信息不泄露给未授权的个人、实体、过程或不使信息为其运用的特性。[ISO/IEC13335-1:2023]3.24信息安全保持信息的保密性、完整性和可用性；此外，还也许涉及真实性、可核查性、抗抵赖和可靠性。[ISO/IEC17799：2023]3.25信息安全事情系统、服务或网络状态已经确认发生显示也许违反信息安全方针或安全故障，或也许与安全相关的以前未知的情况[ISO/IECTR18044:2023]3.26信息安全事件单一或一系列不必要的或不盼望的有危及业务运作和威胁信息安全的重大也许的信息安全事件[ISO/IECTR18044:2023]3.27信息安全管理体系(ISMS)组织整个管理体系的一部分，以业务风险方法为基础，建立、实行、运作、监视、评审、保持并连续改善信息安全。注：管理体系涉及：组织结构、方针、计划活动、职责、规范、程序、过程和资源。3.28完整性保护资产准确性和完备性的特性。[ISO/IEC13335-1:2023]3.29剩余风险通过风险解决后残留的风险。[ISO/IEC73指南:2023]3.30风险接受接受某一风险的决定。[ISO/IEC73指南:2023]3.31风险分析系统的使用信息，以辨认来源并估计风险。[ISO/IEC73指南:2023]3.32风险评估整个风险分析和风险评价过程。[ISO/IEC73指南:2023]3.33风险评价依据给定的风险准则比较已估计的风险，以拟定风险严重限度的过程。[ISO/IEC73指南:2023]3.34风险管理指导并控制组织有关风险的协调的活动。[ISO/IEC73指南:2023]3.35风险解决选择并实行措施以减少风险的过程。[ISO/IEC73指南:2023]3.36合用性声明描述关于并合用于组织的ISMS的控制目的和控制措施的文献。注：控制目的和控制措施是建立在风险评估和解决过程的结果和结论、法律法规规定、协议义务和组织的信息安全业务规定的基础上。3.37有关缩写的术语ISO-国际标准化组织IEC-国际电工委员会GB-国家标准ISMS-信息安全管理体系Sinosoft-南京擎天科技有限公司

4.信息安全管理体系4.1总规定公司依据ISO/IEC27001:2023标准的规定，建立、实行、运营、监视、评审、保持和改善信息安全管理体系，形成文献;本公司全体员工将有效地贯彻执行并连续改善有效性，对过程的应用和管理详见《信息安全管理体系过程模式图》（图1）。信息安全管理体系是在公司整体经营活动和经营风险架构下，针对信息安全风险的管理体系；输入输入输出相关方信息安全的规定和盼望相关方管理的信息安全建立ISMS实行和运营ISMS保持和改善ISMS监视和评审ISMSPlanDoCheckAction图1信息安全管理体系过程模式图

4.2建立和管理ISMS4.2.1建立ISMS公司应：a)根据公司的业务特性、组织结构、地理位置、资产和技术定义ISMS范围和边界，涉及在范围内任何删减的细节和理由（见标准1.2）。本公司ISMS的范围和边界涉及：1)数据解决活动；2)本公司范围内的上诉业务流程涉及的部门和员工；3)与2)所述活动相关的应用系统及支持性信息管理系统包含的所有信息资产；4)公司连接互联网的服务器及相关数据传输的活动。b)根据公司的业务特性、组织结构、地理位置、资产和技术定义ISMS方针，必须满足以下规定：1)为ISMS目的建立一个框架并为信息安全活动建立整体的方向和原则；2)考虑业务及法律或法规的规定，以及协议的安全义务；3)与公司战略和风险管理相一致的环境下，建立和保持ISMS；4)建立风险评价的准则；5)总经理批准发布ISMS方针。c)定义公司风险评估方法。质量与项目管理中心负责建立《信息安全风险评估管理程序》并组织实行。《信息安全风险评估管理程序》涉及可接受风险准则和可接受水平。1)辨认合用于ISMS和已经辨认的业务信息安全、法律和法规规定的风险评估方法。2)建立接受风险的准则并辨认风险的可接受等级。选择的风险评估方法应保证风险评估能产生可比较的和可反复的结果。注：风险评估具有不同的方法。具体参照ISO/IECTR13335-3，《信息技术——IT安全管理指南——IT安全管理技术》。3)公司的风险评估的流程信息资产辨认--重要信息资产（通过资产评估标准）--信息资产的威胁辨认和评价--薄弱点辨认和评价（相应威胁）--确认已经采用的安全控制措施—拟定风险等级（风险等级标准）d)辨认风险：1)辨认ISMS控制范围内的资产以及这些资产的所有者；在已拟定的ISMS范围内，对所有的信息资产进行列表辨认。信息资产涉及文档/数据、软件/系统、硬件/设施、人力资源、服务、无形资产等。对每一项信息资产，根据重要信息资产判断依据拟定是否为重要信息资产，形成《信息资产辨认表》。2)辨认对这些资产的威胁，一项资产也许面对若干个威胁；3)辨认也许被威胁运用的脆弱性，一项脆弱性也也许面对若干个威胁；4)辨认保密性、完整性和可用性损失也许对资产导致的影响。解释：“所有者”代表已被授权的个人或实体，对资产的生产、开发、维护、使用、安全负有管理责任。“所有者”不代表个人对资产具有真正的财产权。e)分析并评价风险：1)在资产辨认的基础上，针对每一项重要信息资产，依据《风险评估原则》中的信息资产CIAB分级标准，进行CIAB的资产赋值计算；2)针对每一项重要信息资产，参考《风险评估原则》中的《威胁参考表》及以往的安全事故（事件）记录、信息资产所处的环境等因素，辨认出重要信息资产所面临的所有威胁；3)按照《风险评估原则》中的《威胁分级标准》对每一个威胁发生的也许性进行赋值；4)针对每一项威胁，考虑现有的控制措施，参考《风险评估原则》中的《脆弱性参考表》辨认出被该威胁也许运用的所有薄弱点，并根据《风险评估原则》中的《脆弱性分级标准》对每一个脆弱性被威胁运用的难易限度进行赋值；5)按照风险评估模型结合威胁和脆弱性赋值对风险发生也许性进行评价。6)按照风险评估模型结合资产和脆弱性赋值对风险发生的损失进行评价。7)按照风险评估模型对风险发生也许性和风险发生的损失进行计算得出风险评估赋值，并按照《风险评估原则》中的《风险等级标准》评价出信息安全风险等级。8)对于信息安全风险，在考虑控制措施与费用平衡的原则下制定的信息安全风险接受准则，按照该准则拟定何种等级的风险为不可接受风险。f)辨认并评价风险解决的选择：对于信息安全风险，应考虑控制措施与费用的平衡原则，选用以下适当的措施：1)应用适当的控制以减少风险：这也许是减少事件发生的也许性，也也许是减少安全失败(保密性、完整性或可用性丢失)的业务损害。2)假如能证明风险满足公司的方针和风险接受准则，故意的、客观的接受风险；一般针对那些不可避免的风险，并且技术上、资源上不也许采用对策来减少，或者减少对公司来说不经济。“接受风险”是针对判断为不可接受的风险所采用的解决方法，而不是针对那些低于风险接受水平的本来就可接受的风险。3)避免风险；对于不是公司的核心工作内容的活动，公司可以采用避免某项活动或者避免采用某项不成熟的产品技术等来回避也许产生的风险。4)将有关的业务风险转移到其他方，例如保险公司、供方。信息安全委员会应组织有关部门根据风险评估的结果，形成《风险解决计划》，该计划应明确风险解决责任部门、方法及时间。g)为风险的解决选择控制目的与控制措施。应选择并实行控制目的和控制措施，以满足风险评估和风险解决过程所辨认的规定。选择时，应考虑接受风险的准则以及法律法规和协议规定。信息安全委员会根据信息安全方针、业务发展规定及风险评估的结果，组织有关部门制定信息安全目的，并将目的分解到有关部门。信息安全目的应获得信息安全最高责任者的批准。从附录A中选择的控制目的和控制措施应作为这一过程的一部分，并满足上述规定。公司也可根据需要选择此外的控制目的和控制措施。注：附录A包含了组织内一般要用到的全面的控制目的和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点，以保证不会漏掉重要的控制可选措施。h)获得最高管理者对建议的剩余风险的批准，剩余风险接受批准应当在《风险评估表》上留下记录。i)获得管理者对实行和运营ISMS的授权。ISMS管理者代表的任命和授权、ISMS文档的签署可以作为实行和运作ISMS的授权证据。j)准备合用性声明，内容应涉及：1)所选择的控制目的和控制措施，以及选择的因素；2)当前实行的控制目的和控制措施；3)附录A中控制目的和控制措施的删减，以及删减的理由。4)质量与项目管理中心负责组织编制《信息安全合用性声明》。注：合用性声明提供了一个风险解决决策的总结。通过判断删减的理由，再次确认控制目的没有被无意识的漏掉。4.2.2实行并运作ISMS为保证ISMS有效实行，对已辨认的风险进行有效解决，本公司开展以下活动：a)制定风险解决计划阐明为控制信息安全风险拟定的适当的管理活动、职责以及优先权。b)为了达成所拟定的控制目的，实行风险解决计划，涉及考虑资金以及角色和职责的分派，明确各岗位的信息安全职责；c)实行所选的控制措施，以满足控制目的。d)拟定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可反复的结果。注：测量控制措施的有效性允许管理者和相关人员来拟定这些控制措施实现策划的控制目的的限度。e)实行培训和意识计划。f)对ISMS的运作进行管理。g)对ISMS的资源进行管理。h)实行可以快速检测安全事情、响应安全事件的程序和其它控制。4.2.3监控并评审ISMSa)本公司通过实行不定期安全检查、内部审核、事故报告调查解决、电子监控、定期技术检查等控制措施并报告结果以实现：1）快速检测解决结果中的错误；2）快速辨认失败的和成功的安全破坏和事件；3）能使管理者确认人工或自动执行的安全活动达成预期的结果；4)帮助检测安全事情，并运用指标防止安全事件；5）拟定解决安全破坏所采用的措施是否有效。b)定期评审ISMS的有效性（涉及安全方针和目的的符合性，对安全控制措施的评审），考虑安全审核、事件、有效性测量的结果，以及所有相关方的建议和反馈。c)测量控制措施的有效性，以证实安全规定已得到满足。d)按照计划的时间间隔，评审风险评估，评审剩余风险以及可接受风险的等级，考虑到下列变化：1)组织机构和职责；2)技术；3)业务目的和过程；4)已辨认的威胁；5)实行控制的有效性；6)外部事件，例如法律或规章环境的变化、协议责任的变化以及社会环境的变化。e)按照计划的时间间隔（不超过一年）进行ISMS内部审核。注：内部审核，也称为第一方审核，是为了内部的目的，由公司或以公司的名义进行的审核。f)定期对ISMS进行管理评审，以保证范围的充足性，并辨认ISMS过程的改善。g)考虑监视和评审活动的发现，更新安全计划。h)记录也许对ISMS有效性或业绩有影响的活动和事情。4.2.4保持并连续改善ISMS本公司开展以下活动，以保证ISMS的连续改善：a)实行已辨认的ISMS改善措施。b)采用适当的纠正和防止措施。吸取从其他公司的安全经验以及组织自身安全实践中得到的教训。c)与所有相关方沟通措施和改善。沟通的具体限度应与环境相适宜，必要时，应约定如何进行。d)保证改善达成其预期的目的。4.3文献规定4.3.1总则本公司信息安全管理体系文献涉及：A:信息安全管理手册(涉及文献化的方针、控制目的、管理体系的范围及信息安全适应性声明、信息安全策略)；B:程序文献；C:作业指导书；D:风险评估方法的描述.，风险评估报告及风险解决计划；E:外来文献；F:表单。4.3.2信息安全管理手册A:编写目的：向公司内部或外部提供关于信息安全管理体系的基本信息，用于对公司的信息安全管理体系做大纲性和概括性的描述。B:信息安全管理手册的编写：由管理者代表负责组织编写，总经理批准后发布实行。C:信息安全管理手册的管理：质量与项目管理中心负责保管及发放管理。D:信息安全管理手册的发放：手册分“受控”和“非受控”两种。受控手册在封面上加盖红色“受控文献”章，仅限于公司内部使用，当修订或换版时进行相应控制，且人员调离时应予归还；非受控手册不盖任何印章，发放对象为认证机构、客户等，在修订和换版时不予控制。4.3.3文献和资料管理公司建立《文献管理程序》，规定以下方面的控制规定：A:文献在发放前应按规定的审核和批准权限进行批准后才干发布；B:必要时对文献进行评审与更新，并按规定的权限重新批准；C:由质量与项目管理中心对文献的现行修订状态进行标记，文献更改由相应更改部门进行标记，保证文献的更改状态清楚明了；D:质量与项目管理中心应保证所有使用文献的场合可以获得有关文献的有效版本；E:各部门应爱惜文献，保证文献清楚，易于辨识；F:各部门获得外来文献应统一交相关部门保存，进行标记并控制发放；G:质量与项目管理中心应控制作废文献的使用，若各部门有必要保存作废文献时，应向质量与项目管理中心报告并由质量与项目管理中心加盖“作废”章。4.3.4记录控制公司建立《记录管理程序》，规定公司有关记录的标记、贮存、保护、检索、保存期限和过期的解决方法等，以提供产品符合规定和信息安全管理体系有效运营的客观证据。ISMS记录应当考虑任何相关的法律和法规规定以及协议责任，记录中应当包含所有过程的业绩，以及发生的、与ISMS相关的重大安全事件。4.3.5相关文献《文献控制程序》《记录控制程序》5.管理职责5.1管理者承诺：公司总经理的承诺是：建立和实行信息安全管理体系，连续改善其有效性，保证提交给客户满意的产品和服务，并通过开展以下活动为以上承诺提供证据：5.1.1向公司内部员工传达满足方针目的、满足客户需求、符合法律法规和连续改善的重要性；5.1.2制定信息安全方针；5.1.3保证信息安全控制目的的制定；5.1.4进行管理评审；5.1.5规定职责和权限；5.1.6保证内部审核的实行；5.1.7决定信息安全接受风险的准则和风险的可接受等级；5.1.8保证为公司管理体系配备必要的资源。公司的组织机构见附件。5.1.9职责和权限A:公司总经理拟定组织结构图，明确公司的组织机构形式，并拟定各部门的职责和权限，予以发布实行。(详见《信息安全委员会组织结构图》)B:各部门应了解本部门的职责、权限及互相关系，以便更好地开展工作，保证体系的有效性，各岗位具体信息安全职责见《岗位说明书》。C:各部门职责和权限a)总经理：任命管理者代表，明确管理者代表的职责和权限；保证在内部传达满足客户和法律法规的重要性；为信息安全管理体系配备必要的资源；主持管理评审；负责公司信息安全管理和公司管理的计划、组织、协调、监督、控制和考核工作；遵守公司信息安全的相关规定以及本岗位相关的保密规定。b)管理代表者：负责建立、实行、保持和改善信息安全管理体系，保证信息安全体系的有效运营；负责公司信息安全管理手册的审核，程序文献的批准，组织并领导公司内部ISMS审核工作；负责向总经理报告信息安全体系运营的业绩和任何改善的需求；负责就信息安全管理体系有关事宜的对外联络；遵守公司信息安全的相关规定以及本岗位相关的保密规定。C)软件研发中心：软件研发中心下设6个部门，其中JAVA技术部、.NET技术部、税务研发部、通信事业部这4个部门根据不同业务领域进行软件产品的研制与研发，其职责是：需求调研；负责与顾客沟通与联系；提供顾客产品的资料；软件产品的开发方案的设计与制作；进行软件产品的开发；项目实行的计划编排与控制；对开发完毕的产品进行及时的业务培训；技术支持；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。综合维护部的职责是：市场信息的搜集；解决方案的设计与制作；对开发完毕的产品进行及时的业务培训；售后服务的技术支持；外包服务的提供；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。测试部的职责是：软件产品的测试；测试资源的管理与维护；数据分析；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。d)系统集成中心：系统集成中心下设技术支持中心、工程中心和采购中心，其中技术支持中心和工程中心的职责是：需求调研；解决方案的设计与制作；项目实行的计划编排与控制；检查规范的制定与管理；外包服务的提供；技术支持；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。采购中心的职责是：供方的选择与评估；采购产品、不合格品的检查与解决；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。e)业务中心：业务中心下设五个部门，其中海外业务部专门从事软件外包业务的开拓。该中心的下设部门的职责为：市场信息的搜集；负责同客户进行业务沟通工作；提供顾客产品的资料；市场开拓；合约、定单的审查及变更的解决；负责根据签订的顾客规定安排生产；顾客报怨的受理与回馈；顾客满意度的调查；顾客售后服务的受理；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。f)服务中心：市场信息的搜集；负责与顾客沟通与联系；提供顾客产品的资料；市场开拓；合约、定单的审查及变更的解决；顾客报怨的受理与回馈；顾客满意度的调查；顾客售后服务的受理；技术支持；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。g)行政管理部：行政管理部下设管理部和网管中心，其职责为：负责公司计算机及网络设备的管理和维护；负责了解世界计算机及网络技术的发展趋势，为公司计算机及网络设备的更新和升级提出建议并予以实行；负责客户大规模电子文献的接受和发送；负责公司网站的管理、维护和内容更新；保障公司IT方面的信息安全；负责公司应用系统软件的管理和维护；负责公司信息安全内部审核的管理；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。h)人力资源部：负责人力资源管理工作，保证人员的信息安全；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。I)质量与项目管理中心：项目实行的监控与管理；合约、定单的审查及变更的解决；监督并审核质量执行与达成状况；监督各部门主管贯彻质量方针，实现质量目的；质量异常矫正措施的监督；不合格品管理的监督；顾客抱怨解决与对策的追踪；顾客满意度调查后的汇整分析及改善；质量体系内部审核的计划编制与执行；数据分析与改善；公司所有体系文献、文档资料的管理；负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。j)财务部：实行平常财务管理和会计核算，编制和执行公司财务计划；控制公司运作成本，按月进行各类财务分析，为管理层提供决策依据；向有关管理部门上交各类财务报表，如实反映公司经营状况；与各结算银行进行业务沟通和联系，向国家税务部门准时缴纳各项税金。负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。k)分支机构：伦敦办事处重要职责：

负责公司与海外合作公司的沟通；负责海外市场的拓展；负责海外合作项目的跟踪、监控和协调。负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。北京办事处重要职责：负责公司的重大项目的协调工作。负责公司对外分支机构选址和建立。负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。苏州、无锡、常州办事处重要职责：开拓公司税务产品的市场以及售后服务工作；负责江苏省内各个代理的管理；负责公司产品在其它地区的销售和维护工作。负责工作过程中的信息安全实行；本部门人员必须遵守公司信息安全的相关规定以及本岗位相关的保密规定。5.2资源管理公司应拟定并提供保证客户满意，保持信息安全管理体系有效运营并连续改善所需的资源，并对资源进行有效控制和管理。公司资源涉及：人力资源、计算机网络系统、工作环境及技术、信息等。5.2.1资源提供建立实行运营监控评审和维护信息安全管理体系；保证信息安全程序支持业务规定；辨认和强调法律法规规定和协议安全责任；对的的应用所有实行的控制措施维护足够的安全；通过管理评审或其他评审活动对资源的充足性进行评审，并对评审的结果采用适当措施；f)需要时，改善信息安全管理体系的有效性。5.2.2培训、意识和能力公司拟定从事与信息安全有关的人员所需的能力，采用以下控制保证这些人员可以胜任工作：拟定从事影响信息安全管理体系的人员所必要的能力，通过《岗位说明书》的任职规定来拟定，并在招聘活动中确认相关信息安全的任职规定；对人员提供培训或其他措施满足这些规定；评价采用培训和采用措施的有效性；建立并组织实行《人力资源管理程序》，对以上方面进行控制，并保存与教育、培训、技能、经验及对员工能力评价的记录。应保证所有相关人员结识到他们信息安全活动的相关性和重要性，以及他们如何为实现信息安全管理体系目的做奉献。5.2.3相关文献《人力资源管理程序》信息安全体系规定与体系文献及部门职能分派表：ISO27001条文规定责任部门总经理管理者代表软件研发中心系统集成中心业务中心服务中心行政管理部人力资源部质量与项目管理中心财务部分支机构4信息安全管理体系4.1总规定◆○○○○○○○○○○4.2建立并管理ISMS4.2.1建立ISMS◆○○○○○○△○○4.2.2实行和运营ISMS◆○○○○○○△○○4.2.3监视和评审ISMS◆○○○○○○△○○4.2.4保持和改善ISMS◆○○○○○○△○○4.3文献规定4.3.1总则◆○○○○○○△○○4.3.2文献控制○○○○○○○△○○4.3.3记录控制○○○○○○○△○○5管理职责5.1管理者承诺◆○○○○○○○○○○5.2资源管理5.2.1资源提供◆○○○○○○○○○○5.2.2培训、意识和能力○◆○○○○○△○○○6ISMS内部审核○◆○○○○○○△○○7ISMS管理评审7.1总则◆○○○○○○○△○○7.2评审输入○◆○○○○○○△○○7.3评审输出○◆○○○○○○△○○8ISMS改善8.1连续改善○◆○○○○○○△○○8.2纠正措施○◆○○○○○○△○○8.3防止措施○◆○○○○○○△○○附录A条文规定责任部门总经理管理者代表软件研发中心系统集成中心业务中心服务中心行政管理部人力资源部质量与项目管理中心财务部分支机构A.5信息安全策略A.5.1信息安全方针◆○○○○○○○△○○A.6信息安全组织A.6.1内部组织○◆○○○○○○△○○A.6.2外部相关方○◆○○○○○○△○○A.7资产管理A.7.1资产责任○◆○○○○○○△○○A.7.2信息分类○◆○○○○○○△○○A.8人力资源安全A.8.1聘用前○○○○○○○△○○○A.8.2聘用期间○○○○○○○△○○○A.9物理和环境安全A.9.1安全区域○◆○○○○△○●○○A.9.2设备安全○◆○○○○△○●○○A.10通信和运作管理A.10.1操作程序和职责○○○○○○△○●○○A.10.2第三方服务交付管理○○○○○○△○●○○A.10.3系统策划与接受○○○○○○△○●○○A.10.4防范恶意和可移动代码○○○○○○△○●○○A.10.5备份○○○○○○△○●○○A.10.6网络安全管理○○○○○○△○●○○A.10.7介质的解决○○○○○○△○●○○A.10.8信息互换○○○○○○△○●○○A.10.9电子商务服务（只涉及A.10.9.3公共信息）○○○○○○△○●○○A.10.10监控○○○○○○△○●○○A.11访问控制A.11.1访问控制的业务规定○○○○○○△○●○○A.11.2用户访问管理○○○○○○△○●○○A.11.3用户责任○○○○○○△○●○○A.11.4网络访问控制○○○○○○△○●○○A.11.5操作系统访问控制○○○○○○△○●○○A.11.6应用程序及信息访问控制○○○○○○△○●○○A.11.7移动计算和远程工作○○○○○○△○●○○A.12信息系统获取开发和维护A.12.1信息系统的安全需求○○○○○○△○●○○A.12.2应用程序的对的解决○○○○○○△○●○○A.12.3加密控制○○○○○○△○●○○A.12.4系统文献安全○○○○○○△○●○○A.12.5开发和支持过程的安全（不涉及A.12.5.5）○○○○○○△○●○○A.12.6技术薄弱点管理○○○○○○△○●○○A.13信息安全事件管理A.13.1报告信息安全事情和薄弱点○○○○○○△○●○○A.13.2信息安全事件和改善管理○○○○○○△○●○○A.14业务连续性管理A.14.1业务连续性管理中的信息安全事项○◆○○○○△○●○○A.15符合性A.15.1符合法律规定○○○○○○△○●○○A.15.2符合安全方针和标准，以及技术符合○◆○○○○△○●○○A.15.3信息系统审核相关事宜○◆○○○○△○●○○*注：领导职责以“◆”表达；监督部门以“●”表达；负责部门以“△”表达；相关部门以“○”表达。6.ISMS内部审核A:公司建立并实行《信息安全内部审核程序》，明确审核的规定，保证公司信息安全管理体系的符合性和有效性，符合已经辨认的信息安全规定。B:公司管理者代表负责督促内部审核的进行，并将审核情况报告总经理。C:公司按计划的时间间隔（不超过一年）组织内部审核，审核计划的安排应考虑区域的重要性及以往的执行情况。D:应安排具有审核员资格的人员进行审核，审核员不应审核自己部门的工作，以保证审核的公正性和客观性。E:受审核区域应采用适当的措施，以消除发现的不合格现象。F:审核员应对所采用措施的情况进行跟踪验证，保证不合格的结案。G:有关审核的所有记录应由管理部进行保存。H:相关文献：《信息安全内部审核程序》7.ISMS管理评审7.1.1公司建立并实行《信息安全管理评审程