1、保密等級公開文檔名稱信息安全管理手冊文檔編號ISMS/Si nosoft-h-01-2008發布組織Sinosoft信息安全委員會發布日期2008年1月1日執行日期2008年1月1日版本號A1.0信息安全管理手冊批準人簽字審核人簽字制訂人簽字日期：2008/1 /1日期：2008/1 /1日期：2008/1 /1南京擎天科技有限公司Nanji ng Sinosoft Tech no logy Co., Ltd.變更履歷序號版本編號或更改記錄編號變化狀態*簡要說明（變更內容、變更位置、變 更原因和變更范 圍）變更日期變更人審核人批準人批準日期1A1.0C創建，全頁。2008/1 /1許明星茅建平

2、汪曉剛2008/1 /1*變化狀態：C創建，A增加，M修改，D一一刪除公司介紹南京擎天科技有限公司 (Nanjing Sinosoft Technology Co., Ltd. 簡稱 Sinosoft) 成立于 1998 年 12 月，通過持續創新， 公司已成長為集應用軟件開發、 信息系統集成和專業咨詢服務為一體的國家級高新技術企業。2005 年，公司成功中標國稅總局的“金稅三期出口退稅系統”建設工程。 2006年 3月 6 日在倫 敦證交所掛牌上市， 市值達 18 億元，是國內首家登陸英國資本市場的軟件企業。Sinosoft 總部設在南京，在南京市國家級高新技術開發區建有獨立的研發 與測試中

3、心，在北京、蘇州、無錫、常州設有分支機構及技術服務中心。公司 以領先的技術、穩定可靠的產品、優質完善的服務，贏得了廣大客戶的支持與 信任，打造出“擎天”品牌。Sinosoft 定位于應用軟件的開發，公司先后承擔國家、省、市重大科研開 發項目數十項，公司擁有 70 多項自主開發產品，其中 49項獲得國家版權局頒 發的著作權證書及有關國家專利，并積極參與全國性的軟件標準制訂工作。多 個項目被列為“國家重點火炬計劃”、“國家火炬計劃”、“國家創新基金”、 “國家重點新產品”。多項產品先后榮獲中國優秀軟件產品、江蘇省優秀軟件 產品獎(金慧獎) 、江蘇省科技進步三等獎、南京市優秀軟件一等獎、南京市科 技

4、進步一等獎、南京市科技進步二等獎。 Sinosoft 現有客戶 30000 余家，包括 巴斯夫、摩托羅拉、LG等世界500強知名企業。Sinosoft現已在中國、英國、 美國、香港地區、臺灣地區注冊商標，申請多項專利，今后還將繼續加大知識 產權的保護力度。經過多年的積累，公司已獲得諸多資質和榮譽，包括：國家信息產業部計算機信息系統集成二級資質通過國際軟件成熟度模型集成 CMMI3級評估通過 ISO9001：2000 質量管理體系認證， 04年、 07年順利通過復審國家智 能化工程設計甲級資質入選國家電子政務標準化總體組成員單位入選國家金稅三期工程專家組成員單位 入選全國辦公自動化專業委員單位A

5、級納稅單位資信等級為 AAA榮獲江蘇省名牌稱號 江蘇省百家重點培育民營科技企業 江蘇省重點服務外包企業南京市骨干軟件企業 南京市百強科技工業企業江蘇軟件收入二十強經過多年的市場開拓， Sinosoft 先后承接全國數百個大中型建設項目， 積累了豐富的工程技術經驗。目前 Sinosoft 的出口退稅系統系列產品在國家 稅務總局、 江蘇省國稅局、 海南省國稅局等出口退稅部門和 4 萬余戶出口企業 中應用，并得到良好的應用， 截止 2007年 10月，“擎天出口退稅系統軟件” 占全國產品市場總份額的 35%，全國同行業第一位。Sinosoft 不斷跟蹤國際信息技術及相關技術、 管理規范的最新發展，

6、結合中國國情和實際經驗， 不斷更新軟件開發、 系統集成、 工程管理等方面的 技術水平和規范標準，依托企業形成市場、技術、人才和產品的良性循環，努 力將“ Sinosoft 技術中心”建成全省共性軟件、 平臺軟件和基礎軟件新技術、 新產品、 新標準的“輻射中心”， 帶動本行業開發企業不斷向更高更新的層次 發展。信息安全方針批準令信息安全管理體系方針1總體方針： 實施風險管理，技術管理同步，確保信息安全，滿足相關方要求，實現可持續發展。 2詮釋：我們通過計算機及網絡設備提供公司各種業務服務的開展， 因此， 信息資產的安全性對 我們來說是最重要的事情。為了保證各種信息資產的保密性、 完整性、 可用性

7、，給客戶提供 更加安心的服務，我們依據 ISO/IEC 27001:2005 標準，建立信息安全管理體系，并承諾如 下：2 1 在公司內各層次建立完整的信息安全管理組織機構，確定信息安全方針、安全目 標和控制措施，明確信息安全的管理職責；2 2 識別并滿足適用法律法規和政府、客戶等相關方的信息安全要求；2 3 定期進行信息安全風險評估，體系評審，采取糾正預防措施，保證本公司信息安 全體系的持續有效性；2 4 采用先進有效的設施和技術，處理、傳遞、儲存和保護各類信息；25 對全體員工進行持續的信息安全教育和培訓， 不斷增強員工信息安全意識和能力； 2 6 制定并保持完善的業務連續性計劃，實現可持

8、續發展；27 對于本基本方針的適用性、 充分性， 將結合實際狀況定期評審，必要時予以修訂； 2 8 公司根據本信息安全管理體系方針制定各種策略。2 0 0 8年1月南京擎天科技有限公司 總經理：1. 目的和范圍為了建立、 健全本公司信息安全管理體系， 確定信息安全方針和目標， 對信息安全風 險進行有效管理， 確保全體員工理解并遵照執行信息安全管理體系文件、 持續改進管理體 系的有效性，特制定本手冊。1.1 本手冊按照 ISO/IEC 27001:2005 信息安全管理體系要求 ，并結合我公司管理的實 際情況編寫， 用于在合同條件下向客戶和第三方證明我公司的信息安全管理體系能滿足規 定的標準。1

9、.2 信息安全管理體系適用范圍本手冊適用于 4.2.1 條款確定范圍內的信息安全管理活動。1）數據處理活動；2）本公司范圍內的上訴業務流程包括的部門和員工；3）與 2） 所述活動相關的應用系統及支持性信息管理系統包含的全部信息資產；4）公司連接互聯網的服務器及相關數據傳輸的活動。2. 引用標準ISO/IEC 17799:2005 信息技術安全技術 - 信息安全管理實施細則ISO/IEC 27001:2005 信息安全管理體系要求3. 術語和定義本手冊采用 ISO/IEC 27001:2005 中的術語和定義。3.1 要求 明示的、通常隱含的或必須履行的需求或期望。3.2 顧客滿意 顧客對其要求

10、已被滿足的程度的感受。3.3 信息安全管理體系 在信息安全方面指揮和控制組織的管理體系。3.4 方針 由組織的最高管理者正式發布的該組織總的安全宗旨和方向。3.5 目標 在安全管理方面 , 所追求的目的。3.6 持續改進 增強滿足要求的能力的循環活動。3.7 顧客 接受產品的組織或個人。3.8 供方 提供產品的組織或個人。3.9 組織職責、權限和相互關系得到安排的一組人員及設施。3.10 相關方 與組織的業績或成就有利益關系的個人或團體。3.11 過程 一組將輸入轉化為輸出的相互關聯或相互作用的活動。3.12 產品 過程的結果。3.13 可追溯性 追溯所考慮對象的歷史、應用情況或所處場所的能力

11、。3.14 預防措施 為消除潛在不合格或其他潛在不期望情況的原因所采取的措施。3.15 糾正措施 為消除已發現的不合格或其他不期望情況的原因所采取的措施。3.16 手冊 規定組織安全管理體系的文件。3.17 審核 為獲得審核證據并對其進行客觀的評價, 以確定滿足審核準則的程度所進行的系統的、獨立的并形成文件的過程。3.18 評審 為確定主題事項達到規定目標的適宜性、充分性和有效性所進行的活動。3.19 記錄 闡明所取得的結果或提供所完成活動的證據的文件。3.20 規范 闡明要求的文件。3.21 資產 對組織有價值的任何事物。 ISO/IEC 13335-1:20043.22 可用性 已授權實體

12、一旦需要就可訪問和使用的特性。ISO/IEC 13335-1:20043.23 保密性 使信息不泄露給未授權的個人、實體、過程或不使信息為其利用的特性。 ISO/IEC 13335-1:20043.24 信息安全 保持信息的保密性、完整性和可用性；另外，還可能包括真實性、可核查性、抗抵賴 和可靠性。 ISO/IEC 17799 ： 20053.25 信息安全事情系統、 服務或網絡狀態已經確認發生顯示可能違背信息安全方針或安全故障，或可能與安全相關的以前未知的情況 ISO/IEC TR 18044:20043.26 信息安全事件單一或一系列不必要的或不期望的有危及業務運作和威脅信息安全的重大可能

13、的信 息安全事件 ISO/IEC TR 18044:20043.27 信息安全管理體系 (ISMS) 組織整個管理體系的一部分，以業務風險方法為基礎，建立、實施、運作、監視、評 審、保持并持續改進信息安全。注：管理體系包括：組織結構、方針、計劃活動、職責、規范、程序、過程和資源。3.28 完整性 保護資產準確性和完備性的特性。 ISO/IEC 13335-1:20043.29 剩余風險 經過風險處理后殘留的風險。 ISO/IEC 73 指南 :20023.30 風險接受 接受某一風險的決定。 ISO/IEC 73 指南 :20023.31 風險分析 系統的使用信息，以識別來源并估計風險。 IS

14、O/IEC 73 指南 :20023.32 風險評估 整個風險分析和風險評價過程。 ISO/IEC 73 指南 :20023.33 風險評價 依據給定的風險準則比較已估計的風險，以確定風險嚴重程度的過程。 ISO/IEC 73 指南 :20023.34 風險管理 指導并控制組織有關風險的協調的活動。 ISO/IEC 73 指南 :20023.35 風險處理 選擇并實施措施以降低風險的過程。 ISO/IEC 73 指南 :20023.36 適用性聲明描述關于并適用于組織的 ISMS的控制目標和控制措施的文件。 注：控制目標和控制措施是建立在風險評估和處理過程的結果和結論、 法律法規要求、 合同義

15、務和組織的信息安全業務要求的基礎上。3.37 有關縮寫的術語ISO-國際標準化組織IEC- 國際電工委員會GB-國家標準ISMS-信息安全管理體系Sinosoft- 南京擎天科技有限公司4. 信息安全管理體系4.1 總要求公司依據ISO/IEC 27001:2005 標準的要求，建立、實施、運行、監視、評審、保持和改進信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執行并持續改進有效性，對過程的應用和管理詳見信息安全管理體系過程模式圖（圖1 ）。信息安全管理體系是在公司整體經營活動和經營風險架構下，針對信息安全風險的管理體系；圖1信息安全管理體系過程模式圖4.2 建立和管理 ISMS4.

16、2.1 建立 ISMS公司應：a）根據公司的業務特征、組織結構、地理位置、資產和技術定義ISMS范圍和邊界，包括在范圍內任何刪減的細節和理由（見標準 1.2 ）。本公司ISMS的范圍和邊界包括：1）數據處理活動；2）本公司范圍內的上訴業務流程包括的部門和員工；3）與 2） 所述活動相關的應用系統及支持性信息管理系統包含的全部信息資產；4 ） 公司連接互聯網的服務器及相關數據傳輸的活動。b）根據公司的業務特征、組織結構、地理位置、資產和技術定義ISMS方針，必須滿足以下要求：1）為ISMS目標建立一個框架并為信息安全活動建立整體的方向和原則；2）考慮業務及法律或法規的要求，以及合同的安全義務；3

17、）與公司戰略和風險管理相一致的環境下，建立和保持ISMS；4）建立風險評價的準則；5）總經理批準發布ISMS方針。c）定義公司風險評估方法。質量與項目管理中心負責建立 信息安全風險評估管理程序 并組織實施。信息安 全風險評估管理程序包括可接受風險準則和可接受水平。1）識別適用于 ISMS 和已經識別的業務信息安全、法律和法規要求的風險評估方 法。2）建立接受風險的準則并識別風險的可接受等級 。 選擇的風險評估方法應確保風險評估能產生可比較的和可重復的結果。注：風險評估具有不同的方法。具體參照 ISO/IEC TR 13335-3 ，信息技術 IT 安 全管理指南 IT 安全管理技術 。3）公司

18、的風險評估的流程信息資產識別 - 重要信息資產 （通過資產評估標準） - 信息資產的威脅識別和評價 - 薄弱點識別和評價 （對應威脅） - 確認已經采取的安全控制措施確定風險等級 （風險等 級標準）d）識別風險：1）識別ISMS控制范圍內的資產以及這些資產的所有者；在已確定的ISMS范圍內，對所有的信息資產進行列表識別。信息資產包括文檔 /數據、軟件 / 系統、硬件 / 設施、人力 資源、 服務、無形資產等。 對每一項信息資產， 根據重要信息資產判斷依據確定是否為重要 信息資產，形成信息資產識別表 。2）識別對這些資產的威脅，一項資產可能面對若干個威脅；3）識別可能被威脅利用的脆弱性，一項脆弱

19、性也可能面對若干個威脅；4) 識別保密性、完整性和可用性損失可能對資產造成的影響。解釋： “所有者”代表已被授權的個人或實體，對資產的生產、開發、維護、使 用、安全負有管理責任。 “所有者”不代表個人對資產具有真正的財產權。e) 分析并評價風險：1) 在資產識別的基礎上，針對每一項重要信息資產，依據風險評估原則中的信息資產CIAB分級標準，進行 CIAB的資產賦值計算；2) 針對每一項重要信息資產，參考風險評估原則中的威脅參考表及以往 的安全事故 (事件) 記錄、信息資產所處的環境等因素，識別出重要信息資產所面臨的所有 威脅；3) 按照風險評估原則 中的威脅分級標準對每一個威脅發生的可能性進行

20、賦值；4) 針對每一項威脅，考慮現有的控制措施，參考風險評估原則中的脆弱性參 考表識別出被該威脅可能利用的所有薄弱點，并根據風險評估原則中的脆弱性分級 標準對每一個脆弱性被威脅利用的難易程度進行賦值；5) 按照風險評估模型結合威脅和脆弱性賦值對風險發生可能性進行評價。6) 按照風險評估模型結合資產和脆弱性賦值對風險發生的損失進行評價。7) 按照風險評估模型對風險發生可能性和風險發生的損失進行計算得出風險評估 賦值，并按照風險評估原則中的風險等級標準評價出信息安全風險等級。8) 對于信息安全風險， 在考慮控制措施與費用平衡的原則下制定的信息安全風險接 受準則，按照該準則確定何種等級的風險為不可接

21、受風險。f) 識別并評價風險處理的選擇：對于信息安全風險，應考慮控制措施與費用的平衡原則，選用以下適當的措施：1) 應用適當的控制以降低風險：這可能是降低事件發生的可能性，也可能是降低 安全失敗 (保密性、完整性或可用性丟失 ) 的業務損害。2) 如果能證明風險滿足公司的方針和風險接受準則，有意的、客觀的接受風險； 一般針對那些不可避免的風險， 而且技術上、 資源上不可能采取對策來降低， 或者降低對公 司來說不經濟。 “接受風險”是針對判斷為不可接受的風險所采取的處理方法，而不是針 對那些低于風險接受水平的本來就可接受的風險。3) 避免風險；對于不是公司的核心工作內容的活動，公司可以采取避免某

22、項活動 或者避免采用某項不成熟的產品技術等來回避可能產生的風險。4) 將有關的業務風險轉移到其他方，例如保險公司、供方。信息安全委員會應組織有關部門根據風險評估的結果，形成風險處理計劃，該計劃應明確風險處理責任部門、方法及時間。g) 為風險的處理選擇控制目標與控制措施。應選擇并實施控制目標和控制措施，以滿足風險評估和風險處理過程所識別的要 求。選擇時，應考慮接受風險的準則以及法律法規和合同要求。信息安全委員會根據信息安全方針、 業務發展要求及風險評估的結果， 組織有關部 門制定信息安全目標， 并將目標分解到有關部門。 信息安全目標應獲得信息安全最高責任者 的批準。從附錄 A 中選擇的控制目標和

23、控制措施應作為這一過程的一部分，并滿足上述要 求。公司也可根據需要選擇另外的控制目標和控制措施。注：附錄 A 包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄 A 作為選擇控制措施的出發點，以確保不會遺漏重要的控制可選措施。h) 獲得最高管理者對建議的剩余風險的批準，剩余風險接受批準應該在風險評估表上 留下記錄。i) 獲得管理者對實施和運行 ISMS的授權。ISMS管理者代表的任命和授權、ISMS文檔的簽 署可以作為實施和運作 ISMS的授權證據。j) 準備適用性聲明，內容應包括：1) 所選擇的控制目標和控制措施，以及選擇的原因；2) 當前實施的控制目標和控制措施；3

24、) 附錄A中控制目標和控制措施的刪減，以及刪減的理由。4) 質量與項目管理中心負責組織編制信息安全適用性聲明 。注：適用性聲明提供了一個風險處理決策的總結。 通過判斷刪減的理由， 再次確認 控制目標沒有被無意識的遺漏。4.2.2 實施并運作 ISMS為確保ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動：a) 制定風險處理計劃闡明為控制信息安全風險確定的適當的管理活動、職責以及 優先權。b) 為了達到所確定的控制目標，實施風險處理計劃，包括考慮資金以及角色和職責的分配，明確各崗位的信息安全職責；c) 實施所選的控制措施，以滿足控制目標。d) 確定如何測量所選擇的一個 / 組控制

25、措施的有效性， 并規定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果。注：測量控制措施的有效性允許管理者和相關人員來確定這些控制措施實現策劃的 控制目標的程度。e) 實施培訓和意識計劃。f) 對ISMS的運作進行管理。g) 對ISMS的資源進行管理。h) 實施能夠快速檢測安全事情、響應安全事件的程序和其它控制。4.2.3 監控并評審 ISMSa) 本公司通過實施不定期安全檢查、內部審核、事故報告調查處理、電子監控、 定期技術檢查等控制措施并報告結果以實現：1) 快速檢測處理結果中的錯誤；2) 快速識別失敗的和成功的安全破壞和事件；3) 能使管理者確認人工或自動執行的安全活動達

26、到預期的結果；4) 幫助檢測安全事情，并利用指標預防安全事件；5) 確定解決安全破壞所采取的措施是否有效。b) 定期評審ISMS的有效性(包括安全方針和目標的符合性，對安全控制措施的評審)，考慮安全審核、事件、有效性測量的結果，以及所有相關方的建議和反饋。c) 測量控制措施的有效性，以證實安全要求已得到滿足。d) 按照計劃的時間間隔，評審風險評估，評審剩余風險以及可接受風險的等級， 考慮到下列變化：1) 組織機構和職責；2) 技術；3) 業務目標和過程；4) 已識別的威脅；5) 實施控制的有效性；6) 外部事件， 例如法律或規章環境的變化、 合同責任的變化以及社會環境 的變化。e) 按照計劃的

27、時間間隔(不超過一年)進行ISMS內部審核。注：內部審核，也稱為第一方審核，是為了內部的目的，由公司或以公司 的名義進行的審核。f) 定期對ISMS進行管理評審，以確保范圍的充分性，并識別ISMS過程的改進。g) 考慮監視和評審活動的發現，更新安全計劃。h) 記錄可能對ISMS有效性或業績有影響的活動和事情。4.2.4 保持并持續改進 ISMS本公司開展以下活動，以確保ISMS的持續改進：a) 實施已識別的ISMS改進措施。b) 采取適當的糾正和預防措施。吸取從其他公司的安全經驗以及組織自身安全實 踐中得到的教訓。c) 與所有相關方溝通措施和改進。溝通的詳細程度應與環境相適宜，必要時，應約定如

28、何進行。d) 確保改進達到其預期的目標。4.3 文件要求4.3.1 總則本公司信息安全管理體系文件包括：A：信息安全管理手冊(包括文件化的方針、控制目標、管理體系的范圍及信息安全適應性聲明、信息安全策略 ) ；B: 程序文件；C：作業指導書；D: 風險評估方法的描述 . ，風險評估報告及風險處理計劃；E: 外來文件；F: 表單。4.3.2 信息安全管理手冊A: 編寫目的： 向公司內部或外部提供關于信息安全管理體系的基本信息， 用 于對公司的信息安全管理體系做綱領性和概括性的描述。B: 信息安全管理手冊的編寫： 由管理者代表負責組織編寫， 總經理批準后發 布實施。C: 信息安全管理手冊的管理：質

29、量與項目管理中心負責保管及發放管理。D：信息安全管理手冊的發放：手冊分“受控”和“非受控”兩種。受控手冊在封面上加蓋紅色 “受控文件”章，僅限于公司內部使用， 當修訂或換版時進行相應控 制，且人員調離時應予歸還；非受控手冊不蓋任何印章，發放對象為認證機構、客戶等， 在修訂和換版時不予控制。4.3.3 文件和資料管理公司建立文件管理程序 ，規定以下方面的控制要求：A: 文件在發放前應按規定的審核和批準權限進行批準后才能發布；B: 必要時對文件進行評審與更新，并按規定的權限重新批準；C：由質量與項目管理中心對文件的現行修訂狀態進行標識，文件更改由相應更改部門進行標識，確保文件的更改狀態清晰明了；D

30、: 質量與項目管理中心應確保所有使用文件的場所能夠獲得有關文件的有 效版本；E: 各部門應愛護文件，確保文件清晰，易于辨識；F: 各部門獲得外來文件應統一交相關部門保存，進行標識并控制發放；G: 質量與項目管理中心應控制作廢文件的使用，若各部門有必要保存作廢 文件時，應向質量與項目管理中心報告并由質量與項目管理中心加蓋“作廢”章。4.3.4 記錄控制公司建立記錄管理程序 ，規定公司有關記錄的標識、貯存、保護、檢索、保存 期限和過期的處理方法等，以提供產品符合要求和信息安全管理體系有效運行的客觀證 據。 ISMS 記錄應該考慮任何相關的法律和法規要求以及合同責任，記錄中應該包含所有 過程的業績，

31、以及發生的、與ISMS相關的重大安全事件。4.3.5 相關文件文件控制程序記錄控制程序5. 管理職責5.1 管理者承諾：公司總經理的承諾是： 建立和實施信息安全管理體系， 持續改善其有效性， 確保提交給客戶滿意的產品和服務，并通過開展以下活動為以上承諾提供證據：5.1.1 向公司內部員工傳達滿足方針目標、 滿足客戶需求、 符合法律法規和持續改進的重 要性；5.1.2 制定信息安全方針；5.1.3 確保信息安全控制目標的制定；5.1.4 進行管理評審；5.1.5 規定職責和權限；5.1.6 確保內部審核的實施；5.1.7 決定信息安全接受風險的準則和風險的可接受等級；5.1.8 確保為公司管理體

32、系配備必要的資源。公司的組織機構見附件。5.1.9 職責和權限A:公司總經理確定組織結構圖，明確公司的組織機構形式，并確定各部門的職責和權限，予以發布實施。 （ 詳見信息安全委員會組織結構圖 ）B: 各部門應了解本部門的職責、權限及相互關系，以便更好地開展工作， 保證體系的有效性，各崗位具體信息安全職責見崗位說明書 。C:各部門職責和權限a）總經理：任命管理者代表，明確管理者代表的職責和權限； 確保在內部傳達滿足客戶和法律法規的重要性； 為信息安全管理體系配備必要的資源； 主持管理評審； 負責公司信息安全管理和企業管理的計劃、組織、協調、監督、控 制和考核工作； 遵守公司信息安全的相關規定以及

33、本崗位相關的保密要求。b） 管理代表者：負責建立、實施、保持和改進信息安全管理體系，保證信息安全體 系的有效運行； 負責公司信息安全管理手冊的審核，程序文件的批準，組織并領導 公司內部ISMS審核工作； 負責向總經理報告信息安全體系運行的業績和任何改進的需求； 負責就信息安全管理體系有關事宜的對外聯絡； 遵守公司信息安全的相關規定以及本崗位相關的保密要求。C) 軟件研發中心：軟件研發中心下設 6個部門，其中JAVA技術部、.NET技術部、稅務研發部、通信事業部這 4 個部門根據不同業務領域進行軟件產品的研制與研發， 其 職責是：需求調研；負責與顧客溝通與聯系； 提供顧客產品的資料； 軟件產品的

34、開發方案的設計與制作； 進行軟件產品的開發； 項目實施的計劃編排與控制； 對開發完成的產品進行及時的業務培訓； 技術支持；負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。綜合維護部的職責是：市場信息的搜集； 解決方案的設計與制作； 對開發完成的產品進行及時的業務培訓； 售后服務的技術支持；外包服務的提供； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。測試部的職責是：軟件產品的測試； 測試資源的管理與維護； 數據分析； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規

35、定以及本崗位相關的 保密要求。d) 系統集成中心：系統集成中心下設技術支持中心、 工程中心和采購中心， 其中技術支持中 心和工程中心的職責是：需求調研；解決方案的設計與制作； 項目實施的計劃編排與控制； 檢驗規范的制定與管理； 外包服務的提供；技術支持； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。采購中心的職責是：供方的選擇與評估； 采購產品、不合格品的檢驗與處理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。e) 業務中心： 業務中心下設五個部門，其中海外業務部專門從事軟件外包業

36、務的開拓。 該中心的下設部門的職責為：市場信息的搜集； 負責同客戶進行業務溝通工作； 提供顧客產品的資料；市場開拓； 合約、定單的審查及變更的處理； 負責根據簽訂的顧客要求安排生產； 顧客報怨的受理與回饋； 顧客滿意度的調查； 顧客售后服務的受理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。f) 服務中心：市場信息的搜集；負責與顧客溝通與聯系； 提供顧客產品的資料； 市場開拓；合約、定單的審查及變更的處理； 顧客報怨的受理與回饋； 顧客滿意度的調查； 顧客售后服務的受理；技術支持； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司

37、信息安全的相關規定以及本崗位相關的 保密要求。g）行政管理部：行政管理部下設管理部和網管中心，其職責為： 負責公司計算機及網絡設備的管理和維護； 負責了解世界計算機及網絡技術的發展趨勢， 為公司計算機及網絡 設備的更新和升級提出建議并予以實施； 負責客戶大規模電子文件的接收和發送； 負責公司網站的管理、維護和內容更新；保障公司 IT 方面的信息安全； 負責公司應用系統軟件的管理和維護； 負責公司信息安全內部審核的管理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。h）人力資源部：負責人力資源管理工作，確保人員的信息安全； 負責工作過程中的

38、信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。I） 質量與項目管理中心：項目實施的監控與管理； 合約、定單的審查及變更的處理； 監督并審核質量執行與達成狀況； 監督各部門主管落實質量方針，實現質量目標； 質量異常矯正措施的監督； 不合格品管理的監督； 顧客抱怨處理與對策的追蹤； 顧客滿意度調查后的匯整分析及改進； 質量體系內部審核的計劃編制與執行； 數據分析與改進； 公司所有體系文件、文檔資料的管理； 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。j) 財務部： 實行日常財務管理和會計核算，編制和執行企

39、業財務計劃； 控制企業運作成本，按月進行各類財務分析，為管理層提供決策依 據； 向有關管理部門上交各類財務報表，如實反映企業經營狀況； 與各結算銀行進行業務溝通和聯系， 向國家稅務部門按時繳納各項 稅金。負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。k) 分支機構： 倫敦辦事處主要職責：負責公司與海外合作公司的溝通； 負責海外市場的拓展； 負責海外合作項目的跟蹤、監控和協調。 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。北京辦事處主要職責：負責公司的重大項目的協調工作。 負責公司對外分

40、支機構選址和建立。負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。蘇州、無錫、常州辦事處主要職責：開拓公司稅務產品的市場以及售后服務工作； 負責江蘇省內各個代理的管理； 負責公司產品在其它地區的銷售和維護工作。 負責工作過程中的信息安全實施； 本部門人員必須遵守公司信息安全的相關規定以及本崗位相關的 保密要求。5.2 資源管理公司應確定并提供確保客戶滿意， 保持信息安全管理體系有效運行并持續改進所需的 資源，并對資源進行有效控制和管理。公司資源包括：人力資源、計算機網絡系統、工作環境及技術、信息等。5.2.1 資源提供a) 建立實施運行監控評

41、審和維護信息安全管理體系；b) 確保信息安全程序支持業務要求；c) 識別和強調法律法規要求和合同安全責任；d) 正確的應用所有實施的控制措施維護足夠的安全；e) 通過管理評審或其他評審活動對資源的充分性進行評審， 并對評審的結 果采取適當措施；f) 需要時，改進信息安全管理體系的有效性。5.2.2 培訓、意識和能力 公司確定從事與信息安全有關的人員所需的能力， 采取以下控制確保這些人員能夠勝 任工作：a) 確定從事影響信息安全管理體系的人員所必要的能力， 通過崗位說明 書的任職要求來確定，并在招聘活動中確認相關信息安全的任職要求；b) 對人員提供培訓或其他措施滿足這些要求；c) 評價采取培訓和

42、采取措施的有效性；d) 建立并組織實施人力資源管理程序 ，對以上方面進行控制，并保存 與教育、培訓、技能、經驗及對員工能力評價的記錄。應確保所有相關人員認識到他們信息安全活動的相關性和重要性，以及他 們如何為實現信息安全管理體系目標做貢獻。5.2.3 相關文件人力資源管理程序信息安全體系要求與體系文件及部門職能分配表:221 、-K> 立日 任 責總經理管理者代表軟件研發中心系 統 集 成 中 心業 務 中 心服務中心行政管理部人 力 資 源 部質量與項目管理中心財 務 部分 支 機 構4皿系 息體 信理4.1總要求OOOOOOOOOO4.2建立并管理ISMS建立ISMSOOOOOOOO

43、實施和運行ISMSOOOOOOOO監視和評審ISMSOOOOOOOO保持和改進ISMSOOOOOOOO4.3文件要求總則OOOOOOOO文件控制OOOOOOOOO記錄控制OOOOOOOOO5管理職責5.1管理者承諾OOOOOOOOOO5.2資源管理資源提供OOOOOOOOOO培訓、意識和 能力OOOOOOOOO6ISMS內部審 核OOOOOOOOO7ISMS管理評審7.1總則OOOOOOOOO7.2評審輸入OOOOOOOOO7.3評審輸出OOOOOOOOO8I SMS改進8.1持續改進OOOOOOOOO8.2糾正措施O.OOOOOOOO8.3預防措施O.OOOOOOOO責任部門附錄A條文要求總

44、經理管理者代表軟件研發中心系 統 集 成 中 心業 務 中 心服務中心行政管理部人 力 資 源 部質量與項目管理中心財 務 部分 支 機 構5A匚.5.1AOO.二丄O二O6 A織 組 全 自心Cn1 sA織 組 RH 立日 內。OO.OO-OO.O2 s AOO。OOO。一。7 Am 二 S 管 產 資1A任責/、資OO。一。OO一。一。一27.A類 扮 自心OO。OO一。一8 AU88A前 用OOO。_。一OO一O。_o_28AOOO。_。OO一 O,。9 A19AOO。一O。29AOO。_。一O。_。_o_o1A10A責 職 和 ff序 程 作 操OOO。一O。oOOO。OO ooOOO

45、。O。_。o_代 動 移 可 和 意 惡加碼O2OOOAOO.o份 備OOO。O。OOO。O。oOOO。O。o.OOO。O。o電子商務服務（只包括公共信息）OOOOOOOOO監控OOOOOOOOOA.11訪問控制訪問控制的業務要求OOOOOOOOO用戶訪問管理OOOOOOOOO用戶責任OOOOOOOOO網絡訪問控制OOOOOOOOO操作系統訪問控制OOOOOOOOO應用程序及信息訪問 控制OOOOOOOOO移動計算和遠程工作OOOOOOOOOA.12信息系統獲取開發和 維護信息系統的安全需求OOOOOOOOO應用程序的正確處理OOOOOOOOO加密控制OOOOOOOOO系統文件安全OOOOOO

46、OOO開發和支持過程的安全（不包括）OOOOOOOOO技術薄弱點管理OOOOOOOOOA.13信息安全事件管理報告信息安全事情和 薄弱點OOOOOOOOO信息安全事件和改進 管理OOOOOOOOOA.14業務連續性管理業務連續性管理中的 信息安全事項OOOOOOOOA.15符合性符合法律要求OOOOOOOOO符合安全方針和標準，以及技術符合OOOOOOOO信息系統審核相關事 宜OOOOOOOO*注：領導職責以“”表示；監督部門以“”表示；負責部門以“”表示；相關部門 以“O”表示。6. ISMS 內部審核A: 公司建立并實施 信息安全內部審核程序 ，明確審核的要求， 確保公司信息安全管 理體系

47、的符合性和有效性，符合已經識別的信息安全要求。B：公司管理者代表負責督促內部審核的進行，并將審核情況報告總經理。C: 公司按計劃的時間間隔（不超過一年）組織內部審核，審核計劃的安排應考慮區域 的重要性及以往的執行情況。D：應安排具備審核員資格的人員進行審核，審核員不應審核自己部門的工作，以確保 審核的公正性和客觀性。E: 受審核區域應采取適當的措施，以消除發現的不合格現象。F: 審核員應對所采取措施的情況進行跟蹤驗證，確保不合格的結案。G:有關審核的所有記錄應由管理部進行保存。H:相關文件：信息安全內部審核程序7. ISMS 管理評審7.1.1 公司建立并實施信息安全管理評審程序 ，規定每年組織公司各部門主管進行管 理評審，評審的目的是