ISMS-Sinosoft-h-01-XXXX信息安全管理手册

1、 ISMSPAGE 3rd Floor, No.50 Building, No.168 Longpan Zhong Road, Nanjing, P.R.China. 31/31保密等级级公开文档名称称信息安全全管理手手册文档编号号ISMSS/Siinossoftt-h-01-20008发布组织织Sinoosofft信息息安全委委员会发布日期期20088年1月1日执行日期期20088年1月1日版本号A1.00信息安全全管理手手册批准人签签字审核人签签字制订人签签字日期： 20008/11 /1日期：220088/1 /1日期：220088/1 /1南京擎天天科技有有限公司司Nanjjingg

2、Siinossoftt Teechnnoloogy Co., Lttd.变更履历历序号版本编号号或更改改记录编编号变化状态态 *简要说明明(变更内内容、变变更位置置、变更更原因和和变更范范围)变更日期期变更人审核人批准人批准日期期1A1.00C创建，全全页。20088/1/1许明星茅建平汪晓刚20088/1/1*变化状状态：CC创创建，AA增增加，MM修修改，DD删删除公司介绍绍南京擎天天科技有有限公司司(Nanjjingg Siinossoftt Teechnnoloogy Co., LLtd.简称Siinossoftt)成立于于19998年112月，通过持持续创新新，公司司已成长长为集应应

3、用软件件开发、信息系系统集成成和专业业咨询服服务为一一体的国国家级高高新技术术企业。20005年，公司成成功中标标国税总总局的“金税三三期出口口退税系系统”建建设工程程。20006年年3月66日在伦伦敦证交交所挂牌牌上市，市值达达18亿亿元，是是国内首首家登陆陆英国资资本市场场的软件件企业。Sinoosofft总部部设在南南京，在在南京市市国家级级高新技技术开发发区建有有独立的的研发与与测试中中心，在在北京、苏州、无锡、常州设设有分支支机构及及技术服服务中心心。公司司以领先先的技术术、稳定定可靠的的产品、优质完完善的服服务，赢赢得了广广大客户户的支持持与信任任，打造造出“擎擎天”品品牌。Sin

4、oosofft定位位于应用用软件的的开发，公司先先后承担担国家、省、市市重大科科研开发发项目数数十项，公司拥拥有700多项自自主开发发产品，其中449项获获得国家家版权局局颁发的的著作权权证书及及有关国国家专利利，并积积极参与与全国性性的软件件标准制制订工作作。多个个项目被被列为“国家重重点火炬炬计划”、“国国家火炬炬计划”、“国国家创新新基金”、“国国家重点点新产品品”。多多项产品品先后荣荣获中国国优秀软软件产品品、江苏苏省优秀秀软件产产品奖(金慧奖奖)、江江苏省科科技进步步三等奖奖、南京京市优秀秀软件一一等奖、南京市市科技进进步一等等奖、南南京市科科技进步步二等奖奖。Siinossoftt

5、现有客客户3000000余家，包括巴巴斯夫、摩托罗罗拉、LLG等世世界5000强知知名企业业。Siinossoftt现已在在中国、英国、美国、香港地地区、台台湾地区区注册商商标，申申请多项项专利，今后还还将继续续加大知知识产权权的保护护力度。经过多多年的积积累，公公司已获获得诸多多资质和和荣誉，包括：国家信息息产业部部计算机机信息系系统集成成二级资资质通过国际际软件成成熟度模模型集成成CMMMI3级级评估通过ISSO90001：20000质量量管理体体系认证证，044年、007年顺顺利通过过复审国国家智能能化工程程设计甲甲级资质质入选国家家电子政政务标准准化总体体组成员员单位入选国家家金税三三

6、期工程程专家组组成员单单位入选全国国办公自自动化专专业委员员单位A级纳税税单位资信等级级为AAAA荣获江苏苏省名牌牌称号江苏省百百家重点点培育民民营科技技企业江苏省重重点服务务外包企企业南京市骨骨干软件件企业南京市百百强科技技工业企企业江苏软件件收入二二十强经过多年年的市场场开拓，Sinnosooft先先后承接接全国数数百个大大中型建建设项目目，积累累了丰富富的工程程技术经经验。目目前Siinossoftt的出口口退税系系统系列列产品在在国家税税务总局局、江苏苏省国税税局、海海南省国国税局等等出口退退税部门门和4万万余户出出口企业业中应用用，并得得到良好好的应用用，截止止20007年110月，

7、“擎天天出口退退税系统统软件”占全国国产品市市场总份份额的335%，全国同同行业第第一位。Sinnosooft不不断跟踪踪国际信信息技术术及相关关技术、管理规规范的最最新发展展，结合合中国国国情和实实际经验验，不断断更新软软件开发发、系统统集成、工程管管理等方方面的技技术水平平和规范范标准，依托企企业形成成市场、技术、人才和和产品的的良性循循环，努努力将“Sinnosooft技技术中心心”建成成全省共共性软件件、平台台软件和和基础软软件新技技术、新新产品、新标准准的“辐辐射中心心”，带带动本行行业开发发企业不不断向更更高更新新的层次次发展。信息安全全方针批批准令信息安全全管理体体系方针针1总体

8、体方针：实施风险险管理，技术管管理同步步，确保保信息安安全，满满足相关关方要求求，实现现可持续续发展。2诠释释：我们通过过计算机机及网络络设备提提供公司司各种业业务服务务的开展展，因此此，信息息资产的的安全性性对我们们来说是是最重要要的事情情。为了了保证各各种信息息资产的的保密性性、完整整性、可可用性，给客户户提供更更加安心心的服务务，我们们依据IISO/IECC 2770011:20005标标准，建建立信息息安全管管理体系系，并承承诺如下下：21 在公司司内各层层次建立立完整的的信息安安全管理理组织机机构，确确定信息息安全方方针、安安全目标标和控制制措施，明确信信息安全全的管理理职责；22

9、识别并并满足适适用法律律法规和和政府、客户等等相关方方的信息息安全要要求；23 定期进进行信息息安全风风险评估估，体系系评审，采取纠纠正预防防措施，保证本本公司信信息安全全体系的的持续有有效性；24 采用先先进有效效的设施施和技术术，处理理、传递递、储存存和保护护各类信信息；25 对全体体员工进进行持续续的信息息安全教教育和培培训，不不断增强强员工信信息安全全意识和和能力；26 制定并并保持完完善的业业务连续续性计划划，实现现可持续续发展；27 对于本本基本方方针的适适用性、充分性性，将结结合实际际状况定定期评审审，必要要时予以以修订；28 公司根根据本信信息安全全管理体体系方针针制定各各种策

10、略略。88年1月南京擎天天科技有有限公司司总经理：1.目的的和范围围为了建立立、健全全本公司司信息安安全管理理体系，确定信信息安全全方针和和目标，对信息息安全风风险进行行有效管管理，确确保全体体员工理理解并遵遵照执行行信息安安全管理理体系文文件、持持续改进进管理体体系的有有效性，特制定定本手册册。1.1 本手册册按照IISO/IECC 2770011:20005信息安安全管理理体系要要求，并结合合我公司司管理的的实际情情况编写写，用于于在合同同条件下下向客户户和第三三方证明明我公司司的信息息安全管管理体系系能满足足规定的的标准。1.2信信息安全全管理体体系适用用范围本手册适适用于44.2.1条

11、款款确定范范围内的的信息安安全管理理活动。1)数据据处理活活动；2)本公公司范围围内的上上诉业务务流程包包括的部部门和员员工；3)与22)所述述活动相相关的应应用系统统及支持持性信息息管理系系统包含含的全部部信息资资产；4)公司司连接互互联网的的服务器器及相关关数据传传输的活活动。2.引用用标准ISO/IECC 1777999:20005 信息技技术安全技技术-信信息安全全管理实实施细则则ISO/IECC 2770011:20005信息安安全管理理体系要要求3.术语语和定义义本手册采采用ISSO/IIEC 270001:20005中的的术语和和定义。3.1要要求明示的、通常隐隐含的或或必须履履

12、行的需需求或期期望。3.2顾顾客满意意顾客对其其要求已已被满足足的程度度的感受受。3.3信信息安全全管理体体系在信息安安全方面面指挥和和控制组组织的管管理体系系。3.4方方针由组织的的最高管管理者正正式发布布的该组组织总的的安全宗宗旨和方方向。3.5目目标在安全管管理方面面,所追追求的目目的。3.6持持续改进进增强满足足要求的的能力的的循环活活动。3.7顾顾客接受产品品的组织织或个人人。3.8供供方提供产品品的组织织或个人人。3.9组组织职责、权权限和相相互关系系得到安安排的一一组人员员及设施施。3.100相关方方与组织的的业绩或或成就有有利益关关系的个个人或团团体。3.111过程一组将输输入

13、转化化为输出出的相互互关联或或相互作作用的活活动。3.122产品过程的结结果。3.133可追溯溯性追溯所考考虑对象象的历史史、应用用情况或或所处场场所的能能力。3.144预防措措施为消除潜潜在不合合格或其其他潜在在不期望望情况的的原因所所采取的的措施。3.155纠正措措施为消除已已发现的的不合格格或其他他不期望望情况的的原因所所采取的的措施。3.166手册规定组织织安全管管理体系系的文件件。3.177审核为获得审审核证据据并对其其进行客客观的评评价,以以确定满满足审核核准则的的程度所所进行的的系统的的、独立立的并形形成文件件的过程程。3.188评审为确定主主题事项项达到规规定目标标的适宜宜性、

14、充充分性和和有效性性所进行行的活动动。3.199记录阐明所取取得的结结果或提提供所完完成活动动的证据据的文件件。3.200规范阐明要求求的文件件。3.211 资产产对组织有有价值的的任何事事物。 ISSO/IIEC 133335-1:2200443.222 可用用性已授权实实体一旦旦需要就就可访问问和使用用的特性性。 ISOO/IEEC 1133335-11:200043.233保密性性使信息不不泄露给给未授权权的个人人、实体体、过程程或不使使信息为为其利用用的特性性。 ISOO/IEEC 1133335-11:200043.244 信息息安全保持信息息的保密密性、完完整性和和可用性性；另外外

15、，还可可能包括括真实性性、可核核查性、抗抵赖赖和可靠靠性。 ISSO/IIEC 177799：200053.255信息安安全事情情系统、服服务或网网络状态态已经确确认发生生显示可可能违背背信息安安全方针针或安全全故障，或可能能与安全全相关的的以前未未知的情情况 ISOO/IEEC TTR 1180444:2200443.266 信息息安全事事件单一或一一系列不不必要的的或不期期望的有有危及业业务运作作和威胁胁信息安安全的重重大可能能的信息息安全事事件 ISOO/IEEC TTR 1180444:2200443.277 信息息安全管管理体系系(ISSMS)组织整个个管理体体系的一一部分，以业务务

16、风险方方法为基基础，建建立、实实施、运运作、监监视、评评审、保保持并持持续改进进信息安安全。注：管理理体系包包括：组组织结构构、方针针、计划划活动、职责、规范、程序、过程和和资源。3.288 完整整性保护资产产准确性性和完备备性的特特性。 ISSO/IIEC 133335-1:2200443.299 剩余余风险经过风险险处理后后残留的的风险。 IISO/IECC 733指南:200023.300 风险险接受接受某一一风险的的决定。ISSO/IIEC 73指指南:2200223.311 风险险分析系统的使使用信息息，以识识别来源源并估计计风险。ISSO/IIEC 73指指南:2200223.32

17、2 风险险评估整个风险险分析和和风险评评价过程程。IISO/IECC 733指南:200023.333 风险险评价依据给定定的风险险准则比比较已估估计的风风险，以以确定风风险严重重程度的的过程。ISSO/IIEC 73指指南:2200223.344 风险险管理指导并控控制组织织有关风风险的协协调的活活动。ISOO/IEEC 773指南南:200023.355 风险险处理选择并实实施措施施以降低低风险的的过程。ISSO/IIEC 73指指南:2200223.366 适用用性声明明描述关于于并适用用于组织织的ISSMS的的控制目目标和控控制措施施的文件件。注：控制制目标和和控制措措施是建建立在风风

18、险评估估和处理理过程的的结果和和结论、法律法法规要求求、合同同义务和和组织的的信息安安全业务务要求的的基础上上。3.377 有关关缩写的的术语ISO-国际标标准化组组织IEC-国际电电工委员员会GB-国国家标准准ISMSS-信息息安全管管理体系系Sinoosofft-南京擎擎天科技技有限公公司4.信息息安全管管理体系系4.1 总要求求公司依据据ISOO/IEEC 2270001:220055标准的的要求，建立、实施、运行、监视、评审、保持和和改进信信息安全全管理体体系，形形成文件件;本公公司全体体员工将将有效地地贯彻执执行并持持续改进进有效性性，对过过程的应应用和管管理详见见信息息安全管管理体

19、系系过程模模式图（图11）。信息安全全管理体体系是在在公司整整体经营营活动和和经营风风险架构构下，针针对信息息安全风风险的管管理体系系；输入输出相关方信息安全的要求和期望相关方管理的信息安全建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMSPlanDoCheckAction图1信息息安全管管理体系系过程模模式图4.2 建立和和管理IISMSS4.2.1 建建立ISSMS公司应：a)根据据公司的的业务特特征、组组织结构构、地理理位置、资产和和技术定定义ISSMS范范围和边边界，包包括在范范围内任任何删减减的细节节和理由由（见标标准1.2）。本公司IISMSS的范围围和边界界包括：

20、1) 数数据处理理活动；2) 本本公司范范围内的的上诉业业务流程程包括的的部门和和员工；3) 与与2)所所述活动动相关的的应用系系统及支支持性信信息管理理系统包包含的全全部信息息资产；4 )公公司连接接互联网网的服务务器及相相关数据据传输的的活动。b)根据据公司的的业务特特征、组组织结构构、地理理位置、资产和和技术定定义ISSMS方方针，必必须满足足以下要要求：1)为IISMSS目标建建立一个个框架并并为信息息安全活活动建立立整体的的方向和和原则；2)考虑虑业务及及法律或或法规的的要求，以及合合同的安安全义务务；3)与公公司战略略和风险险管理相相一致的的环境下下，建立立和保持持ISMMS；4)

21、建立立风险评评价的准准则；5)总经经理批准准发布IISMSS方针。c) 定定义公司司风险评评估方法法。质量与项项目管理理中心负负责建立立信息息安全风风险评估估管理程程序并并组织实实施。信息安安全风险险评估管管理程序序包括括可接受受风险准准则和可可接受水水平。1) 识识别适用用于ISSMS和和已经识识别的业业务信息息安全、法律和和法规要要求的风风险评估估方法。2) 建建立接受受风险的的准则并并识别风风险的可可接受等等级 。选择的风风险评估估方法应应确保风风险评估估能产生生可比较较的和可可重复的的结果。注：风险险评估具具有不同同的方法法。具体体参照IISO/IECC TRR 1333355-3，信

22、息息技术ITT安全管管理指南南ITT安全管管理技术术。3) 公公司的风风险评估估的流程程信息资产产识别重要要信息资资产（通通过资产产评估标标准）信息息资产的的威胁识识别和评评价薄弱点点识别和和评价（对应威威胁）确认认已经采采取的安安全控制制措施确定风风险等级级（风险险等级标标准）d) 识识别风险险：1) 识识别ISSMS控控制范围围内的资资产以及及这些资资产的所所有者；在已确确定的IISMSS范围内内，对所所有的信信息资产产进行列列表识别别。信息息资产包包括文档档/数据据、软件件/系统统、硬件件/设施施、人力力资源、服务、无形资资产等。对每一一项信息息资产，根据重重要信息息资产判判断依据据确定

23、是是否为重重要信息息资产，形成信息资资产识别别表。2) 识识别对这这些资产产的威胁胁，一项项资产可可能面对对若干个个威胁；3) 识识别可能能被威胁胁利用的的脆弱性性，一项项脆弱性性也可能能面对若若干个威威胁；4) 识识别保密密性、完完整性和和可用性性损失可可能对资资产造成成的影响响。解释： “所有者者”代表已已被授权权的个人人或实体体，对资资产的生生产、开开发、维维护、使使用、安安全负有有管理责责任。“所有者者”不代表表个人对对资产具具有真正正的财产产权。e) 分分析并评评价风险险：1) 在在资产识识别的基基础上，针对每每一项重重要信息息资产，依据风险评评估原则则中的的信息资资产CIIAB分分

24、级标准准，进行行CIAAB的资资产赋值值计算；2) 针针对每一一项重要要信息资资产，参参考风风险评估估原则中的威胁参参考表及以往往的安全全事故（事件）记录、信息资资产所处处的环境境等因素素，识别别出重要要信息资资产所面面临的所所有威胁胁；3)按照照风险险评估原原则中中的威威胁分级级标准对每一一个威胁胁发生的的可能性性进行赋赋值；4)针对对每一项项威胁，考虑现现有的控控制措施施，参考考风险险评估原原则中中的脆脆弱性参参考表识别出出被该威威胁可能能利用的的所有薄薄弱点，并根据据风险险评估原原则中中的脆脆弱性分分级标准准对每每一个脆脆弱性被被威胁利利用的难难易程度度进行赋赋值；5)按照照风险评评估模

25、型型结合威威胁和脆脆弱性赋赋值对风风险发生生可能性性进行评评价。6)按照照风险评评估模型型结合资资产和脆脆弱性赋赋值对风风险发生生的损失失进行评评价。7) 按按照风险险评估模模型对风风险发生生可能性性和风险险发生的的损失进进行计算算得出风风险评估估赋值，并按照照风险险评估原原则中中的风风险等级级标准评价出出信息安安全风险险等级。8)对于于信息安安全风险险，在考考虑控制制措施与与费用平平衡的原原则下制制定的信信息安全全风险接接受准则则，按照照该准则则确定何何种等级级的风险险为不可可接受风风险。f) 识识别并评评价风险险处理的的选择：对于信息息安全风风险，应应考虑控控制措施施与费用用的平衡衡原则，

26、选用以以下适当当的措施施：1) 应应用适当当的控制制以降低低风险：这可能能是降低低事件发发生的可可能性，也可能能是降低低安全失失败(保保密性、完整性性或可用用性丢失失)的业业务损害害。2) 如如果能证证明风险险满足公公司的方方针和风风险接受受准则，有意的的、客观观的接受受风险；一般针针对那些些不可避避免的风风险，而而且技术术上、资资源上不不可能采采取对策策来降低低，或者者降低对对公司来来说不经经济。 “接受风风险”是针对对判断为为不可接接受的风风险所采采取的处处理方法法，而不不是针对对那些低低于风险险接受水水平的本本来就可可接受的的风险。3) 避避免风险险；对于于不是公公司的核核心工作作内容的

27、的活动，公司可可以采取取避免某某项活动动或者避避免采用用某项不不成熟的的产品技技术等来来回避可可能产生生的风险险。4) 将将有关的的业务风风险转移移到其他他方，例例如保险险公司、供方。信息安全全委员会会应组织织有关部部门根据据风险评评估的结结果，形形成风风险处理理计划，该计计划应明明确风险险处理责责任部门门、方法法及时间间。g) 为为风险的的处理选选择控制制目标与与控制措措施。应选择并并实施控控制目标标和控制制措施，以满足足风险评评估和风风险处理理过程所所识别的的要求。选择时时，应考考虑接受受风险的的准则以以及法律律法规和和合同要要求。信息安全全委员会会根据信信息安全全方针、业务发发展要求求及

28、风险险评估的的结果，组织有有关部门门制定信信息安全全目标，并将目目标分解解到有关关部门。信息安安全目标标应获得得信息安安全最高高责任者者的批准准。从附录AA中选择择的控制制目标和和控制措措施应作作为这一一过程的的一部分分，并满满足上述述要求。公司也也可根据据需要选选择另外外的控制制目标和和控制措措施。注：附录录A包含含了组织织内一般般要用到到的全面面的控制制目标和和控制措措施的列列表。本本标准用用户可将将附录AA作为选选择控制制措施的的出发点点，以确确保不会会遗漏重重要的控控制可选选措施。h) 获获得最高高管理者者对建议议的剩余余风险的的批准，剩余风风险接受受批准应应该在风险评评估表上留下下记

29、录。i) 获获得管理理者对实实施和运运行ISSMS的的授权。ISMMS管理理者代表表的任命命和授权权、ISSMS文文档的签签署可以以作为实实施和运运作ISSMS的的授权证证据。j) 准准备适用用性声明明，内容容应包括括：1)所选选择的控控制目标标和控制制措施，以及选选择的原原因；2) 当当前实施施的控制制目标和和控制措措施；3) 附附录A中中控制目目标和控控制措施施的删减减，以及及删减的的理由。4)质量量与项目目管理中中心负责责组织编编制信信息安全全适用性性声明。注：适用用性声明明提供了了一个风风险处理理决策的的总结。通过判判断删减减的理由由，再次次确认控控制目标标没有被被无意识识的遗漏漏。4

30、.2.2 实实施并运运作ISSMS为确保IISMSS有效实实施，对对已识别别的风险险进行有有效处理理，本公公司开展展以下活活动：a) 制制定风险险处理计计划阐明明为控制制信息安安全风险险确定的的适当的的管理活活动、职职责以及及优先权权。b) 为为了达到到所确定定的控制制目标，实施风风险处理理计划，包括考考虑资金金以及角角色和职职责的分分配，明明确各岗岗位的信信息安全全职责；c) 实实施所选选的控制制措施，以满足足控制目目标。d) 确确定如何何测量所所选择的的一个/组控制制措施的的有效性性，并规规定这些些测量措措施如何何用于评评估控制制的有效效性以得得出可比比较的、可重复复的结果果。注：测量量控

31、制措措施的有有效性允允许管理理者和相相关人员员来确定定这些控控制措施施实现策策划的控控制目标标的程度度。e) 实实施培训训和意识识计划。f) 对对ISMMS的运运作进行行管理。g) 对对ISMMS的资资源进行行管理。h) 实实施能够够快速检检测安全全事情、响应安安全事件件的程序序和其它它控制。4.2.3 监监控并评评审ISSMSa) 本本公司通通过实施施不定期期安全检检查、内内部审核核、事故故报告调调查处理理、电子子监控、定期技技术检查查等控制制措施并并报告结结果以实实现：1）快速速检测处处理结果果中的错错误；2）快速速识别失失败的和和成功的的安全破破坏和事事件；3）能使使管理者者确认人人工或

32、自自动执行行的安全全活动达达到预期期的结果果；4) 帮帮助检测测安全事事情，并并利用指指标预防防安全事事件；5）确定定解决安安全破坏坏所采取取的措施施是否有有效。b) 定定期评审审ISMMS的有有效性（包括安安全方针针和目标标的符合合性，对对安全控控制措施施的评审审），考考虑安全全审核、事件、有效性性测量的的结果，以及所所有相关关方的建建议和反反馈。c) 测测量控制制措施的的有效性性，以证证实安全全要求已已得到满满足。d) 按按照计划划的时间间间隔，评审风风险评估估，评审审剩余风风险以及及可接受受风险的的等级，考虑到到下列变变化：1) 组组织机构构和职责责；2) 技技术；3) 业业务目标标和过

33、程程；4) 已已识别的的威胁；5) 实实施控制制的有效效性； 6) 外外部事件件，例如如法律或或规章环环境的变变化、合合同责任任的变化化以及社社会环境境的变化化。e) 按按照计划划的时间间间隔（不超过过一年）进行IISMSS内部审审核。注：内部部审核，也称为为第一方方审核，是为了了内部的的目的，由公司司或以公公司的名名义进行行的审核核。f) 定定期对IISMSS进行管管理评审审，以确确保范围围的充分分性，并并识别IISMSS过程的的改进。g) 考考虑监视视和评审审活动的的发现，更新安安全计划划。h) 记记录可能能对ISSMS有有效性或或业绩有有影响的的活动和和事情。4.2.4 保保持并持持续改

34、进进ISMMS本公司开开展以下下活动，以确保保ISMMS的持持续改进进：a) 实实施已识识别的IISMSS改进措措施。 b) 采采取适当当的纠正正和预防防措施。吸取从从其他公公司的安安全经验验以及组组织自身身安全实实践中得得到的教教训。c) 与与所有相相关方沟沟通措施施和改进进。沟通通的详细细程度应应与环境境相适宜宜，必要要时，应应约定如如何进行行。d) 确确保改进进达到其其预期的的目标。4.3 文件要要求4.3.1 总总则本公司信信息安全全管理体体系文件件包括：A:信息息安全管管理手册册(包括括文件化化的方针针、控制制目标、管理体体系的范范围及信息安安全适应应性声明明、信息息安全策策略)；B

35、:程序序文件；C:作业业指导书书；D:风险险评估方方法的描描述.，风险评评估报告告及风险险处理计计划； E:外来来文件；F:表单单。4.3.2 信信息安全全管理手手册A:编写写目的：向公司司内部或或外部提提供关于于信息安安全管理理体系的的基本信信息，用用于对公公司的信信息安全全管理体体系做纲纲领性和和概括性性的描述述。B:信息息安全管管理手册册的编写写：由管管理者代代表负责责组织编编写，总总经理批批准后发发布实施施。C:信息息安全管管理手册册的管理理：质量量与项目目管理中中心负责责保管及及发放管管理。D:信息息安全管管理手册册的发放放：手册册分“受控”和 “非受控控”两种。受控手手册在封封面上

36、加加盖红色色“受控文文件”章，仅仅限于公公司内部部使用，当修订订或换版版时进行行相应控控制，且且人员调调离时应应予归还还；非受受控手册册不盖任任何印章章，发放放对象为为认证机机构、客客户等，在修订订和换版版时不予予控制。4.3.3 文文件和资资料管理理公司建立立文件件管理程程序，规定以以下方面面的控制制要求：A:文件件在发放放前应按按规定的的审核和和批准权权限进行行批准后后才能发发布；B:必要要时对文文件进行行评审与与更新，并按规规定的权权限重新新批准；C:由质质量与项项目管理理中心对文文件的现现行修订订状态进进行标识识，文件件更改由由相应更更改部门门进行标标识，确确保文件件的更改改状态清清晰

37、明了了；D: 质质量与项项目管理理中心应确确保所有有使用文文件的场场所能够够获得有有关文件件的有效效版本；E:各部部门应爱爱护文件件，确保保文件清清晰，易易于辨识识；F:各部部门获得得外来文文件应统统一交相相关部门门保存，进行标标识并控控制发放放；G: 质质量与项项目管理理中心应控控制作废废文件的的使用，若各部部门有必必要保存存作废文文件时，应向质质量与项项目管理理中心报告告并由质质量与项项目管理理中心加盖盖“作废”章。4.3.4 记记录控制制公司建立立记录录管理程程序，规定公公司有关关记录的的标识、贮存、保护、检索、保存期期限和过过期的处处理方法法等，以以提供产产品符合合要求和和信息安安全管

38、理理体系有有效运行行的客观观证据。ISMMS记录录应该考考虑任何何相关的的法律和和法规要要求以及及合同责责任，记记录中应应该包含含所有过过程的业业绩，以以及发生生的、与与ISMMS相关关的重大大安全事事件。4.3.5 相相关文件件文件控控制程序序记录控控制程序序5.管理理职责5.1 管理者者承诺：公司总经经理的承承诺是：建立和和实施信信息安全全管理体体系，持持续改善善其有效效性，确确保提交交给客户户满意的的产品和和服务，并通过过开展以以下活动动为以上上承诺提提供证据据：5.1.1 向向公司内内部员工工传达满满足方针针目标、满足客客户需求求、符合合法律法法规和持持续改进进的重要要性；5.1.2

39、制制定信息息安全方方针；5.1.3 确确保信息息安全控控制目标标的制定定；5.1.4 进进行管理理评审；5.1.5规定定职责和和权限；5.1.6确保保内部审审核的实实施；5.1.7决定定信息安安全接受受风险的的准则和和风险的的可接受受等级；5.1.8 确确保为公公司管理理体系配配备必要要的资源源。公司的组组织机构构见附件件。5.1.9 职职责和权权限A:公司司总经理理确定组组织结构构图，明明确公司司的组织织机构形形式，并并确定各各部门的的职责和和权限，予以发发布实施施。(详详见信信息安全全委员会会组织结结构图)B:各部部门应了了解本部部门的职职责、权权限及相相互关系系，以便便更好地地开展工工作

40、，保保证体系系的有效效性，各各岗位具具体信息息安全职职责见岗位说说明书。C:各部部门职责责和权限限a)总经经理：任命管理理者代表表，明确确管理者者代表的的职责和和权限；确保在内内部传达达满足客客户和法法律法规规的重要要性；为信息安安全管理理体系配配备必要要的资源源；主持管理理评审；负责公司司信息安安全管理理和企业业管理的的计划、组织、协调、监督、控制和和考核工工作；遵守公司司信息安安全的相相关规定定以及本本岗位相相关的保保密要求求。b) 管管理代表表者：负责建立立、实施施、保持持和改进进信息安安全管理理体系，保证信信息安全全体系的的有效运运行；负责公司司信息安安全管理理手册的的审核，程序文文件

41、的批批准，组组织并领领导公司司内部IISMSS审核工工作； 负责向总总经理报报告信息息安全体体系运行行的业绩绩和任何何改进的的需求；负责就信信息安全全管理体体系有关关事宜的的对外联联络；遵守公司司信息安安全的相相关规定定以及本本岗位相相关的保保密要求求。C) 软软件研发发中心：软件研发发中心下下设6个部门门，其中中JAVVA技术术部、.NETT技术部部、税务务研发部部、通信信事业部部这4个部门门根据不不同业务务领域进进行软件件产品的的研制与与研发，其职责责是：需求调研研；负责与顾顾客沟通通与联系系；提供顾客客产品的的资料；软件产品品的开发发方案的的设计与与制作；进行软件件产品的的开发；项目实施

42、施的计划划编排与与控制；对开发完完成的产产品进行行及时的的业务培培训；技术支持持；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。综合维护护部的职职责是：市场信息息的搜集集；解决方案案的设计计与制作作；对开发完完成的产产品进行行及时的的业务培培训；售后服务务的技术术支持；外包服务务的提供供；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。测试部的的职责是是：软件产品品的测试试；测试资源源的管理理与维护护；数据分析析；负责工作作过程中中的信息息安

43、全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。d)系统统集成中中心：系统集成成中心下下设技术术支持中中心、工工程中心心和采购购中心，其中技技术支持持中心和和工程中中心的职职责是：需求调研研；解决方案案的设计计与制作作；项目实施施的计划划编排与与控制；检验规范范的制定定与管理理；外包服务务的提供供；技术支持持；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。采购中心心的职责责是：供方的选选择与评评估；采购产品品、不合合格品的的检验与与处理；负责工作作过程中中的信息息安全实

44、实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。e)业务务中心：业务中心心下设五五个部门门，其中中海外业业务部专专门从事事软件外外包业务务的开拓拓。该中中心的下下设部门门的职责责为：市场信息息的搜集集；负责同客客户进行行业务沟沟通工作作；提供顾客客产品的的资料；市场开拓拓；合约、定定单的审审查及变变更的处处理；负责根据据签订的的顾客要要求安排排生产；顾客报怨怨的受理理与回馈馈；顾客满意意度的调调查；顾客售后后服务的的受理；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。f)服

45、务务中心：市场信息息的搜集集；负责与顾顾客沟通通与联系系；提供顾客客产品的的资料；市场开拓拓；合约、定定单的审审查及变变更的处处理；顾客报怨怨的受理理与回馈馈；顾客满意意度的调调查；顾客售后后服务的的受理；技术支持持；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。g)行政政管理部部：行政管理理部下设设管理部部和网管管中心，其职责责为：负责公司司计算机机及网络络设备的的管理和和维护；负责了解解世界计计算机及及网络技技术的发发展趋势势，为公公司计算算机及网网络设备备的更新新和升级级提出建建议并予予以实施施；负责客户户大规

46、模模电子文文件的接接收和发发送；负责公司司网站的的管理、维护和和内容更更新；保障公司司IT方面面的信息息安全；负责公司司应用系系统软件件的管理理和维护护；负责公司司信息安安全内部部审核的的管理；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。h)人力力资源部部：负责人力力资源管管理工作作，确保保人员的的信息安安全；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。I)质量量与项目目管理中中心：项目实施施的监控控与管理理；合约、定定单的审审查及变变

47、更的处处理；监督并审审核质量量执行与与达成状状况；监督各部部门主管管落实质质量方针针，实现现质量目目标；质量异常常矫正措措施的监监督；不合格品品管理的的监督；顾客抱怨怨处理与与对策的的追踪；顾客满意意度调查查后的汇汇整分析析及改进进；质量体系系内部审审核的计计划编制制与执行行；数据分析析与改进进；公司所有有体系文文件、文文档资料料的管理理；负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。j)财务务部：实行日常常财务管管理和会会计核算算，编制制和执行行企业财财务计划划；控制企业业运作成成本，按按月进行行各类财财务分析析，

48、为管管理层提提供决策策依据；向有关管管理部门门上交各各类财务务报表，如实反反映企业业经营状状况；与各结算算银行进进行业务务沟通和和联系，向国家家税务部部门按时时缴纳各各项税金金。负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。k)分支支机构：伦敦办事事处主要要职责：负责公司司与海外外合作公公司的沟沟通；负责海外外市场的的拓展；负责海外外合作项项目的跟跟踪、监监控和协协调。负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。北京办事事处主要要职责：负

49、责公司司的重大大项目的的协调工工作。负责公司司对外分分支机构构选址和和建立。负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。苏州、无无锡、常常州办事事处主要要职责：开拓公司司税务产产品的市市场以及及售后服服务工作作；负责江苏苏省内各各个代理理的管理理；负责公司司产品在在其它地地区的销销售和维维护工作作。负责工作作过程中中的信息息安全实实施；本部门人人员必须须遵守公公司信息息安全的的相关规规定以及及本岗位位相关的的保密要要求。5.2 资源管管理公司应确确定并提提供确保保客户满满意，保保持信息息安全管管理体系系有效运运行并

50、持持续改进进所需的的资源，并对资资源进行行有效控控制和管管理。公司资源源包括：人力资资源、计计算机网网络系统统、工作作环境及及技术、信息等等。5.2.1资源源提供建立实施施运行监监控评审审和维护护信息安安全管理理体系；确保信息息安全程程序支持持业务要要求；识别和强强调法律律法规要要求和合合同安全全责任；正确的应应用所有有实施的的控制措措施维护护足够的的安全；通过管理理评审或或其他评评审活动动对资源源的充分分性进行行评审，并对评评审的结结果采取取适当措措施；f) 需需要时，改进信信息安全全管理体体系的有有效性。5.2.2培训训、意识识和能力力公司确定定从事与与信息安安全有关关的人员员所需的的能力

51、，采取以以下控制制确保这这些人员员能够胜胜任工作作：确定从事事影响信信息安全全管理体体系的人人员所必必要的能能力，通通过岗位说说明书的任职职要求来来确定，并在招招聘活动动中确认认相关信信息安全全的任职职要求； 对人员提提供培训训或其他他措施满满足这些些要求；评价采取取培训和和采取措措施的有有效性；建立并组组织实施施人力力资源管管理程序序，对对以上方方面进行行控制，并保存存与教育育、培训训、技能能、经验验及对员员工能力力评价的的记录。 应确保所所有相关关人员认认识到他他们信息息安全活活动的相相关性和和重要性性，以及及他们如如何为实实现信息息安全管管理体系系目标做做贡献。5.2.3 相相关文件件人

52、力资资源管理理程序信息安全全体系要要求与体体系文件件及部门门职能分分配表：ISO 270001条条文要求求责 任 部 门门总经理管理者代代表软件研发发中心系统集成成中心业务中心心服务中心心行政管理理部人力资源源部质量与项项目管理理中心财务部分支机构构4信息安全全管理体体系4.1总要求4.2建立并管管理ISSMS4.2.1建立ISSMS4.2.2实施和运运行ISSMS4.2.3监视和评评审ISSMS4.2.4保持和改改进ISSMS4.3文件要求求4.3.1总则4.3.2文件控制制4.3.3记录控制制5管理职责责5.1管理者承承诺5.2资源管理理5.2.1资源提供供5.2.2培训、意意识和能能力6

53、ISMSS内部审审核7ISMSS 管理理评审7.1 总则7.2 评审输入入7.3 评审输出出8ISMSS 改进进8.1持续改进进8.2纠正措施施8.3预防措施施附录A条条文要求求责 任 部 门门总经理管理者代代表软件研发发中心系统集成成中心业务中心心服务中心心行政管理理部人力资源源部质量与项项目管理理中心财务部分支机构构 A.5信息安全全策略A.5.1信息安全全方针 AA.6信息安全全组织A.6.1内部组织织A.6.2外部相关关方A.7资产管理理A.7.1资产责任任A.7.2信息分类类A.8人力资源源安全A.8.1聘用前A.8.2聘用期间间A.9物理和环环境安全全A.9.1安全区域域A.9.2

54、设备安全全A.100通信和运运作管理理A.100.1操作程序序和职责责A.100.2第三方服服务交付付管理A.100.3系统策划划与接收收A.100.4防范恶意意和可移移动代码码A.100.5备份A.100.6网络安全全管理A.100.7介质的处处理A.100.8信息交换换A.100.9电子商务务服务（只包括括A.110.99.3公公共信息息）A.100.100监控A.111访问控制制A.111.1访问控制制的业务务要求A.111.2用户访问问管理A.111.3用户责任任A.111.4网络访问问控制A.111.5操作系统统访问控控制A.111.6应用程序序及信息息访问控控制A.111.7移动计

55、算算和远程程工作A.122信息系统统获取开开发和维维护A.122.1信息系统统的安全全需求A.122.2应用程序序的正确确处理A.122.3加密控制制A.122.4系统文件件安全A.122.5开发和支支持过程程的安全全（不包包括A.12.5.55）A.122.6技术薄弱弱点管理理A.133信息安全全事件管管理A.133.1报告信息息安全事事情和薄薄弱点A.133.2信息安全全事件和和改进管管理A.144业务连续续性管理理A.144.1业务连续续性管理理中的信信息安全全事项A.155符合性A.155.1符合法律律要求A.155.2符合安全全方针和和标准，以及技技术符合合A.155.3信息系统统审

56、核相相关事宜宜*注：领领导职责责以“”表示；监督部部门以“”表表示；负负责部门门以“”表示示；相关关部门以以“”表示。6. IISMSS内部审审核A:公司司建立并并实施信息安安全内部部审核程程序，明确审审核的要要求，确确保公司司信息安安全管理理体系的的符合性性和有效效性，符符合已经经识别的的信息安安全要求求。B:公司司管理者者代表负负责督促促内部审审核的进进行，并并将审核核情况报报告总经经理。C:公司司按计划划的时间间间隔（不超过过一年）组织内内部审核核，审核核计划的的安排应应考虑区区域的重重要性及及以往的的执行情情况。D:应安安排具备备审核员员资格的的人员进进行审核核，审核核员不应应审核自自己部门门的工作作，以确确保审核核的公正正性和客客观性。E:受审审核区域域应采取取适当的的措施，以消除除发现的的不合格格现象。F:审核核员应对对所采取取措施的的情况进进行跟踪踪验证，确保不不合格的的结案。G:有关关审核的的所有记记录应由由管理部部进行保保存。H:相关关文件：信息息安全内内部审核核程序7. IISMSS 管理理评审7.1.1公司司建立并并实施信息安安全管理理评审程程序，规定每每年组织织公司各各部门主主管进行行管理评评审，评评审的目目的是：A:确保保公司建建立的信信息安全全管理体体系的充充分性、适宜性性和有效效性；B:发现现信息安安全管理理体系的的