【正文】 據(jù) 風(fēng)險評 估的 結(jié) 果，建立 業(yè)務(wù) 持 續(xù) 性 計(jì) 劃， 減少 信息系 統(tǒng) 的中斷 發(fā)生的幾率 ，防止 關(guān)鍵業(yè)務(wù)過程受 嚴(yán) 重的信息系 統(tǒng) 故障或者災(zāi) 難 的影響，并確保能 夠 及 時 恢 復(fù) 。 2． 定期 對業(yè)務(wù) 持 續(xù) 性 計(jì) 劃 進(jìn) 行 測試 演練 和更新。 八 、 違 反信息安全要求的 懲罰 1． 對違 反安全方 針 、 職責(zé) 、程序和措施的人 員 ，按 規(guī) 定 進(jìn) 行 處 理 。 2020 年 1 月 5 日 XXXX 有限公司 總經(jīng)理： 03 任 命 書 為貫徹執(zhí)行信息安全管理體系，滿足 ISO/IEC 27001:2020《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命 行政部經(jīng)理 XXX為 XXXXX有限公司 信息安全管理者代表。 授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限： 1． 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險評估，全面建立、實(shí)施和保持信息安全管理體系； 2． 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作； 3． 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識； 4． 審核風(fēng)險評估報(bào)告、風(fēng)險處理 計(jì)劃； 5． 批準(zhǔn)發(fā)布程序文件； 6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告； 7． 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。 本授權(quán)書自任命日起生效執(zhí)行。 04 公司介紹 一、 公司 簡 介 首批通 過認(rèn) 定的 軟 件企 業(yè) 、 江 蘇 省高新技 術(shù) 企 業(yè) ；通 過 ISO9000質(zhì) 量體系 認(rèn) 定，通 過 CMMI L3認(rèn)證評估；建筑智能化 設(shè)計(jì) 甲 級 、施工三 級 ；江 蘇 省 軟 件和集成 電 路 專項(xiàng) 基金 項(xiàng) 目 開發(fā) 承擔(dān)者。公司 自建自用的軟 件園 占地面 積 1公 頃 、建筑面 積 4300平方米 ， 設(shè) 施 齊 全，條件 優(yōu) 良 。 專 業(yè) 從事 電 子政 務(wù)軟 件、建筑行 業(yè)軟 件的 開發(fā) ，年 純軟 件 銷 售 額 超 過 2300 萬元。 開發(fā) 平臺主要 采用微 軟 的 .NET 技 術(shù) ， 及其它的微 軟 系列 開發(fā) 工具 。主要 軟 件 產(chǎn) 品有： 政府版 OA、網(wǎng)站大 師 、數(shù)據(jù)整合、 報(bào)表 統(tǒng)計(jì) 、系列造價 軟 件等 ，其中套裝 軟 件累 計(jì)銷 售 20200多套，同 時為 200多個政府部 門 完成了 700多個定制 項(xiàng) 目， 業(yè)績 在 業(yè) 內(nèi) 領(lǐng) 先。 經(jīng)過 8年摸索， 公司 現(xiàn) 已 進(jìn) 入 快速 擴(kuò)張 期 ，已在 江 蘇 各地及上海、安徽、山 東 、浙江 設(shè) 有數(shù)十個分支機(jī)構(gòu)或服 務(wù) 點(diǎn)， 擬 建立更多的 銷 售服 務(wù) 點(diǎn)。公司注冊 資 本 1000 萬元， 員 工 總 人數(shù)超 過 150 人，本科學(xué) 歷為 主體，平均年 齡 27周 歲 。 二、 股 權(quán)結(jié) 構(gòu) 公司管理者 公司骨干 員 工 、 三、 部 門劃分 董事會下的 總經(jīng) 理 負(fù)責(zé) 制。 主要部 門 有： 行政部： 負(fù)責(zé) 公司 財(cái)務(wù) 、人事、采 購 、 資質(zhì) 管理、后勤等工作。 拓展部：技 術(shù) 研究，方案 設(shè)計(jì) ，售前支持。 開發(fā) 部：公司所有 軟 、硬件 產(chǎn) 品的 開發(fā) 。 測試 部：公司所有 軟 、硬件 產(chǎn) 品的 測試 。 市 場 部：市 場 推廣， 產(chǎn) 品 銷 售。又分 為 各 軟 件事 業(yè) 部和地區(qū) 辦 事 處 。 實(shí) 施部：售后支持，硬件施工， 軟 件安裝、 調(diào)試 、培 訓(xùn) 和服 務(wù) 。 四、 指 導(dǎo)思想 ? 推廣和使用先 進(jìn) 技 術(shù) ? 為 社會提供有益的服 務(wù) 和 產(chǎn) 品 ? 創(chuàng) 造物 質(zhì)財(cái) 富 ? 培 養(yǎng) 一批中 產(chǎn)階級 五、 長期目標(biāo) ? 建立良好的工作硬 環(huán) 境 ? 引 導(dǎo) 公司內(nèi)部和 諧 的人 際關(guān) 系 ? 提供 優(yōu) 厚的薪酬待遇 ? 為員 工個人 發(fā) 展提供平臺 ? 建立 長 期健康、平 穩(wěn)發(fā) 展的機(jī)制 六、 主要 業(yè)務(wù) ? 軟 件 開發(fā) ： “一點(diǎn)智慧” 長 期從事工程造價行 業(yè) 的 軟 件研 發(fā) ， 專業(yè)種類齊 全。自 99 年 開 始，幾乎參與了江 蘇 省建 設(shè)廳 所有 專業(yè) 定 額 的 編 制工作， 還 參與了江 蘇 省水利 廳 、國家人防 辦 的定 額編 制工作。目前 正版 軟件套數(shù)已超 1萬套，累 計(jì) 培 訓(xùn) 人數(shù) 超 過 3萬人次，遍布江 蘇 全省各地，是最大的造價 軟 件 開發(fā) 商之一。 “一點(diǎn)智慧”定 額計(jì) 價系 列包括：土建 預(yù) 決算、安裝 預(yù) 決算、修 繕預(yù) 決算、園林 預(yù) 決算、交通 預(yù) 決算、電 力 預(yù) 決算； “一點(diǎn)智慧 ”清 單計(jì) 價系列包括：建筑與裝 飾專業(yè) 、安裝 專業(yè) 、市政 專業(yè) ； “一點(diǎn)智慧”行 業(yè) 造價 應(yīng) 用包括：水利投 標(biāo)報(bào) 價、水利概算、水利 維 修加固、 農(nóng)業(yè)開發(fā) 造價、人防造價； “一點(diǎn)智慧”其他建筑 業(yè)軟 件包括： 計(jì) 算機(jī) 輔 助 評標(biāo) 、 投 標(biāo) 管理、 鋼 筋翻 樣 、 圖 形算工程量、施工 組織設(shè)計(jì) 、 標(biāo)書 制作、施工平面 設(shè)計(jì) ； 電 子政 務(wù)應(yīng) 用 軟 件： “一點(diǎn)智慧”致力于政府的信息化建 設(shè) ，推出了一系列基于 .NET 架構(gòu)的政 務(wù)應(yīng) 用軟 件，采用先 進(jìn) 的 瀏覽 器技 術(shù) ，部署靈活， 維護(hù) 方便。 已 經(jīng) 形 成一系列，包括，網(wǎng)上 辦 公 OA、網(wǎng)上 審批、 報(bào) 表 統(tǒng)計(jì) 、數(shù)據(jù)采集等 產(chǎn) 品。公司除了 擁 有自己的 軟 件 產(chǎn) 品 之外， 還針對 客 戶 的需要 開發(fā) 了 專門的 軟 件， 這 些 軟 件有： 暫 住人口管理系 統(tǒng) 、招 標(biāo)辦電 子 評標(biāo) 系 統(tǒng) 、江 蘇 省建 設(shè)廳 造價企 業(yè) 系 統(tǒng) 、建筑質(zhì) 量 監(jiān) 管系 統(tǒng) 等。 ? 建筑智能化 設(shè)計(jì) 和施工 主要工程在 張 家港本地，憑借 建筑 施工 和設(shè)計(jì)二級 資質(zhì) 。 七、 員工管理 科技以人 為 本，高素 質(zhì) 、年 輕 化的人才 隊(duì) 伍是企 業(yè)發(fā) 展的原 動 力，是“一點(diǎn)智慧” 驕 傲的 資 本。公司一百五十多名 員 工中，本科以上 畢業(yè) 生占 90%，其中不乏 碩 士 、留學(xué) 歸 國人 員 等中高 級 人才。公司 員 工平均年 齡 27歲 。 實(shí) 行 內(nèi)部集中培 訓(xùn) 和 導(dǎo)師 制 ； 員 工 根據(jù)工作性 質(zhì) ， 實(shí) 行 崗 位 級別 制 ；薪酬和 業(yè)績 、工 作量、效益掛 鉤 ；在公司內(nèi)部 實(shí) 行 末尾淘汰制。 八、 企 業(yè)文化 員 工 是公司最重要的 財(cái) 富，也是公司 賴 以存在、 發(fā) 展和壯大的最重要的 資 源。 公司 努力 為 全體 員 工提供 優(yōu) 厚的待遇、良好的工作 環(huán) 境，隨著公司的 發(fā) 展，使 員 工個人也得到 進(jìn)步 和 發(fā) 展。 競 爭 鼓勵先 進(jìn) 、淘汰落后，保持活力。 對 公司如此， 對 個人亦如此。 活 動 ： 體育比 賽 、培 訓(xùn) 、新春 聯(lián)歡 會、集體婚禮 九、 未來之路 在“一點(diǎn)智慧”人的眼里，未來充 滿 著機(jī)遇、挑 戰(zhàn) 和希望。 基 礎(chǔ) ： 創(chuàng) 新、 規(guī) 范、 軟 件： 規(guī) 范化、 規(guī) ?；?軟 件工廠 行 業(yè)軟 件 產(chǎn) 品 開發(fā) 國內(nèi)定制 軟 件 開發(fā) 國 外定制 軟 件 開發(fā) 弱 電 工程：特定行 業(yè) 內(nèi) 領(lǐng) 先 行 業(yè) 內(nèi)的 優(yōu) 秀解決方案 自有知 識產(chǎn)權(quán) 的 軟 硬件 一體化 產(chǎn) 品 信息安全管理手冊 總則 為 了建立、 實(shí) 施、運(yùn)行、 監(jiān)視 、 評審 、保持和改 進(jìn) 文件化的信息安全管理體系（ 簡 稱 ISMS），確定信息安全方針 和目 標(biāo) ， 對 信息安全 風(fēng)險進(jìn) 行有效管理，確保全體 員 工理解并遵照 執(zhí) 行信息安全管理體系文件、持 續(xù) 改 進(jìn) 信息安全管理體系的有效性，特制定本手冊。 本手冊適用于 ISO/IEC 27001:2020 a)條款確定范圍內(nèi)的信息安全管理活動。 1)業(yè)務(wù)范圍：軟件開發(fā) 業(yè) 務(wù)、 IT系統(tǒng)集成業(yè)務(wù)及相關(guān)支持部門的活動 2)物理范圍： 張家港市經(jīng)濟(jì)開發(fā)區(qū)（港城大道與長興路交匯處）新點(diǎn)軟件辦公大樓 ； 3)資產(chǎn)范圍：與 1)所述業(yè)務(wù)活動及 2）物理環(huán)境內(nèi)相關(guān)的軟件，硬件，人員及支持性服務(wù)等全部信息資產(chǎn)； 4)邏輯邊界：公司連接互聯(lián)網(wǎng)的服務(wù)器及相關(guān)數(shù)據(jù)傳輸?shù)幕顒樱? 5)ISO27001： 2020條款的適用性與公司最新版本的適用性聲明一致。 本信息安全管理手冊采用了 ISO/IEC27001:2020 標(biāo) 準(zhǔn)正文的全部內(nèi)容， 對 附 錄 A的 刪 減 見 《適用性聲明 SOA》。 下列文件中的條款通 過 本《 信息安全管理手冊》的引用而成 為 本《信息安全管理手冊》的條款。凡是注日期的引用文件，其隨后所有的修改 單 （不包括勘 誤 的內(nèi)容）或修改版均不適用于本《信息安全管理手冊》，然而， 信息安全小組 應(yīng) 研究是否可使用 這 些文件的最新版本。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊。 ISO/IEC 17799:2020 《信息技術(shù) — 安全技術(shù) 信息安全管理實(shí)施細(xì)則》 ISO/IEC 27001:2020《信息安全管理體系要求》 術(shù)語 ISO/IEC 27001:2020《信息技 術(shù) 安全技 術(shù) 信息安全管理體系要求》、 ISO/IEC 17799:2020《信息技 術(shù) 安全技術(shù) 信息安全管理 實(shí) 施 細(xì)則 》 規(guī) 定的 術(shù)語 和定 義 適用于本《信息安全管理手冊》。 縮寫 ISMS： Information Security Management Systems 信息安全管理體系； SOA: Statement of Applicability 適用性聲明； PDCA: Plan Do Check Action 計(jì) 劃、 實(shí) 施、 檢查 、改 進(jìn) 。 本手冊采用 ISO/IEC 27001:2020中的術(shù)語和定義。 總要求 公司依據(jù) ISO/IEC 27001:2020標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，對過程的應(yīng)用和管理詳見《信息安全管理體系過程模式圖》（圖 1）。 信息安全管理體系是在公司整體經(jīng)營活動和經(jīng)營風(fēng)險架構(gòu)下，針對信息安全風(fēng)險的管理體系； 圖 1信息安全管理體系過程模式圖 建立和管理 ISMS 建立 ISMS公司應(yīng)： a)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義 ISMS 范圍和邊界，包括在范圍內(nèi)任何刪減的細(xì)節(jié)和理由（見 ）。 b)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義 ISMS方針，必須滿足以下要求： 1) 為 ISMS目標(biāo)建立一個框架并為信息安全活動建立整體的方向和原則； 2) 考慮業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)； 3) 與公司戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持 ISMS； 4) 建立風(fēng)險評價的準(zhǔn)則； 5) 總經(jīng)理批準(zhǔn)發(fā)布 ISMS方針 。 c) 定義公司風(fēng)險評估方法。 行政部 負(fù)責(zé)建立《信息安全風(fēng)險評估管理程序》并組織實(shí)施?！缎畔踩L(fēng)險評估管理程序》包括可接受風(fēng)險