【正文】 信息安全管理手冊變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1C創(chuàng)建，全頁。200915金浩海金浩海曹立斌200915*變化狀態(tài)：C——創(chuàng)建，A——增加，M——修改，D——刪除目 錄01信息安全管理手冊發(fā)布令 402信息安全方針批準(zhǔn)令 503任 命 書 704公司介紹 8 9 總則 9 9 9 9 9 術(shù)語 9 縮寫 9 9 總要求 9 建立和管理ISMS 10 文件要求 14 16 管理承諾 16 資源管理 16 相關(guān)文件 176. ISMS內(nèi)部審核 17 總則 17 內(nèi)審策劃 17 內(nèi)審實(shí)施 177. ISMS 管理評審 17 總則 17 評審輸入 17 評審輸出 188 ISMS改進(jìn) 18 18 糾正措施 189. 記錄 19　受控文件清單 20 信息安全組織機(jī)構(gòu)圖 25 信息安全職責(zé)說明 26 江蘇蘇州金商科技發(fā)展有限公司新點(diǎn)2008年12月組織機(jī)構(gòu)圖 3001信息安全管理手冊發(fā)布令本《信息安全管理手冊》(以下簡稱手冊) ISO/IEC 27001:2005《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實(shí)踐和公司組織機(jī)構(gòu)的設(shè)置而編寫的，體現(xiàn)了我們公司對信息安全的承諾及持續(xù)改進(jìn)的要求。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實(shí)際運(yùn)作情況，可作為向客戶及第三方組織提供信息安全保證和進(jìn)行信息安全管理體系審核的依據(jù)，全體員工必須嚴(yán)格遵照執(zhí)行?，F(xiàn)予以批準(zhǔn)，同意發(fā)布實(shí)施?？偨?jīng)理： 批準(zhǔn)日期：20091502信息安全方針批準(zhǔn)令信息安全管理體系方針：滿足客戶要求，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。：一、信息安全管理機(jī)制1．我們通過計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供軟件開發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)等服務(wù)，因此，信息資產(chǎn)的安全性對我們來說是非常重要的事情。為了保證各種信息資產(chǎn)的保密性、完整性、可用性，給客戶提供更加安心的服務(wù)，我們依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)，建立信息安全管理體系，全面保護(hù)公司的信息安全，并承諾如下：一、信息安全管理組織1. 總經(jīng)理對信息安全全面負(fù)責(zé)，批準(zhǔn)信息安全方針，確定安全要求，提供資源。2. 信息安全管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3. 在公司內(nèi)部建立息安全組織機(jī)構(gòu)：信息安全委員會及信息安全工作小組，負(fù)責(zé)信息安全管理體系的運(yùn)行。4. 與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。二、人員安全1. 信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時(shí)調(diào)整安全職責(zé)和權(quán)限。2. 對公司的相關(guān)方，如：軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、清潔等人員，也要明確安全要求和安全職責(zé)。 3. 定期對全體員工進(jìn)行信息安全相關(guān)教育和培訓(xùn)，包括：技能、職責(zé)等，以提高安全意識。4. 全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。三、識別法律、法規(guī)、合同中的安全1. 及時(shí)識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。四、風(fēng)險(xiǎn)評估1． 根據(jù)公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。2． 定期進(jìn)行風(fēng)險(xiǎn)評估，以識別公司風(fēng)險(xiǎn)的變化。公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評估。3． 應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。五、報(bào)告安全事件1． 公司建立報(bào)告安全事件的渠道和相應(yīng)部門。2． 全體員工有報(bào)告安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。3． 接受報(bào)告的相應(yīng)部門應(yīng)記錄所有報(bào)告，及時(shí)相應(yīng)處理，并向報(bào)告人員反饋處理結(jié)果。六、監(jiān)督檢查1． 定期對信息安全進(jìn)行定期或不定期的監(jiān)督檢查，包括：日常檢查、專項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等，2． 對信息安全方針及其他信息安全政策進(jìn)行定期評審（至少一年一次）或不定期評審七、業(yè)務(wù)持續(xù)性1． 公司根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計(jì)劃，減少信息系統(tǒng)的中斷發(fā)生的幾率，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時(shí)恢復(fù)。2． 定期對業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測試演練和更新。八、違反信息安全要求的懲罰1． 對違反安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。2009年1月 5 日　　　　　XXXX有限公司總經(jīng)理：　 03任 命 書為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命行政部經(jīng)理XXX為XXXXX有限公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限：1． 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險(xiǎn)評估，全面建立、實(shí)施和保持信息安全管理體系；2． 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3． 確保在整個(gè)組織內(nèi)提高信息安全風(fēng)險(xiǎn)的意識；4． 審核風(fēng)險(xiǎn)評估報(bào)告、風(fēng)險(xiǎn)處理計(jì)劃；5． 批準(zhǔn)發(fā)布程序文件；6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告；7． 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。本授權(quán)書自任命日起生效執(zhí)行。04公司介紹一、 公司簡介首批通過認(rèn)定的軟件企業(yè)、江蘇省高新技術(shù)企業(yè)；通過ISO9000質(zhì)量體系認(rèn)定，通過CMMI L3認(rèn)證評估；建筑智能化設(shè)計(jì)甲級、施工三級；江蘇省軟件和集成電路專項(xiàng)基金項(xiàng)目開發(fā)承擔(dān)者。公司自建自用的軟件園占地面積1公頃、建筑面積4300平方米，設(shè)施齊全，條件優(yōu)良。專業(yè)從事電子政務(wù)軟件、建筑行業(yè)軟件的開發(fā)，年純軟件銷售額超過2300萬元。，及其它的微軟系列開發(fā)工具。主要軟件產(chǎn)品有：政府版OA、網(wǎng)站大師、數(shù)據(jù)整合、報(bào)表統(tǒng)計(jì)、系列造價(jià)軟件等，其中套裝軟件累計(jì)銷售20000多套，同時(shí)為200多個(gè)政府部門完成了700多個(gè)定制項(xiàng)目，業(yè)績在業(yè)內(nèi)領(lǐng)先。經(jīng)過8年摸索，公司現(xiàn)已進(jìn)入快速擴(kuò)張期，已在江蘇各地及上海、安徽、山東、浙江設(shè)有數(shù)十個(gè)分支機(jī)構(gòu)或服務(wù)點(diǎn)，擬建立更多的銷售服務(wù)點(diǎn)。公司注冊資本1000萬元，員工總?cè)藬?shù)超過150人，本科學(xué)歷為主體，平均年齡27周歲。二、 股權(quán)結(jié)構(gòu)公司管理者公司骨干員工、三、 部門劃分董事會下的總經(jīng)理負(fù)責(zé)制。主要部門有：行政部：負(fù)責(zé)公司財(cái)務(wù)、人事、采購、資質(zhì)管理、后勤等工作。拓展部：技術(shù)研究，方案設(shè)計(jì)，售前支持。開發(fā)部：公司所有軟、硬件產(chǎn)品的開發(fā)。測試部：公司所有軟、硬件產(chǎn)品的測試。市場部：市場推廣，產(chǎn)品銷售。又分為各軟件事業(yè)部和地區(qū)辦事處。實(shí)施部：售后支持，硬件施工，軟件安裝、調(diào)試、培訓(xùn)和服務(wù)。四、 指導(dǎo)思想l 推廣和使用先進(jìn)技術(shù)l 為社會提供有益的服務(wù)和產(chǎn)品l 創(chuàng)造物質(zhì)財(cái)富l 培養(yǎng)一批中產(chǎn)階級五、 長期目標(biāo)l 建立良好的工作硬環(huán)境l 引導(dǎo)公司內(nèi)部和諧的人際關(guān)系l 提供優(yōu)厚的薪酬待遇l 為員工個(gè)人發(fā)展提供平臺l 建立長期健康、平穩(wěn)發(fā)展的機(jī)制六、 主要業(yè)務(wù)l 軟件開發(fā)：“一點(diǎn)智慧”長期從事工程造價(jià)行業(yè)的軟件研發(fā)，專業(yè)種類齊全。自99年開始，幾乎參與了江蘇省建設(shè)廳所有專業(yè)定額的編制工作，還參與了江蘇省水利廳、國家人防辦的定額編制工作。目前正版軟件套數(shù)已超1萬套，累計(jì)培訓(xùn)人數(shù)超過3萬人次，遍布江蘇全省各地，是最大的造價(jià)軟件開發(fā)商之一?！耙稽c(diǎn)智慧”定額計(jì)價(jià)系列包括：土建預(yù)決算、安裝預(yù)決算、修繕預(yù)決算、園林預(yù)決算、交通預(yù)決算、電力預(yù)決算；“一點(diǎn)智慧”清單計(jì)價(jià)系列包括：建筑與裝飾專業(yè)、安裝專業(yè)、市政專業(yè)；“一點(diǎn)智慧”行業(yè)造價(jià)應(yīng)用包括：水利投標(biāo)報(bào)價(jià)、水利概算、水利維修加固、農(nóng)業(yè)開發(fā)造價(jià)、人防造價(jià)；“一點(diǎn)智慧”其他建筑業(yè)軟件包括：計(jì)算機(jī)輔助評標(biāo)、投標(biāo)管理、