【正文】 信息安全管理手冊變更履歷序號版本編號或更改記錄編號變化 狀態(tài) *簡要說明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準人批準日期1C創(chuàng)建，全頁。200915金浩海金浩海曹立斌200915*變化狀態(tài)：C——創(chuàng)建，A——增加，M——修改，D——刪除目 錄01信息安全管理手冊發(fā)布令 402信息安全方針批準令 503任 命 書 704公司介紹 8 9 總則 9 9 9 9 9 術(shù)語 9 縮寫 9 9 總要求 9 建立和管理ISMS 10 文件要求 14 16 管理承諾 16 資源管理 16 相關(guān)文件 176. ISMS內(nèi)部審核 17 總則 17 內(nèi)審策劃 17 內(nèi)審實施 177. ISMS 管理評審 17 總則 17 評審輸入 17 評審輸出 188 ISMS改進 18 18 糾正措施 189. 記錄 19　受控文件清單 20 信息安全組織機構(gòu)圖 25 信息安全職責說明 26 江蘇蘇州金商科技發(fā)展有限公司新點2008年12月組織機構(gòu)圖 3001信息安全管理手冊發(fā)布令本《信息安全管理手冊》(以下簡稱手冊) ISO/IEC 27001:2005《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實踐和公司組織機構(gòu)的設(shè)置而編寫的，體現(xiàn)了我們公司對信息安全的承諾及持續(xù)改進的要求。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實際運作情況，可作為向客戶及第三方組織提供信息安全保證和進行信息安全管理體系審核的依據(jù)，全體員工必須嚴格遵照執(zhí)行?，F(xiàn)予以批準，同意發(fā)布實施。總經(jīng)理： 批準日期：20091502信息安全方針批準令信息安全管理體系方針：滿足客戶要求，實施風險管理，確保信息安全，實現(xiàn)持續(xù)改進。：一、信息安全管理機制1．我們通過計算機及網(wǎng)絡(luò)設(shè)備提供軟件開發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)等服務(wù)，因此，信息資產(chǎn)的安全性對我們來說是非常重要的事情。為了保證各種信息資產(chǎn)的保密性、完整性、可用性，給客戶提供更加安心的服務(wù)，我們依據(jù)ISO/IEC 27001:2005標準，建立信息安全管理體系，全面保護公司的信息安全，并承諾如下：一、信息安全管理組織1. 總經(jīng)理對信息安全全面負責，批準信息安全方針，確定安全要求，提供資源。2. 信息安全管理者代表負責建立、實施、檢查、改進信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。3. 在公司內(nèi)部建立息安全組織機構(gòu)：信息安全委員會及信息安全工作小組，負責信息安全管理體系的運行。4. 與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。二、人員安全1. 信息安全需要全體員工的參與和支持，全體員工都有保護信息安全的職責，在勞動合同、崗位職責中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責和權(quán)限。2. 對公司的相關(guān)方，如：軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、清潔等人員，也要明確安全要求和安全職責。 3. 定期對全體員工進行信息安全相關(guān)教育和培訓，包括：技能、職責等，以提高安全意識。4. 全體員工及相關(guān)方人員必須履行安全職責，執(zhí)行安全方針、程序和安全措施。三、識別法律、法規(guī)、合同中的安全1. 及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。四、風險評估1． 根據(jù)公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。2． 定期進行風險評估，以識別公司風險的變化。公司或環(huán)境發(fā)生重大變化時，隨時評估。3． 應(yīng)根據(jù)風險評估的結(jié)果，采取相應(yīng)措施，降低風險。五、報告安全事件1． 公司建立報告安全事件的渠道和相應(yīng)部門。2． 全體員工有報告安全隱患、威脅、薄弱點、事故的責任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進行報告。3． 接受報告的相應(yīng)部門應(yīng)記錄所有報告，及時相應(yīng)處理，并向報告人員反饋處理結(jié)果。六、監(jiān)督檢查1． 定期對信息安全進行定期或不定期的監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等，2． 對信息安全方針及其他信息安全政策進行定期評審（至少一年一次）或不定期評審七、業(yè)務(wù)持續(xù)性1． 公司根據(jù)風險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，減少信息系統(tǒng)的中斷發(fā)生的幾率，防止關(guān)鍵業(yè)務(wù)過程受嚴重的信息系統(tǒng)故障或者災難的影響，并確保能夠及時恢復。2． 定期對業(yè)務(wù)持續(xù)性計劃進行測試演練和更新。八、違反信息安全要求的懲罰1． 對違反安全方針、職責、程序和措施的人員，按規(guī)定進行處理。2009年1月 5 日　　　　　XXXX有限公司總經(jīng)理：　 03任 命 書為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標準的要求，加強領(lǐng)導，特任命行政部經(jīng)理XXX為XXXXX有限公司信息安全管理者代表。授權(quán)信息安全管理者代表有如下職責和權(quán)限：1． 確保按照標準的要求，進行資產(chǎn)識別和風險評估，全面建立、實施和保持信息安全管理體系；2． 負責與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3． 確保在整個組織內(nèi)提高信息安全風險的意識；4． 審核風險評估報告、風險處理計劃；5． 批準發(fā)布程序文件；6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準內(nèi)審工作報告；7． 向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外審核情況。本授權(quán)書自任命日起生效執(zhí)行。04公司介紹一、 公司簡介首批通過認定的軟件企業(yè)、江蘇省高新技術(shù)企業(yè)；通過ISO9000質(zhì)量體系認定，通過CMMI L3認證評估；建筑智能化設(shè)計甲級、施工三級；江蘇省軟件和集成電路專項基金項目開發(fā)承擔者。公司自建自用的軟件園占地面積1公頃、建筑面積4300平方米，設(shè)施齊全，條件優(yōu)良。專業(yè)從事電子政務(wù)軟件、建筑行業(yè)軟件的開發(fā)，年純軟件銷售額超過2300萬元。，及其它的微軟系列開發(fā)工具。主要軟件產(chǎn)品有：政府版OA、網(wǎng)站大師、數(shù)據(jù)整合、報表統(tǒng)計、系列造價軟件等，其中套裝軟件累計銷售20000多套，同時為200多個政府部門完成了700多個定制項目，業(yè)績在業(yè)內(nèi)領(lǐng)先。經(jīng)過8年摸索，公司現(xiàn)已進入快速擴張期，已在江蘇各地及上海、安徽、山東、浙江設(shè)有數(shù)十個分支機構(gòu)或服務(wù)點，擬建立更多的銷售服務(wù)點。公司注冊資本1000萬元，員工總?cè)藬?shù)超過150人，本科學歷為主體，平均年齡27周歲。二、 股權(quán)結(jié)構(gòu)公司管理者公司骨干員工、三、 部門劃分董事會下的總經(jīng)理負責制。主要部門有：行政部：負責公司財務(wù)、人事、采購、資質(zhì)管理、后勤等工作。拓展部：技術(shù)研究，方案設(shè)計，售前支持。開發(fā)部：公司所有軟、硬件產(chǎn)品的開發(fā)。測試部：公司所有軟、硬件產(chǎn)品的測試。市場部：市場推廣，產(chǎn)品銷售。又分為各軟件事業(yè)部和地區(qū)辦事處。實施部：售后支持，硬件施工，軟件安裝、調(diào)試、培訓和服務(wù)。四、 指導思想l 推廣和使用先進技術(shù)l 為社會提供有益的服務(wù)和產(chǎn)品l 創(chuàng)造物質(zhì)財富l 培養(yǎng)一批中產(chǎn)階級五、 長期目標l 建立良好的工作硬環(huán)境l 引導公司內(nèi)部和諧的人際關(guān)系l 提供優(yōu)厚的薪酬待遇l 為員工個人發(fā)展提供平臺l 建立長期健康、平穩(wěn)發(fā)展的機制六、 主要業(yè)務(wù)l 軟件開發(fā)：“一點智慧”長期從事工程造價行業(yè)的軟件研發(fā)，專業(yè)種類齊全。自99年開始，幾乎參與了江蘇省建設(shè)廳所有專業(yè)定額的編制工作，還參與了江蘇省水利廳、國家人防辦的定額編制工作。目前正版軟件套數(shù)已超1萬套，累計培訓人數(shù)超過3萬人次，遍布江蘇全省各地，是最大的造價軟件開發(fā)商之一?！耙稽c智慧”定額計價系列包括：土建預決算、安裝預決算、修繕預決算、園林預決算、交通預決算、電力預決算；“一點智慧”清單計價系列包括：建筑與裝飾專業(yè)、安裝專業(yè)、市政專業(yè)；“一點智慧”行業(yè)造價應(yīng)用包括：水利投標報價、水利概算、水利維修加固、農(nóng)業(yè)開發(fā)造價、人防造價；“一點智慧”其他建筑業(yè)軟件包括：計算機輔助評標、投標管理、