【正文】 不成熟的產(chǎn)品技術(shù)等來回避可能產(chǎn)生的風(fēng)險。 2) 如 果能證明風(fēng)險滿足公司的方針和風(fēng)險接受準(zhǔn)則，有意的、客觀的接受風(fēng)險；一般針對那些不可避免的風(fēng)險，而且技術(shù)上、資源上不可能采取對策來降低，或者降低對公司來說不經(jīng)濟(jì)。 8) 對于信息安全風(fēng)險，在考慮控制措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級的風(fēng)險為不可接受風(fēng)險。 6) 按照風(fēng)險評估模型結(jié)合資產(chǎn)和脆弱性賦值對風(fēng)險發(fā)生的損失進(jìn)行評價。 2) 識別對這些資產(chǎn)的威脅，一項(xiàng)資產(chǎn)可能面對若干個威脅； 3) 識別可能被威脅利用的脆弱性，一項(xiàng)脆弱性也可能面對若干個威脅； 4) 識別保密性、完整性和可用性損失可能對資產(chǎn)造成的影響。信息資產(chǎn)包括 業(yè)務(wù)過程 、 文檔 /數(shù)據(jù)、軟件 /系統(tǒng)、硬件 /設(shè)施、人力資源、服務(wù)、無形資產(chǎn)等。 信息安全風(fēng)險評估的流程見圖 。 3) 公司的風(fēng)險評估的流程 公司制定《信息安全風(fēng)險評估控制程序》，建立識別適用于信息安全管理體 系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級。 注：風(fēng)險評估具有不同的方法。 2) 建立接受風(fēng)險的準(zhǔn)則并識別風(fēng)險的可接受等級 。《信息安全風(fēng)險評估管理程序》包括可接受風(fēng)險準(zhǔn)則和可接受水平。 c) 定義公司風(fēng)險評估方法。 信息安全管理體系是在公司整體經(jīng)營活動和經(jīng)營風(fēng)險架構(gòu)下，針對信息安全風(fēng)險的管理體系； 圖 1信息安全管理體系過程模式圖 建立和管理 ISMS 建立 ISMS公司應(yīng)： a)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義 ISMS 范圍和邊界，包括在范圍內(nèi)任何刪減的細(xì)節(jié)和理由（見 ）。 本手冊采用 ISO/IEC 27001:2020中的術(shù)語和定義。 ISO/IEC 17799:2020 《信息技術(shù) — 安全技術(shù) 信息安全管理實(shí)施細(xì)則》 ISO/IEC 27001:2020《信息安全管理體系要求》 術(shù)語 ISO/IEC 27001:2020《信息技 術(shù) 安全技 術(shù) 信息安全管理體系要求》、 ISO/IEC 17799:2020《信息技 術(shù) 安全技術(shù) 信息安全管理 實(shí) 施 細(xì)則 》 規(guī) 定的 術(shù)語 和定 義 適用于本《信息安全管理手冊》。凡是注日期的引用文件，其隨后所有的修改 單 （不包括勘 誤 的內(nèi)容）或修改版均不適用于本《信息安全管理手冊》，然而， 信息安全小組 應(yīng) 研究是否可使用 這 些文件的最新版本。 本信息安全管理手冊采用了 ISO/IEC27001:2020 標(biāo) 準(zhǔn)正文的全部內(nèi)容， 對 附 錄 A的 刪 減 見 《適用性聲明 SOA》。 本手冊適用于 ISO/IEC 27001:2020 a)條款確定范圍內(nèi)的信息安全管理活動。 活 動 ： 體育比 賽 、培 訓(xùn) 、新春 聯(lián)歡 會、集體婚禮 九、 未來之路 在“一點(diǎn)智慧”人的眼里，未來充 滿 著機(jī)遇、挑 戰(zhàn) 和希望。 競 爭 鼓勵先 進(jìn) 、淘汰落后，保持活力。 八、 企 業(yè)文化 員 工 是公司最重要的 財(cái) 富，也是公司 賴 以存在、 發(fā) 展和壯大的最重要的 資 源。公司 員 工平均年 齡 27歲 。 七、 員工管理 科技以人 為 本，高素 質(zhì) 、年 輕 化的人才 隊(duì) 伍是企 業(yè)發(fā) 展的原 動 力，是“一點(diǎn)智慧” 驕 傲的 資 本。公司除了 擁 有自己的 軟 件 產(chǎn) 品 之外， 還針對 客 戶 的需要 開發(fā) 了 專門的 軟 件， 這 些 軟 件有： 暫 住人口管理系 統(tǒng) 、招 標(biāo)辦電 子 評標(biāo) 系 統(tǒng) 、江 蘇 省建 設(shè)廳 造價企 業(yè) 系 統(tǒng) 、建筑質(zhì) 量 監(jiān) 管系 統(tǒng) 等。 “一點(diǎn)智慧”定 額計(jì) 價系 列包括：土建 預(yù) 決算、安裝 預(yù) 決算、修 繕預(yù) 決算、園林 預(yù) 決算、交通 預(yù) 決算、電 力 預(yù) 決算； “一點(diǎn)智慧 ”清 單計(jì) 價系列包括：建筑與裝 飾專業(yè) 、安裝 專業(yè) 、市政 專業(yè) ； “一點(diǎn)智慧”行 業(yè) 造價 應(yīng) 用包括：水利投 標(biāo)報(bào) 價、水利概算、水利 維 修加固、 農(nóng)業(yè)開發(fā) 造價、人防造價； “一點(diǎn)智慧”其他建筑 業(yè)軟 件包括： 計(jì) 算機(jī) 輔 助 評標(biāo) 、 投 標(biāo) 管理、 鋼 筋翻 樣 、 圖 形算工程量、施工 組織設(shè)計(jì) 、 標(biāo)書 制作、施工平面 設(shè)計(jì) ； 電 子政 務(wù)應(yīng) 用 軟 件： “一點(diǎn)智慧”致力于政府的信息化建 設(shè) ，推出了一系列基于 .NET 架構(gòu)的政 務(wù)應(yīng) 用軟 件，采用先 進(jìn) 的 瀏覽 器技 術(shù) ，部署靈活， 維護(hù) 方便。自 99 年 開 始，幾乎參與了江 蘇 省建 設(shè)廳 所有 專業(yè) 定 額 的 編 制工作， 還 參與了江 蘇 省水利 廳 、國家人防 辦 的定 額編 制工作。 實(shí) 施部：售后支持，硬件施工， 軟 件安裝、 調(diào)試 、培 訓(xùn) 和服 務(wù) 。 市 場 部：市 場 推廣， 產(chǎn) 品 銷 售。 開發(fā) 部：公司所有 軟 、硬件 產(chǎn) 品的 開發(fā) 。 主要部 門 有： 行政部： 負(fù)責(zé) 公司 財(cái)務(wù) 、人事、采 購 、 資質(zhì) 管理、后勤等工作。公司注冊 資 本 1000 萬元， 員 工 總 人數(shù)超 過 150 人，本科學(xué) 歷為 主體，平均年 齡 27周 歲 。主要 軟 件 產(chǎn) 品有： 政府版 OA、網(wǎng)站大 師 、數(shù)據(jù)整合、 報(bào)表 統(tǒng)計(jì) 、系列造價 軟 件等 ，其中套裝 軟 件累 計(jì)銷 售 20200多套，同 時為 200多個政府部 門 完成了 700多個定制 項(xiàng) 目， 業(yè)績 在 業(yè) 內(nèi) 領(lǐng) 先。 專 業(yè) 從事 電 子政 務(wù)軟 件、建筑行 業(yè)軟 件的 開發(fā) ，年 純軟 件 銷 售 額 超 過 2300 萬元。 04 公司介紹 一、 公司 簡 介 首批通 過認(rèn) 定的 軟 件企 業(yè) 、 江 蘇 省高新技 術(shù) 企 業(yè) ；通 過 ISO9000質(zhì) 量體系 認(rèn) 定，通 過 CMMI L3認(rèn)證評估；建筑智能化 設(shè)計(jì) 甲 級 、施工三 級 ；江 蘇 省 軟 件和集成 電 路 專項(xiàng) 基金 項(xiàng) 目 開發(fā) 承擔(dān)者。 授權(quán)信息安全管理者代表有如下職責(zé)和權(quán)限： 1． 確保按照標(biāo)準(zhǔn)的要求，進(jìn)行資產(chǎn)識別和風(fēng)險評估，全面建立、實(shí)施和保持信息安全管理體系； 2． 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作； 3． 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識； 4． 審核風(fēng)險評估報(bào)告、風(fēng)險處理 計(jì)劃； 5． 批準(zhǔn)發(fā)布程序文件； 6． 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報(bào)告； 7． 向最高管理者報(bào)告信息安全管理體系的業(yè)績和改進(jìn)要求，包括信息安全管理體系運(yùn)行情況、內(nèi)外審核情況。 八 、 違 反信息安全要求的 懲罰 1． 對違 反安全方 針 、 職責(zé) 、程序和措施的人 員 ，按 規(guī) 定 進(jìn) 行 處 理 。 六 、 監(jiān) 督 檢查 1． 定期 對 信息安全 進(jìn) 行定期或不定期的 監(jiān) 督 檢查 ，包括：日常 檢查 、 專項(xiàng)檢查 、技 術(shù) 性 檢查 、內(nèi)部 審 核等 ， 2． 對信息安全方針及其他信息安全政策進(jìn)行定期評審（至少一年一次）或不定期評審 七 、 業(yè)務(wù) 持 續(xù) 性 1． 公司 根據(jù) 風(fēng)險評 估的 結(jié) 果，建立 業(yè)務(wù) 持 續(xù) 性 計(jì) 劃， 減少 信息系 統(tǒng) 的中斷 發(fā)生的幾率 ，防止 關(guān)鍵業(yè)務(wù)過程受 嚴(yán) 重的信息系 統(tǒng) 故障或者災(zāi) 難 的影響，并確保能 夠 及 時 恢 復(fù) 。 2． 全體員工有報(bào)告安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報(bào)告。 3． 應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。 2． 定期進(jìn)行風(fēng)險評估，以識別 公司 風(fēng)險的變化。 三 、 識別 法律、法 規(guī) 、合同中的安全 1. 及 時識別顧 客、合 作方、相 關(guān) 方、法律法 規(guī)對 信息安全的要求，采取措施，保 證滿 足安全要求。 3. 定期 對 全體 員 工 進(jìn) 行信 息安全相 關(guān) 教育和培 訓(xùn) ，包括：技能、 職責(zé) 等，以提高安全意 識 。 對崗 位 調(diào)動 或離 職 人 員 ， 應(yīng) 及 時調(diào) 整安全職責(zé) 和 權(quán) 限。 二 、人 員 安全 1. 信息安全需要全體 員 工的參與和支持，全體 員 工都有保 護(hù) 信息安全的 職責(zé) ，在 勞動 合同、 崗 位 職責(zé) 中 應(yīng) 包含 對 信息安全的要求。 3. 在 公司內(nèi) 部建立 息安全 組織 機(jī)構(gòu) ： 信息安全 委 員 會 及 信息安全 工作小組 ， 負(fù)責(zé) 信息安全管理體系的運(yùn)行。為了保證各種信息資產(chǎn)的保密性、完整性、可用性，給客戶提供更加安心的服 務(wù)，我們依據(jù) ISO/IEC 27001:2020 標(biāo)準(zhǔn)，建立信息安全管理體系， 全面保 護(hù) 公司 的信息安全 ， 并承諾如下 ： 一 、信息安全管理 組織 1. 總經(jīng)理 對 信息安全全面 負(fù)責(zé) ，批準(zhǔn)信息安全方 針 ，確定安全要求，提供 資 源。 總經(jīng)理： 批準(zhǔn)日期： 202015 02 信息安全方針批準(zhǔn)令 信息安全管理體系方針 ： 滿足客戶要求， 實(shí)施風(fēng)險管理，確保信息安全，實(shí)現(xiàn)持續(xù) 改進(jìn) 。本手冊貫穿了我們公司信息安全管理體系各條款的要求，符合我公司的實(shí)際運(yùn)作情況，可作為向客戶及第三 方組織提供信息安全保證和進(jìn)行信息安全管理體系審核的依據(jù)，全體員工必須嚴(yán)格遵照執(zhí)行。 信息安全管理手冊 變更履歷 序號 版 本 編 號或 更 改 記錄編號 變化 狀態(tài) * 簡要說明 (變更內(nèi)容、變更位置、變更原因和變更范圍 ) 變更日期 變更人 審核人 批準(zhǔn)人 批準(zhǔn)日期 1 C 創(chuàng)建，全頁。 202015 金浩海 金浩海 曹立斌 202015 *變化狀態(tài)： C—— 創(chuàng)建， A—— 增加， M—— 修改， D—— 刪除 目 錄 01信息安全管理手冊發(fā)布令 ........................................................ 4 02信息安全方針批準(zhǔn)令 ............................................................ 5 03任 命 書 .................................................................. 7 04公司介紹 .................................................................... 8 .................................................................. 11 總則 ................................................