【正文】 .................... 11 范圍 ..................................................................... 11 刪減說明 .................................................................. 11 ................................................................... 11 .................................................................. 11 術語 ..................................................................... 11 縮寫 ..................................................................... 11 ............................................................. 11 總要求 ................................................................... 11 建立和管理 ISMS ............................................................ 12 文件要求 .................................................................. 16 ................................................................... 17 管理承諾 .................................................................. 17 資源管理 .................................................................. 18 相關文件 ................................................................ 18 6. ISMS 內(nèi)部審核 ............................................................... 18 總則 .................................................................... 18 內(nèi)審策劃 ................................................................. 18 內(nèi)審實施 ................................................................. 19 7. ISMS 管理評審 .............................................................. 19 總則 ..................................................................... 19 評審輸入 .................................................................. 19 評審輸出 .................................................................. 19 8 ISMS 改進 ................................................................... 20 持續(xù)改進 .................................................................. 20 糾正措施 .................................................................. 20 9. 記錄 ...................................................................... 21 表 受控文件清單 ........................................................... 22 表 信息安全組織機構圖 ...................................................... 27 表 信息安全職責說明 ........................................................ 28 表 江蘇蘇州金商科技發(fā)展有限公司 新點 2020 年 12 月組織機構圖 ......................... 31 01 信息安全管理手冊發(fā)布令 本《信息安全管理手冊》 (以下簡稱手冊 )第 ISO/IEC 27001:2020《信息安全管理體系要求》，并結合我們公司管理工作的實踐和公司組織機構的設置而編寫的，體現(xiàn)了我們公司對信息安全的承諾及持續(xù)改進的要求。 現(xiàn)予以批準，同意發(fā)布實施。 ： 一、信息安全管理機制 1． 我們通過計算機及網(wǎng)絡設備提供 軟件開發(fā) 業(yè) 務、 IT 系統(tǒng)集成業(yè)務 等 服務， 因此，信息資產(chǎn)的安全性對我們來說是非常重要的事情。 2. 信息安全管理者代表 負責 建立、 實 施、 檢查 、改 進 信息安全管理體系，保 證 信息安全管理體系的持 續(xù) 適宜性和有效性。 4. 與上 級 部 門 、地方政府、相 關專業(yè) 部 門 建立定期 經(jīng) 常性的 聯(lián) 系，了解安全要求和 發(fā) 展 動態(tài) ， 獲 得 對 信息安全管理的支持。特殊 崗 位的人 員應規(guī) 定特 別 的安全 責 任。 2. 對 公司 的相 關 方，如： 軟 硬件供 應 商、服 務 商、保 衛(wèi) 、消防、清 潔 等人 員 ，也要明確安全要求和安全 職責 。 4. 全體 員 工及相 關 方人 員 必 須 履行安全 職責 ， 執(zhí) 行安全方 針 、程序和安全措施。 四 、 風險評 估 1． 根據(jù) 公司 業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。 公司 或環(huán)境發(fā)生重大變化時，隨時評估。 五 、 報 告安全事 件 1． 公司 建立報告安全事件的渠道和相應部門。 3． 接受報告的相應部門應記錄所有報告，及時相應處理，并向報告人員反饋 處理結果。 2． 定期 對業(yè)務 持 續(xù) 性 計 劃 進 行 測試 演練 和更新。 2020 年 1 月 5 日 XXXX 有限公司 總經(jīng)理： 03 任 命 書 為貫徹執(zhí)行信息安全管理體系，滿足 ISO/IEC 27001:2020《信息技術 安全技術 信息安全管理體系要求》標準的要求，加強領導，特任命 行政部經(jīng)理 XXX為 XXXXX有限公司 信息安全管理者代表。 本授權書自任命日起生效執(zhí)行。公司 自建自用的軟 件園 占地面 積 1公 頃 、建筑面 積 4300平方米 ， 設 施 齊 全，條件 優(yōu) 良 。 開發(fā) 平臺主要 采用微 軟 的 .NET 技 術 ， 及其它的微 軟 系列 開發(fā) 工具 。 經(jīng)過 8年摸索， 公司 現(xiàn) 已 進 入 快速 擴張 期 ，已在 江 蘇 各地及上海、安徽、山 東 、浙江 設 有數(shù)十個分支機構或服 務 點， 擬 建立更多的 銷 售服 務 點。 二、 股 權結 構 公司管理者 公司骨干 員 工 、 三、 部 門劃分 董事會下的 總經(jīng) 理 負責 制。 拓展部：技 術 研究，方案 設計 ，售前支持。 測試 部：公司所有 軟 、硬件 產(chǎn) 品的 測試 。又分 為 各 軟 件事 業(yè) 部和地區(qū) 辦 事 處 。 四、 指 導思想 ? 推廣和使用先 進 技 術 ? 為 社會提供有益的服 務 和 產(chǎn) 品 ? 創(chuàng) 造物 質(zhì)財 富 ? 培 養(yǎng) 一批中 產(chǎn)階級 五、 長期目標 ? 建立良好的工作硬 環(huán) 境 ? 引 導 公司內(nèi)部和 諧 的人 際關 系 ? 提供 優(yōu) 厚的薪酬待遇 ? 為員 工個人 發(fā) 展提供平臺 ? 建立 長 期健康、平 穩(wěn)發(fā) 展的機制 六、 主要 業(yè)務 ? 軟 件 開發(fā) ： “一點智慧” 長 期從事工程造價行 業(yè) 的 軟 件研 發(fā) ， 專業(yè)種類齊 全。目前 正版 軟件套數(shù)已超 1萬套，累 計 培 訓 人數(shù) 超 過 3萬人次，遍布江 蘇 全省各地，是最大的造價 軟 件 開發(fā) 商之一。 已 經(jīng) 形 成一系列，包括，網(wǎng)上 辦 公 OA、網(wǎng)上 審批、 報 表 統(tǒng)計 、數(shù)據(jù)采集等 產(chǎn) 品。 ? 建筑智能化 設計 和施工 主要工程在 張 家港本地，憑借 建筑 施工 和設計二級 資質(zhì) 。公司一百五十多名 員 工中，本科以上 畢業(yè) 生占 90%，其中不乏 碩 士 、留學 歸 國人 員 等中高 級 人才。 實 行 內(nèi)部集中培 訓 和 導師 制 ； 員 工 根據(jù)工作性 質(zhì) ， 實 行 崗 位 級別 制 ；薪酬和 業(yè)績 、工 作量、效益掛 鉤 ；在公司內(nèi)部 實 行 末尾淘汰制。 公司 努力 為 全體 員 工提供 優(yōu) 厚的待遇、良好的工作 環(huán) 境，隨著公司的 發(fā) 展，使 員 工個人也得到 進步 和 發(fā) 展。 對 公司如此， 對 個人亦如此。 基 礎 ： 創(chuàng) 新、 規(guī) 范、 軟 件： 規(guī) 范化、 規(guī) ?；?軟 件工廠 行 業(yè)軟 件 產(chǎn) 品 開發(fā) 國內(nèi)定制 軟 件 開發(fā) 國 外定制 軟 件 開發(fā) 弱 電 工程：特定行 業(yè) 內(nèi) 領 先 行 業(yè) 內(nèi)的 優(yōu) 秀解決方案 自有知 識產(chǎn)權 的 軟 硬件 一體化 產(chǎn) 品 信息安全管理手冊 總則 為 了建立、 實 施、運行、 監(jiān)視 、 評審 、保持和改 進 文件化的信息安全管理體系（ 簡 稱 ISMS），確定信息安全方針 和目 標 ， 對 信息安全 風險進 行有效管理，確保全體 員 工理解并遵照 執(zhí) 行信息安全管理體系文件、持 續(xù) 改 進 信息安全管理體系的有效性，特制定本手冊。 1)業(yè)務范圍：軟件開發(fā) 業(yè) 務、 IT系統(tǒng)集成業(yè)務及相關支持部門的活動 2)物理范圍： 張家港市經(jīng)濟開發(fā)區(qū)（港城大道與長興路交匯處）新點軟件辦公大樓 ； 3)資產(chǎn)范圍：與 1)所述業(yè)務活動及 2）物理環(huán)境內(nèi)相關的軟件，硬件，人員及支持性服務等全部信息資產(chǎn)； 4)邏輯邊界：公司連接互聯(lián)網(wǎng)的服務器及相關數(shù)據(jù)傳輸?shù)幕顒樱? 5)ISO27001： 2020條款的適用性與公司最新版本的適用性聲明一致。 下列文件中的條款通 過 本《 信息安全管理手冊》的引用而成 為 本《信息安全管理手冊》的條款。凡是不注日期的引用文件