【正文】 變化 狀態(tài) *簡(jiǎn)要說(shuō)明(變更內(nèi)容、變更位置、變更原因和變更范圍)變更日期變更人審核人批準(zhǔn)人批準(zhǔn)日期1C創(chuàng)建，全頁(yè)。200915金浩海金浩海曹立斌200915*變化狀態(tài)：C——?jiǎng)?chuàng)建，A——增加，M——修改，D——?jiǎng)h除目 錄01信息安全管理手冊(cè)發(fā)布令 402信息安全方針批準(zhǔn)令 503任 命 書(shū) 704公司介紹 8 9 總則 9 9 9 9 9 術(shù)語(yǔ) 9 縮寫(xiě) 9 9 總要求 9 建立和管理ISMS 10 文件要求 14 16 管理承諾 16 資源管理 16 相關(guān)文件 176. ISMS內(nèi)部審核 17 總則 17 內(nèi)審策劃 17 內(nèi)審實(shí)施 177. ISMS 管理評(píng)審 17 總則 17 評(píng)審輸入 17 評(píng)審輸出 188 ISMS改進(jìn) 18 18 糾正措施 189. 記錄 19　受控文件清單 20 信息安全組織機(jī)構(gòu)圖 25 信息安全職責(zé)說(shuō)明 26 江蘇蘇州金商科技發(fā)展有限公司新點(diǎn)2008年12月組織機(jī)構(gòu)圖 3001信息安全管理手冊(cè)發(fā)布令本《信息安全管理手冊(cè)》(以下簡(jiǎn)稱手冊(cè)) ISO/IEC 27001:2005《信息安全管理體系要求》，并結(jié)合我們公司管理工作的實(shí)踐和公司組織機(jī)構(gòu)的設(shè)置而編寫(xiě)的，體現(xiàn)了我們公司對(duì)信息安全的承諾及持續(xù)改進(jìn)的要求?，F(xiàn)予以批準(zhǔn)，同意發(fā)布實(shí)施。：一、信息安全管理機(jī)制1．我們通過(guò)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備提供軟件開(kāi)發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)等服務(wù)，因此，信息資產(chǎn)的安全性對(duì)我們來(lái)說(shuō)是非常重要的事情。2. 信息安全管理者代表負(fù)責(zé)建立、實(shí)施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。4. 與上級(jí)部門(mén)、地方政府、相關(guān)專業(yè)部門(mén)建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動(dòng)態(tài)，獲得對(duì)信息安全管理的支持。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。2. 對(duì)公司的相關(guān)方，如：軟硬件供應(yīng)商、服務(wù)商、保衛(wèi)、消防、清潔等人員，也要明確安全要求和安全職責(zé)。4. 全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。四、風(fēng)險(xiǎn)評(píng)估1． 根據(jù)公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。五、報(bào)告安全事件1． 公司建立報(bào)告安全事件的渠道和相應(yīng)部門(mén)。3． 接受報(bào)告的相應(yīng)部門(mén)應(yīng)記錄所有報(bào)告，及時(shí)相應(yīng)處理，并向報(bào)告人員反饋處理結(jié)果。2． 定期對(duì)業(yè)務(wù)持續(xù)性計(jì)劃進(jìn)行測(cè)試演練和更新。2009年1月 5 日　　　　　XXXX有限公司總經(jīng)理：　 03任 命 書(shū)為貫徹執(zhí)行信息安全管理體系，滿足ISO/IEC 27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)的要求，加強(qiáng)領(lǐng)導(dǎo)，特任命行政部經(jīng)理XXX為XXXXX有限公司信息安全管理者代表。本授權(quán)書(shū)自任命日起生效執(zhí)行。公司自建自用的軟件園占地面積1公頃、建筑面積4300平方米，設(shè)施齊全，條件優(yōu)良。及其它的微軟系列開(kāi)發(fā)工具。經(jīng)過(guò)8年摸索，公司現(xiàn)已進(jìn)入快速擴(kuò)張期，已在江蘇各地及上海、安徽、山東、浙江設(shè)有數(shù)十個(gè)分支機(jī)構(gòu)或服務(wù)點(diǎn)，擬建立更多的銷售服務(wù)點(diǎn)。二、 股權(quán)結(jié)構(gòu)公司管理者公司骨干員工、三、 部門(mén)劃分董事會(huì)下的總經(jīng)理負(fù)責(zé)制。拓展部：技術(shù)研究，方案設(shè)計(jì)，售前支持。測(cè)試部：公司所有軟、硬件產(chǎn)品的測(cè)試。又分為各軟件事業(yè)部和地區(qū)辦事處。四、 指導(dǎo)思想l 推廣和使用先進(jìn)技術(shù)l 為社會(huì)提供有益的服務(wù)和產(chǎn)品l 創(chuàng)造物質(zhì)財(cái)富l 培養(yǎng)一批中產(chǎn)階級(jí)五、 長(zhǎng)期目標(biāo)l 建立良好的工作硬環(huán)境l 引導(dǎo)公司內(nèi)部和諧的人際關(guān)系l 提供優(yōu)厚的薪酬待遇l 為員工個(gè)人發(fā)展提供平臺(tái)l 建立長(zhǎng)期健康、平穩(wěn)發(fā)展的機(jī)制六、 主要業(yè)務(wù)l 軟件開(kāi)發(fā)：“一點(diǎn)智慧”長(zhǎng)期從事工程造價(jià)行業(yè)的軟件研發(fā)，專業(yè)種類齊全。目前正版軟件套數(shù)已超1萬(wàn)套，累計(jì)培訓(xùn)人數(shù)超過(guò)3萬(wàn)人次，遍布江蘇全省各地，是最大的造價(jià)軟件開(kāi)發(fā)商之一。已經(jīng)形成一系列，包括，網(wǎng)上辦公OA、網(wǎng)上審批、報(bào)表統(tǒng)計(jì)、數(shù)據(jù)采集等產(chǎn)品。l 建筑智能化設(shè)計(jì)和施工主要工程在張家港本地，憑借建筑施工和設(shè)計(jì)二級(jí)資質(zhì)。公司一百五十多名員工中，本科以上畢業(yè)生占90%，其中不乏碩士、留學(xué)歸國(guó)人員等中高級(jí)人才。 實(shí)行內(nèi)部集中培訓(xùn)和導(dǎo)師制；員工根據(jù)工作性質(zhì)，實(shí)行崗位級(jí)別制；薪酬和業(yè)績(jī)、工作量、效益掛鉤；在公司內(nèi)部實(shí)行末尾淘汰制。公司努力為全體員工提供優(yōu)厚的待遇、良好的工作環(huán)境，隨著公司的發(fā)展，使員工個(gè)人也得到進(jìn)步和發(fā)展。對(duì)公司如此，對(duì)個(gè)人亦如此。基礎(chǔ)：創(chuàng)新、規(guī)范、軟件：規(guī)范化、規(guī)?；能浖S行業(yè)軟件產(chǎn)品開(kāi)發(fā)國(guó)內(nèi)定制軟件開(kāi)發(fā)國(guó)外定制軟件開(kāi)發(fā)弱電工程：特定行業(yè)內(nèi)領(lǐng)先行業(yè)內(nèi)的優(yōu)秀解決方案自有知識(shí)產(chǎn)權(quán)的軟硬件一體化產(chǎn)品信息安全管理手冊(cè) 總則為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱ISMS），確定信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有效管理，確保全體員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。1)業(yè)務(wù)范圍：軟件開(kāi)發(fā)業(yè)務(wù)、IT系統(tǒng)集成業(yè)務(wù)及相關(guān)支持部門(mén)的活動(dòng)2)物理范圍：張家港市經(jīng)濟(jì)開(kāi)發(fā)區(qū)（港城大道與長(zhǎng)興路交匯處）新點(diǎn)軟件辦公大樓；3)資產(chǎn)范圍：與1)所述業(yè)務(wù)活動(dòng)及2）物理環(huán)境內(nèi)相關(guān)的軟件，硬件，人員及支持性服務(wù)等全部信息資產(chǎn)；4)邏輯邊界：公司連接互聯(lián)網(wǎng)的服務(wù)器及相關(guān)數(shù)據(jù)傳輸?shù)幕顒?dòng)；5)ISO27001：2005條款的適用性與公司最新版本的適用性聲明一致。下列文件中的條款通過(guò)本《信息安全管理手冊(cè)》的引用而成為本《信息安全管理手冊(cè)》的條款。凡是不注日期的引用文件、其最新版本適用于本信息安全管理手冊(cè)。 縮寫(xiě)ISMS：Information Security Management Systems 信息安全管理體系；SOA: Statement of Applicability 適用性聲明； PDCA: Plan Do Check Action 計(jì)劃、實(shí)施、檢查、改進(jìn)。 總要求公司依據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系，形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，對(duì)過(guò)程的應(yīng)用和管理詳見(jiàn)《信息安全管理體系過(guò)程模式圖》（圖1）。b)根據(jù)公司的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義ISMS方針，必須滿足以下要求：1) 為ISMS目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則；2) 考慮業(yè)務(wù)及法律或法規(guī)的要求，以及合同的安全義務(wù)；3) 與公司戰(zhàn)略和風(fēng)險(xiǎn)管理相一致的環(huán)境下，建立和保持ISMS；4) 建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則；5) 總經(jīng)理批準(zhǔn)發(fā)布ISMS方針。行政部負(fù)責(zé)建立《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》并組織實(shí)施。1) 識(shí)別適用于ISMS和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。具體參照國(guó)家《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》標(biāo)準(zhǔn)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。確定ISMS范圍事件發(fā)生的影響事件發(fā)生的可能性資產(chǎn)識(shí)別與重要資產(chǎn)確定威脅識(shí)別已有控制措施確認(rèn)薄弱點(diǎn)識(shí)別保持已有的控制措施施施施選擇目標(biāo)及控制措施實(shí) 施殘余風(fēng)險(xiǎn)評(píng)審YESNo是否接受確定風(fēng)險(xiǎn)等級(jí)Yesd) 識(shí)別風(fēng)險(xiǎn)： 1) 識(shí)別ISMS控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的ISMS范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。對(duì)每一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《信息資產(chǎn)識(shí)別表》。e) 分析并評(píng)價(jià)風(fēng)險(xiǎn)：1) 在資產(chǎn)識(shí)別的基礎(chǔ)上，針對(duì)每一項(xiàng)重要信息資產(chǎn)，依據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的信息資產(chǎn)CIAB分級(jí)標(biāo)準(zhǔn)，進(jìn)行CIAB的資產(chǎn)賦值計(jì)算；2) 針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅參考表》及以往的安全事故（事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出重要信息