某科技信息安全管理手册.docx

《某科技信息安全管理手册.docx》由会员分享，可在线阅读，更多相关《某科技信息安全管理手册.docx（32页珍藏版）》请在三一办公上搜索。

1、某科技信息安全管理手册版本A/0密级内部限制受控是编号XX-ISMS-Ol信息安全管理手册生效日期核准审查制订2016.3.1修改记录序号修改原因修改内容修改人/时间批准人/时间备注目录O.K信息安全管理手册公布令0.2.管理者代表任命书0.3.公司简介0.4、信息安全方针0.5、信息安全目标1、范围2、引用标准3、术语与定义4、信息安全管理体系4. 1组织环境4.2 懂得有关方的需求与期望4.3 明确信息安全管理体系的范围4.4 信息安全管理体系5、领导1.1 领导与承诺1.2 方针1.3 组织角色、职责与权力6、计划6. 1处置风险与机遇6.1 信息安全目标的计划与实现7、支持6.2 资源

2、6.3 能力7. 3意识8. 4沟通7. 5文档要求8、实施8.1运行计划与操纵8. 2信息安全风险评估8. 3信息安全风险处置9、绩效评价8.1 监视、测量、分析与评价8.2 内部审核9. 3管理评审10、改进10. 1不符合项与纠正措施11. 2持续改进附件：附件一：信息安全职能分配表附件二：信息安全职责附件三：信息安全管理体系程序文件清单附件四：信息安全管理体系作业指导书文件清单0.1信息安全管理手册公布令为提高江苏XXXX科技有限公司的信息安全管理水平，保障企业经营、服务与日常管理活动，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的业务中断或者安全事故，公司开展贯彻ISO/

3、IEC27001:2013信息技术-安全技术-信息安全管理体系要求标准的工作，建立文件化的信息安全管理体系，制定了江苏XXXX科技有限公司信息安全管理手册（下列简称手册）。本手册是企业的法规性文件，是指导企业建立并实施信息安全管理体系的纲领与行动准则，用于贯彻企业的信息安全管理方针、管理目标，实现信息安全管理体系有效运行、持续改进，是江苏XXXX科技有限公司信息安全管理工作长期遵循的准则。全体职工务必严格按照手册的要求，自觉执行管理方针，贯彻实施本手册的各项规定，努力实现江苏XXXX科技有限公司的管理目标与管理承诺。本手册自颁布之日起生效执行。江苏XXXX科技有限公司总经理：二。一六年三月一日

4、O.2管理者代表任命书兹委任担任江苏XXXX科技有限公司IS027001信息安全管理体系管理者代表。他将履行下列职责及权限：1、负责公司IS027001的推行认证工作，负责组织信息安全管理体系建立、实施与维持，确保公司的信息安全管理体系运作符合信息安全管理体系标准；2、信息安全管理体系内部审核的策划、组织及实施；3、批准信息安全管理体系程序文件；4、代表公司就信息安全的有关事项与外部进行联络。总经理:日期：二。一六年三月一日0.3、公司简介公司组织架构如下图所示:0.4信息安全方针实施风险管理，确保信息安全，保障业务可持续进展。信息安全方针含义：a根据本公司业务信息安全的特点、法律法规要求，建

5、立风险评估程序，确定风险同意准则。定期进行风险评估，以识别本公司风险的变化。本公司或者环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产与管理中，对信息安全予以重视，全面识别与分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。c建立健全信息安全监督与保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量与监控，持续改进,保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管

6、理与服务的持续与安全，实现企业进展目标。0.5、信息安全目标：本公司信息安全目标：1）安全事件发生次数：重大安全事件目标值：0次/年；较大安全事件目标值：不大于4次/年；通常安全事件目标值：不大于8次/年。2）信息泄密次数：保证各类需要保密的资料（包含电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值：0次/年各部门信息安全目标:部门部门信息安全目标统计方式监测频率综合部1、人员招聘手续办理完成率100%；2、人员教育或者培训实施率100%；3、人员离职手续办理完成率100%；4、办公环境消防设施配置率100%；5、办公环境消防设施点检率100%；6、每年至少

7、组织实施完成1次信息安全内审，且资料齐全；7、每年至少组织实施完成1次信息安全管理评审，且资料齐全；8、每年至少进行1次信息安全体系文件评审及更新；9、每年至少组织实施完成1次风险评估。1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况；4、现场检查办公环境消防器材配备情况；5、现场检查办公环境消防器材的检修情况；7、展照信息安全内审计划执行内审及改进，及时整理信息安全内审资料；8、按照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资料；9、每年集中对信息安全管理体系文件进行评审，必要时进行更新；10、每年组织各有关部门进行风险评

8、估回顾、对新增或者发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月1次。2、主机系统非正常中断每月1次。1、以每月的网络中断事件为根据2、以每月的主机系统中断事件为根据每半年其他部门重要文档及数据被正确保管及使用，机密信息泄露次数为0次每半年检查一次日常工作文件及数据是否被正确保管及使用，与机密信息泄露有关事件。每年1、范围1.1 总则为了建立、实施、运行、监视、评审、保持与改进文件化的信息安全管理体系（简称ISMS）,确定信息安全方针与目标，对信息安全风险进行有效管理，确保全体员工懂得并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本手册。1.2 应用

9、1.2. 1覆盖范围本信息安全管理手册规定了江苏XXXX科技有限公司信息安全管理体系的建立与管理、管理职责、内部审核、管理评审与体系持续改进等方面内容。1.2.2删减说明本信息安全管理手册使用了IS0IEC27001:2013标准正文的全部内容，对附录A的删减见适用性声明SoAK2、规范性引用文件ISO/1EC27001:2013信息技术-安全技术-信息安全管理体系要求IS0IEC27002:2013信息技术-安全技术-信息安全管理实施细则3、术语与定义3.3.1ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求、IS0/IEC27002:2013信息技术-安全技术-信

10、息安全管理实施细则规定的术语与定义适用于本信息安全管理手册。3. 3.2本组织、本公司、我司：指江苏XXXX科技有限公司。4、信息安全管理体系3.1 组织环境组织外部环境包含如下几个方面，但并不局限于此： 文化、政治、法律、规章、金融、技术、经济、自然环境与竞争环境，不管是国际、国内、区域或者地方； 影响组织目标的要紧驱动因素与进展趋势； 外部利益有关者的观点与价值观。组织内部环境包含如下几个方面，但并不局限于此： 资源与知识的懂得能力（如：资本、时间、人力、流程、系统与技术）； 信息系统、信息流淌与决策过程（包含正式与非正式的）； 内部利益有关者； 政策，为实现的目标及战略； 观念、价值观、

11、文化； 组织通过的标准与参考模型；以上有关因素将影响公司实现信息安全管理体系的预期成果。3.2 懂得有关方的需求与期望a）与本公司信息安全管理体系有关的有关方有：供方、合同方、顾客及其他第三方访问者。b）各有关方对我司的信息安全需求，包含了信息安全有关法律法规要求与合同规定的义务。3.3 本公司信息安全管理体系的范围与边界本公司根据业务特征、组织结构、地理位置、资产与技术定义了范围与边界，本公司信息安全管理体系的范围包含：a）业务范围：OOOOOO的设计开发与服务的信息安全管理活动；b）信息系统范围：所述活动、系统及支持性系统包含的全部信息资产；C）组织范围：与所述业务有关的部门与所有员工；d

12、）地理范围：。4. 4信息安全管理体系本公司按照IS0/IEC27001:2013信息技术-安全技术-信息安全管理体系-要求规定，参照IS0/IEC27002:2013信息技术-安全技术-信息安全管理有用规则，建立、实施、运行、监视、评审、保持与改进文件化的信息安全管理体系。5领导4.1 领导与承诺本公司通过下列行动证明公司实施了与信息安全管理体系有关的领导工作与承诺：a）确保建立与组织战略目标一致的信息安全方针与信息安全目标；b）确保信息安全管理体系要求集成到组织的管理流程；c）确保提供信息安全管理体系需要的各项资源；d）传达信息安全管理的重要性及信息安全管理体系要求；e）确保信息安全管理体

13、系实现其预期目标；f）指导与支持信息安全团队；g）促使持续改进；h）支持其他有关的管理者在其职责范围内履行管理职责。4.2 方针为了满足适用法律法规及有关方要求，维持公司经营与管理的正常进行，实现业务可持续进展的目的。本公司根据组织的业务特征、组织结构、地理位置、资产与技术定义了ISMS方针，见本信息安全管理手册第0.4条款。该信息安全方针符合下列要求：1）为信息安全目标建立了框架，并为信息安全活动建立整体的方向与原则；2）考虑业务及法律或者法规的要求，及合同的安全义务；3）与组织战略与风险管理相一致的环境下，建立与保持ISMS；4）建立了风险评价的准则；5）经最高管理者批准。5. 3组织角色

14、、职责与权力5. 3.1信息安全组织机构本公司成立了由最高管理者、管理者代表及各部门负责人构成的信息安全委员会，其职责是实现信息安全管理体系方针与本公司承诺，负责制订、落实信息安全管理工作计划，建立健全企业的信息安全管理体系，保持其有效、持续运行。本公司采取有关部门代表构成的运行分析会议的方式，进行信息安全协调与协作，以：a）确保安全活动的执行符合信息安全方针；b）确定如何处理不符合；c）批准信息安全的方法与过程，如风险评估、信息分类；5. 3.2信息安全职责与权限本公司总经理为信息安全最高管理者，对信息安全全面负责，要紧包含：a）组织制定信息安全方针及目标，任命管理者代表，明确管理者代表的职

15、责与权限。b）确保在内部传达满足客户、法律法规与公司信息安全管理要求的重要性。c）为信息安全管理体系配备必要的资源。各部门负责人为本部门信息安全管理责任者，全体员工都应按保密承诺的要求自觉履行信息安全保密义务；各部门有关信息安全职责分配见信息安全管理职能分配表。各部门应按照信息安全适用性声明中规定的安全目标、操纵措施（包含安全运行的各类操纵程序）的要求实施信息安全操纵措施。5.1 处置风险与机遇6. 1.1总则为实现公司信息安全管理体系方针与目标，我司参考组织环境中的问题与有关方的需求与，来决定需要被处置的风险与机遇：a）确保信息安全管理体系能够实现其预期目标；b）避免或者减少不良影响；c）实

16、现持续改进。公司对下列方面进行规划：a）处置风险与机遇的行动；b）如何D将实施行动整合到信息安全管理体系流程中；2）评价行动的有效性。6.1.2信息安全风险评估公司制定信息安全风险评估操纵程序，建立识别适用于信息安全管理体系与已经识别的业务信息安全、法律与法规要求的风险评估方法，建立同意风险的准则并识别风险的可同意等级。所选择的风险评估方法应确保风险评估能产生可比较的与可重复的结果。信息安全风险评估的流程见图2.风险评估流程图。公司实施信息安全风险评估流程，从而：a）建立与保护信息安全风险标准，包含：D风险同意标准；2）实施信息安全风险评估的标准；b）确保信息安全风险评估活动产生一致性，产生有

17、效的与可比较的结果；c）识别信息安全风险：1）在信息安全管理体系范围内，通过信息安全风险评估流程，识别由于信息的机密性、完整性与可用性的丧失带来的风险；2）识别风险的属主；d）分析信息安全风险：D评估在信息安全风险评估中识别的风险产生的潜在后果；2）评估在信息安全风险评估中识别的风险转化为事件的可能性；3）确定风险的等级；e）评价信息安全风险：D将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较；2）根据风险等级确定风险处置的优先级。f）组织保留有关信息安全风险评估的过程文档。6.1.3信息安全风险处置公司根据风险评估的结果，形成风险处理计划，该计划明确了风险处理责任部门、负责人、处

18、理方法及起始、完成时间。关于信息安全风险，应考虑操纵措施与费用的平衡原则，选用下列适当的措施：a）使用适当的内部操纵措施；b）同意风险（不可能将所有风险降低为零）；C）避免风险（如物理隔离）；d）转移风险（如将风险转移给保险者、供方、分包商）。操纵目标及操纵措施的选择原则来源于ISO/IEC27001:2013附录A,具体操纵措施参考IS0IEC27002:2013信息技术-安全技术-信息安全管理有用规则组织保留信息安全风险处置的过程文档。6.2信息安全目标的计划与实现本公司建立不一致职能及层级的信息安全目标。详见本手册0.5章内容。此信息安全目标应：a）与信息安全方针一致；b）可度量（假如可

19、操作）；c）考虑适用的信息安全要求,与风险评估与风险处置结果；d）得到沟通；e）及时更新。信息安全目标以文档化形式保留。在规划如何实现信息安全目标时，公司明确：a）要做什么；b）需要什么资源；c）谁来负责；d）什么时候完成；e）如何评价结果。1.1 资源本公司确定并提供实施、保持信息安全管理体系所需资源；采取适当措施，使影响信息安全管理体系工作的员工的能力是胜任的，以保证：a）建立、实施、运作、监视、评审、保持与改进信息安全管理体系；b）确保信息安全程序支持业务要求；c）识别并指出法律法规要求与合同安全责任；d）通过正确应用所实施的所有操纵来保持充分的安全；e）必要时进行评审，并对评审的结果采

20、取适当措施；f）需要时，改进信息安全管理体系的有效性。1.2 能力公司制定并实施人力资源安全管理程序文件，确保被分配信息安全管理体系规定职责的所有人员，都务必有能力执行所要求的任务。能够通过：a）确定承担信息安全管理体系各工作岗位的职工所必要的能力；b）提供职业技术教育与技能培训或者采取其他的措施来满足这些需求；C）评价所采取措施的有效性；d）保留教育、培训、技能、经验与资历的记录。本公司还确保所有有关人员意识到其所从事的信息安全活动的有关性与重要性，与如何为实现信息安全管理体系目标做出奉献。1.3 意识公司员工应懂得：a）信息安全方针；b）个人关于实现信息安全管理的重要性，提高组织信息安全绩

21、效的收益；c）不符合信息安全管理体系要求所造成的影响。1.4 沟通公司制定信息沟通协调管理规范，以明确与信息安全管理体系有关的内、外部沟通需求，包含：a）沟通什么；b）何时沟通；c）与谁沟通；d）谁应该沟通；e）哪种沟通过程有效。7. 5文档要求8. 5.1综述组织的信息安全管理体系包含：a）符合IS0IEC2700L2013标准的文件包含：信息安全管理手册、程序文件、管理规定、作业指导书与为保证信息安全管理体系有效策划、运行与操纵所需的受控文件；b）组织所明确的，说明信息安全管理体系有效性的必要的记录文档。9. 5.2创建与更新公司制定并实施文件操纵程序，对信息安全管理体系所要求的文件进行管

22、理，以确定：a）识别与描述（比如：标题、日期、作者与版本号）；b）格式（比如：语言、软件版本与图形）与介质（比如：纸质、电子）；c）适宜性与充分性通过评审。10. 5.3文档操纵公司制定并实施文件操纵程序，对信息安全管理体系所要求的文件进行管理。以确保：a）在需要的时间与场合可用；b）文档得到充分保护（比如：防止泄密、不当使用或者丧失完整性）。文档操纵应保证：a）文件公布前得到批准，以确保文件是充分的；b）必要时对文件进行评审、更新并再次批准；C）确保文件的更换与现行修订状态得到识别；d）确保在使用时，可获得有关文件的最新版本；e）确保文件保持清晰、易于识别；f）确保文件能够为需要者所获得，并

23、根据适用于他们类别的程序进行转移、存储与最终的销毁；g）确保外来文件得到识别；h）确保文件的分发得到操纵；i）防止作废文件的非预期使用；j）若因任何目的需保留作废文件时，应对其进行适当的标识。8实施8.1运行计划与操纵为确保信息安全管理体系有效实施，对已识别的风险进行有效处理，本公司开展下列活动：a）形成风险处理计划，以确定适当的管理措施、职责及安全操纵措施的优先级；b）为实现已确定的安全目标、实施风险处理计划，明确各岗位的信息安全职责；C）实施所选择的操纵措施，以实现操纵目标的要求；d）确定如何测量所选择的操纵措施的有效性，并规定这些测量措施如何用于评估操纵的有效性以得出可比较的、可重复的结

24、果；e）进行信息安全培训，提高全员信息安全意识与能力；f）对信息安全体系的运作进行管理；g）对信息安全所需资源进行管理；h）实施操纵程序，对信息安全事故（或者征兆）进行迅速反应。公司保留以上必要的过程文档信息，以说明有关过程已按照计划执行。操纵计划更换，并审核计划变更的影响，如有必要采取措施减少不利影响。确保外包过程受控。8. 2信息安全风险评估8. 2.1识别风险在已确定的信息安全管理体系范围内，按照计划，或者者在重大改变提出或者发生时进行信息安全风险评估，本公司执行信息安全风险评估操纵程序，对所有的资产进行列表识别，并识别这些资产的所有者。资产包含硬件与设施、软件与系统、数据与文档、服务及

25、人力资源。对每一项资产按自身价值、信息分类、保密性、完整性、法律法规符合性要求进行了量化赋值，形成资产清单。同时，根据信息安全风险评估操纵程序，识别对这些资产的威胁、可能被威胁利用的脆弱性、识别资产价值、保密性、完整性与可用性、合规性缺失可能对资产造成的影响。8. 2.2分析与评价风险本公司按信息安全风险评估操纵程序，分析与评价风险：a）针对重要资产自身价值、保密性、完整性与可用性、合规性缺失导致的后果进行赋值；b）针对每一项威胁、薄弱点，对资产造成的影响，考虑现有的操纵措施，判定安全失效发生的可能性，并进行赋值；C）根据信息安全风险评估操纵程序计算风险等级；d）根据信息安全风险评估操纵程序中

26、的风险同意准则，推断风险为可同意或者需要处理。11. 3信息安全风险处置公司根据风险评估的结果，形成了风险处理计划，该计划明确了风险处理责任部门、负责人、处理方法及起始、完成时间。公司根据计划进行了处置，并保持处置的记录。对风险处理后的剩余风险，得到了管理者的批准。9绩效评价11.1 视、测量、分析与评价本公司通过实施监视、测量、分析与评价操纵程序以监视、测量、分析与评价公司信息安全管理状况结果，以实现：a）及时发现处理结果中的错误、信息安全体系的事故与隐患；b）及时熟悉识别失败的与成功的安全破坏与事件、信息处理系统遭受的各类攻击；C）使管理者确认人工或者自动执行的安全活动达到预期的结果；d）

27、使管理者掌握信息安全活动与解决安全破坏所采取的措施是否有效；e）积存信息安全方面的经验；11.2 部审核公司建立内部审核操纵程序。内部审核操纵程序包含策划与实施审核与报告结果与保持记录的职责与要求。并按照策划的时间间隔（两次内部审核的间隔不得超过12个月）进行内部信息安全管理体系审核，以确定其信息安全管理体系的操纵目标、操纵措施、过程与程序是否：a）符合本标准的要求与有关法律法规的要求；b）符合已识别的信息安全要求；c）得到有效地实施与保护；d）按预期执行。内部审核的过程文档应清晰地形成记录，并加以保持。12. 3管理评审公司建立并实施管理评审操纵程序，公司管理者应按管理评审操纵程序规定的时间

28、间隔（两次管理评审的间隔不得超过12个月）评审信息安全管理体系，以确保其持续的适宜性、充分性与有效性。管理评审应包含评价信息安全管理体系改进的机会与变更的需要，包含安全方针与安全目标。管理评审的结果应清晰地形成文件，记录应加以保持。10改进10.1不符合与纠正措施公司建立并实施纠正与预防操纵程序，当出现不符合情况时：a）对不符合情况采取措施，如：1）采取措施，以操纵与改正它；2）处置影响；b）明确必要的操纵措施，以消除不符合情况产生的原因，确保它不可能再发生或者在其他地方发生，通过：1）评审不符合项；2）明确不符合项产生的原因；3）明确是否存在或者可能发生类似的不符合项；c）采取必要的措施；d

29、）评审已采取的改正措施的有效性；e）必要时改进信息安全管理体系。纠正措施应与所发生的不符合的影响程度相习惯。组织应保留下列文档信息作为证据：f）不符合情况的性质与所采取的后续行动；g）纠正措施的结果。13. 2持续改进本公司通过使用信息安全方针、信息安全目标、审核结果、监控事件的分析、纠正与预防措施与管理评审，不断完善信息安全管理体系的适宜性、充分性与有效性。附件一：信息安全职能分配表（注：负责部门；有关部门）：管理单位体系要求信息安全委员会总经理管理者代表综合部研发部技术部财务部销售部4.组织环境41懂得组织及其环境4.2懂得有关方的需求与期望4.3明确信息安全管理体系的范围4.4信息安全管

30、理体系5领导5.1领导与承诺5.2方针5.3组织角色、职责与权力6计戈IJ6.1处置风险与机遇6.2信息安全目标的计划与实现7支持7.1资源7.2能力7.3意识7.4沟通7.5文档要求8实施8.1运行计划与操纵8.2信息安全风险评估8.3信息安全风险处置9绩效评价9.1监视、测量、分析与评价9.2内部审核9.3管理评审10改进10.1不符合项与纠正措施10.2持续改进A.5信息安全方针A.5.1信息安全管理指引A.6信息安全组织.6.1内部组织A.6.2移动设备与远程办公A.7人力资源安全A.7.1任用前A.7.2任用中A.7.3任用终止与变更A.8资产管理A.8.1资产的责任A.8.2信息分

31、类A.8.3介质处理A.9访问操纵A.9.1访问操纵的业务需求.9.2用户访问管理A.9.3用户责任A.9.4系统与应用访问操纵A.10加密技术.10.1加密操纵A.11物理与环境安全A.11.1安全区域A.11.2设备安全A.12操作安全A.12.1操作程序及职责A.12.2防范恶意软件A.12.3备份A.12.4日志记录与监控A.12.5操作软件的操纵A.12.6技术脆弱性管理A.12.7信息系统审计的考虑因素A.13通信安全A.13.1网络安全管理A.13.2信息传输.14系统的获取、开发及保护A.14.1信息系统安全需求A.14.2开发与支持过程的安全A.14.3测试数据A.15供应商

32、关系A.15.1供应商关系的信息安全A.15.2供应商服务交付管理A.16信息安全事件管理A.16.1信息安全事件的管理与改进A.16.1.1职责与程序A.16.1.2报告信息安全事态A.16.1.3报告信息安全弱点A.16.1.4评估与决策信息安全事件A.16.1.5响应信息安全事故A.16.1.6从信息安全事故中学习A.16.1.7收集证据A.17业务连续性管理中的信息安全A.17.1信息安全的连续性A.17.2冗余A.18符合性A.18.1法律与合同规定的符合性A.18.2信息安全评审附件二：信息安全职责序号架构/部门成员及职能1信息安全委员会最高管理者总经理：张建厂管理者代表XXX成员

33、XX（销售部）、XX（技术部）、XX（研发部）、XXX（综合部）、XX（财务部）系我司信息安全最高组织机构，负责公司整体信息安全管理工作，推动信息安全工作的实施；制定信息安全方针、信息安全管理目标；负责审核信息安全小组提交的信息安全管理体系、规范及管理办法；负责决策与信息安全管理有关的重大事项，包含信息安全组织机构调整、信息安全关键人事变动与信息安全管理重大策略变更、确认可同意的风险与风险水平等；评审与监督重大信息安全事故的处理与改进；定期组织信息安全管理体系（ISMS）评审等。2最高管理者1）组织并制定信息安全方针策略。2）任命管理者代表，明确管理者代表的职责与权限。3）确保在内部传达满足客

34、户、法律法规与公司信息安全管理要求的重要性。4）为信息安全管理体系配备必要的资源。5）主持管理评审。6）对信息安全全面负责。3管理者代表1）协助最高管理者建立、实施、检查、改进信息安全管理体系。2）负责建立、实施、保持与改进信息安全管理体系，保证信息安全体系的有效运行。3）组织公司信息安全风险评估与风险管理。4）组织开展信息安全内部审核、安全检查工作。5）负责向总经理报告信息安全体系运行的业绩与任何改进的需求。6）负责就信息安全管理体系有关事宜的对外联络。7）监控信息安全事件与确保安全操纵措施得到执行。4各部门负责人1）负责公司信息安全方针、目标、政策在部门内部的有效执行、监督、检查。2）参与

35、公司信息安全工作的讨论与决策。3）对信息安全管理体系内部审核、管理评审及其他安全检查时发现的问题及采取的纠正预防措施进行审核与确认。4）负责管理与保护部门公布的信息安全管理体系有关文件。5）负责信息安全事件的调查及协调处理。6）做好本岗位信息安全有关的保密工作5综合部D负责监控信息安全管理体系的日常运行。2）负责信息安全管理体系文件的操纵。3）负责本公司信息安全管理体系的推行落实。4）负责公司员工招聘、聘用及离职全过程的安全管理。5）负责公司内部人事档案等重要文件资料的安全管控。6）负责公司日常行政安全的管理。7）负责公司办公环境的物理安全，包含人员及物品出入操纵、门禁管理等。8）负责公司业务

36、有关的销售管理。9）负责本部门的重要信息的安全保密管控，包含客户信息、商务文档、项目合同、投标文件等重要文件的安全管控。10）负责公司及部门重要文件资料的安全管控。11）信息安全事件的报告及协助处理。6研发部1）负责公司信息系统的安全规划设计及实施。2）负责公司机房及软硬件系统的安全运行保护。3）负责本部门重要信息的安全管控，包含项目方案、设计文档等重要文件的安全管控。4）负责信息安全事件的调查及协调处理。7技术部1）负责对公司客户请求的积极响应，妥善处理顾客的投诉等。2）负责本部门重要信息的安全保密管控，包含客户信息等重要数据的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安

37、全有关的保密工作8销售部D负责公司业务有关的销售工作。2）负责本人接触到的重要信息的安全保密管控，包含客户信息、商务文档、项目合同、投标文件等重要文件的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全有关的保密工作9财务部D负责公司的财务管理工作。2）负责本部门的重要信息的安全保密管控，包含财务凭证、财务报表、工资单等重要文件的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全有关的保密工作10IT保护工程师/网络管理员1）负责公司信息系统建设及运行保护。2）负责公司机房安全管理。3）负责公司各部门办公电脑的保护及安全管理。4）按时记录网络机房运行日志5）信息

38、安全事件的报告、响应及协调处理。6）做好本岗位信息安全有关的保密工作11会计及出纳1）负责公司财务记帐、报帐、应收及应付、资产盘点等日常工作。2）负责本岗位的重要信息的安全保密管控，包含财务报表、各类凭证等重要文件的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全有关的保密工作12项目经理及项目专员1）负责服务项目的具体实施及管理。2）负责本岗位的重要信息的安全保密管控，包含各类基础数据、原始数据、拨打数据等重要数据的安全管控。3）信息安全事件的报告及协助处理。4）做好本岗位信息安全有关的保密工作13所有员工1）严格遵守国家及行业的法律法规与政策。2）严格遵守公司的各项信息安全政策。3）正确、安全的使用及保管公司及客户的各类信息资产。4）积极参加信息安全教育与培训，提高信息安全意识。5）信息安全事件的报告及协助处理。6）做好本岗位信息安全有关的保密工作序号文件名称文件编号版本号制定/修订日期制定部门备注1文件操纵程序XX-QP-OlA/02016.3.1综合部受控文件2记录操纵程序XX-QP-02A/02016.3.1综合部受控文件3内部审核操纵程序XX-QP-03A/02