ISO27001：2022信息安全管理手冊+全套程序文件+表單

編號：ISMS-A-01版本號：VI.0編制： 日期：202X-11-01審核： 日期：202X-11-01批準(zhǔn)： 日期：202X-11-01受控狀態(tài)受控文件修訂記錄版本編寫人審核人批準(zhǔn)人修訂日期修訂說明目錄TOC\o"1-5"\h\z1概述 11.1頒布令 11.2任命書 21.3手冊說明 32規(guī)范性引用文件 53術(shù)語和定義 54組織環(huán)境 54.1理解組織及其環(huán)境 52理解相關(guān)方的需求和期望 54.3確定ISMS的范圍 54信息安全管理體系 65領(lǐng)導(dǎo)作用 65.1領(lǐng)導(dǎo)作用和承諾 65.2ISMS管理方針 73組織架構(gòu)、職責(zé)和權(quán)限 76規(guī)劃 71風(fēng)險和機遇的應(yīng)對措施 72信息安全目標(biāo)及其實現(xiàn)規(guī)劃 87支持 87.1資源 82能力 93意識 107.4溝通 105文件記錄信息 118運行 138.1運行的策劃和控制 132信息安全風(fēng)險評估 143信息安全風(fēng)險處置 149績效評價 159.1監(jiān)視、測量、分析和評價 152內(nèi)部審核 153管理評審 15\o"CurrentDocument"10改進 171不符合和糾正措施 172持續(xù)改進 1710.3糾正措施 1810.4預(yù)防措施 19附錄1一組織簡介 20附錄2-組織架構(gòu)圖 21附錄4-信息安全小組成員 25附錄5-服務(wù)器拓?fù)鋱D 26附錄6-信息安仝職責(zé)說明 271概述1.1頒布令為提高我公司的信息安全管理水平，保障公司業(yè)務(wù)活動的正常進行，防止由于信息安全事件（信息系統(tǒng)的中斷、數(shù)據(jù)的丟失、敏感信息的泄密）導(dǎo)致的公司和客戶的損失,我公司開展貫徹TSO/IEC27001:2022《信息安全管理體系要求》標(biāo)準(zhǔn)工作，建立、實施和持續(xù)改進文件化的信息安全管理體系，制訂了XXX有限公司《信息安全管理手冊》。《信息安全管理手冊》經(jīng)評審后，現(xiàn)予以批準(zhǔn)發(fā)布?！缎畔踩芾硎謨浴返陌l(fā)布，標(biāo)志著我公司從現(xiàn)在起，必須按照信息安全管理體系標(biāo)準(zhǔn)的要求和公司《信息安全管理手冊》所描述的規(guī)定，不斷增強持續(xù)滿足顧客要求、相關(guān)方要求和法律法規(guī)要求的能力，全心全意為顧客和相關(guān)方提供優(yōu)質(zhì)、安全的自助服務(wù)終端軟硬件的研發(fā)及運行維護服務(wù)，以確立公司在社會上的良好信譽。《信息安全管理手冊》是公司規(guī)范內(nèi)部管理的指導(dǎo)性文件，也是全體員工在向顧客提供服務(wù)過程必須遵循的行動準(zhǔn)則?！缎畔踩芾硎謨浴芬唤?jīng)發(fā)布，就是強制性文件,全體員工必須認(rèn)真學(xué)習(xí)、切實執(zhí)行。XXX有限公司總經(jīng)理：XXX202X年11月01日1.1.2任命書1.1.2任命書任命書為貫徹執(zhí)行ISO/IEC27001:2022《信息安全管理體系要求》，加強對信息管理體系運行的領(lǐng)導(dǎo)，特任命直迪為公司管理者代表。授權(quán)信息安全管理者代表有如下職資和權(quán)限：1） 確保按照標(biāo)準(zhǔn)的要求，進行資產(chǎn)識別和風(fēng)險評估，全面建立、實施和保持信息安全管理體系；2） 負(fù)責(zé)與信息安全管理體系有關(guān)的協(xié)調(diào)和聯(lián)絡(luò)工作；3） 確保在整個組織內(nèi)提高信息安全風(fēng)險的意識；4） 審核風(fēng)險評估報告、風(fēng)險處理計劃；5） 批準(zhǔn)發(fā)布程序文件；6） 主持信息安全管理體系內(nèi)部審核，任命審核組長，批準(zhǔn)內(nèi)審工作報告；7） 向最高管理者報告信息安全管理體系的業(yè)績和改進要求，包括信息安全管理體系運行情況、內(nèi)外部審核情況。本任命書自任命日起生效執(zhí)行。XXX有限公司總經(jīng)理：XXX202X年11月01日1.3手冊說明1.3.1總則《信息安全管理手冊》的編制，是用以證明己建立并實施了一個完整的文件化的信息安仝管理體系。通過對各項業(yè)務(wù)進行風(fēng)險評估，識別岀公司的關(guān)鍵資產(chǎn)，并根據(jù)資產(chǎn)的不同級別風(fēng)險采取與之相對應(yīng)的處理措施?！缎畔踩芾硎謨浴窞閷徍诵畔踩芾眢w系提供了文件依據(jù)。《信息安全管理手冊》證明公司己經(jīng)按照ISO/IEC27001:2022標(biāo)準(zhǔn)的要求建立并實際運行一套信息安全管理體系?！缎畔踩芾硎謨浴返木幹萍邦C布可以對公司信息安全管理各項活動進行控制，指導(dǎo)公司開展各項業(yè)務(wù)活動，并通過不斷的持續(xù)改進來完善信息安全管理體系。1.3.2信息安全管理手冊的批準(zhǔn)管理者代表負(fù)責(zé)組織信息安全小組編制《信息安全管理手冊》及其相關(guān)規(guī)章制度，總經(jīng)理負(fù)責(zé)批準(zhǔn)。1.3.3信息安全管理手冊的發(fā)放、作廢與銷毀（1） 綜合管理部負(fù)責(zé)按《文件控制程序》的要求，進行《信息安全管理手冊》的登記、發(fā)放、回收、歸檔、作廢與銷毀工作。（2） 各相關(guān)部門按照受控文件的管理要求對收到的《信息安全管理手冊》進行使用和保管。（3） 綜合管理部按照規(guī)定發(fā)放修改后的《信息安全管理手冊》，并收回失效的文件做出標(biāo)識統(tǒng)一處理，確保有效文件的唯一性。（4） 綜合管理部保留《信息安全管理手冊》修改內(nèi)容的記錄。1.3.4信息安全管理手冊的修改《信息安全管理手冊》如根據(jù)實際情況發(fā)生變化時，應(yīng)用信息安全體系相關(guān)部門提出申請，經(jīng)綜合管理部討論、商議，信息安全代表審核、總經(jīng)理批準(zhǔn)后方可進行修改。為保證修改后的手冊能夠及時發(fā)放給相關(guān)人員，綜合管理部對手冊實施修改后，應(yīng)及時發(fā)布修改信息，通知相關(guān)人員?！缎畔踩芾硎謨浴返男薷姆譃閮煞N：一是少量的文字性修改。此種修改不改變手冊的版本號，只需在本手冊的“文檔修改記錄”如實記錄即可，不需保存手冊修改前的文檔原件。二是大范圍的信息安全管理體系版本升級，即改版。在本手冊經(jīng)過多次修改、信息安全管理體系建立依據(jù)的標(biāo)準(zhǔn)發(fā)生變化、公司的業(yè)務(wù)范圍有較大調(diào)整的情況下，需要對本手冊進行改版。本手冊的改版應(yīng)該對改版前的《信息安全管理手冊》原件進行保存°在出現(xiàn)下列情況時，《信息安全管理手冊》可以進行修改：＞信息安全管理體系運行過程中發(fā)現(xiàn)問題或信息安全管理體系需進一步改進＞內(nèi)部信息安全提出新的需求＞組織機構(gòu)和職能發(fā)生變化＞經(jīng)營環(huán)境和產(chǎn)品結(jié)構(gòu)有調(diào)整＞發(fā)現(xiàn)本手冊中存在差錯或不明確之處＞引用的法規(guī)或體系標(biāo)準(zhǔn)有修改＞體系審核或管理評審提出改進要求＞本手冊的更改控制按《文件管理程序》執(zhí)行1.3.5信息安全管理手冊的換版《信息安全管理手冊》進行換版，換版應(yīng)在管理評審時形成決議，重新編制、審批工作。＞當(dāng)依據(jù)的TSO/IEC27001:2022信息安全管理體系有重大變化時，如組織結(jié)構(gòu)、內(nèi)外部環(huán)境、開發(fā)技術(shù)、信息安全風(fēng)險等發(fā)生重大改變的。＞相應(yīng)的法律法規(guī)發(fā)生重大變化時，如國家法律法規(guī)、政策、標(biāo)準(zhǔn)等發(fā)生改變的。＞《信息安全管理手冊》發(fā)生需修改部分超過1/3時。＞《信息安全管理手冊》執(zhí)行己滿三年時。1.3.6信息安全管理手冊的控制（1）《信息安全管理手冊》標(biāo)識分受控文件和非受控文件：＞受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部分的負(fù)責(zé)人、審計部或者內(nèi)審員。＞非受控文件印制成單行本，作為投標(biāo)書的資料、銷售目的等發(fā)給受控范圍以外的其他相關(guān)人員。（2）《信息安全管理手冊》分為書面文件和電子文件兩種。2規(guī)范性引用文件GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求；GB/T22081-2016信息安全管理實用規(guī)則；與公司運營相關(guān)的法律法規(guī)和技術(shù)標(biāo)準(zhǔn)。3術(shù)語和定義?本手冊釆用ISO/IEC27001:2022標(biāo)準(zhǔn)的術(shù)語和定義，并根據(jù)需要在相應(yīng)章節(jié)所描述的要求中，増補了所涉及的術(shù)語和定義；?本手冊岀現(xiàn)的術(shù)語“產(chǎn)品”指的是公司提供的產(chǎn)品和服務(wù)；?ISMS-IntegratedManagementSystem的縮寫，代表“信息安全管理體系”；4組織環(huán)境4.1理解組織及其環(huán)境公司定期識別和信息安全管理冃標(biāo)相關(guān)，并影響實現(xiàn)信息安全管理預(yù)期結(jié)果的內(nèi)外部問題。4.2理解相關(guān)方的需求和期望本公司確定：a） 與ISMS有關(guān)的相關(guān)方；b） 這些相關(guān)方與信息安全有關(guān)的要求。4.3確定ISMS的范圍應(yīng)用范圍：本《信息安全管理手冊》規(guī)定了〈XXX有限公司〉信息安全管理體系涉及的開發(fā)和維護信息安全管理、職責(zé)管理、內(nèi)部審核、管理評審和信息安全管理體系持續(xù)改進等方面內(nèi)容。產(chǎn)品和服務(wù)范圍：與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)相關(guān)的信息安全管理活動區(qū)域范圍：廣東省深圳市八卦嶺八卦路31號眾鑫科技大廈1310室

組織機構(gòu)范圍：管理層、技術(shù)部、銷售部、綜合管理部4.4信息安全管理體系4.1總則為了建立、實施、運行、監(jiān)視、評審、持續(xù)改進信息管理管理體系，提高全員的信息安仝意識，對信息安仝風(fēng)險進行有效管理，使全公司貫徹落實安仝方針和各項安全措施，保護用戶信息和資料，保證的信息資產(chǎn)免遭破壞，降低可能影響到信息安全的各種風(fēng)險，防止安全事故的發(fā)生。同時確保全體員工理解并遵守執(zhí)行信息安全管理體系文件，持續(xù)改進信息安全管理體系的有效性，樹立公司良好的服務(wù)形象，增強用戶對公司的技術(shù)和管理水平的信心，保證公司業(yè)務(wù)可持續(xù)開展，特制定本《信息安全管理手冊》。4.2ISMS體系過程方法相關(guān)方/第三方信曇全管理需求和期望實施并運行相關(guān)方/第三方監(jiān)控并評審信白晏全管理相關(guān)方/第三方信曇全管理需求和期望實施并運行相關(guān)方/第三方監(jiān)控并評審信白晏全管理5領(lǐng)導(dǎo)作用5.1領(lǐng)導(dǎo)作用和承諾?總經(jīng)理領(lǐng)導(dǎo)信息安全工作，并確定相應(yīng)的職說和作用。?制定信息安全方針和信息安全目標(biāo)，建立和完善公司的信息安全管理體系。?向公司傳達滿足信息安全目標(biāo)以及信息安全方針，以及法律責(zé)任和持續(xù)改進的重要性。?提供足夠的資源建立、實施、運行、監(jiān)控、評審、為何和改進ISMS；?決定可接受風(fēng)險的標(biāo)準(zhǔn)和可接受風(fēng)險的等級；?確保按照標(biāo)準(zhǔn)嚴(yán)格執(zhí)行ISMS內(nèi)部審核并進行管理評審。5.2ISMS管理方針一、 信息安全管理方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持ISMS范圍內(nèi)的業(yè)務(wù)正常進行，實現(xiàn)業(yè)務(wù)可持續(xù)發(fā)展，本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)確定了信息安全管理體系方針：滿足客戶要求，保障信息安全，遵守法律法規(guī)，持續(xù)改進管理。二、 信息安全管理目標(biāo)針對客戶信息安全事件的投訴每年不超過1次重要信息設(shè)備丟失每年不超過1起機密和絕密信息泄漏事件每年不超過1次三、 信息安全管理適用范圍本信息安全管理方針適用于公司全體員工、業(yè)務(wù)合作伙伴、外聘人員及第三方的工作人員等所有與信息資產(chǎn)相關(guān)的部門與人員。3組織架構(gòu)、職責(zé)和權(quán)限3.11SMS管理體系組織架構(gòu)圖附錄2-組織架構(gòu)圖5.3.21SMS管理職能分配見附錄3-職能分配表5.3.3職責(zé)和權(quán)限見附錄8-信息安全職責(zé)說明6規(guī)劃6.1風(fēng)險和機遇的應(yīng)對措施信息安全小組組織有關(guān)部門根據(jù)風(fēng)險評估結(jié)果，形成《風(fēng)險處理計劃》，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、處理方法及完成時間。對于信息安全風(fēng)險和給予，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當(dāng)?shù)拇胧?控制風(fēng)險，釆用適當(dāng)?shù)膬?nèi)部控制措施。?接受風(fēng)險（不可能將所有風(fēng)險降低為零）；?避免風(fēng)險（如物理隔離）：?轉(zhuǎn)移風(fēng)險（如將風(fēng)險轉(zhuǎn)移給保險者、供方、分包商）。6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃2.1公司在相關(guān)職能、層次和信息安仝管理體系所需的過程建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a） 與信息安全方針保持一致b） 可測量；c） 考慮適用的要求，以及風(fēng)險評估和風(fēng)險處置的結(jié)果；d） 得到溝通;e） 適時更新。組織應(yīng)保持有關(guān)信息安全目標(biāo)的文件化信息。2.2在策劃信息安全目標(biāo)的實現(xiàn)時，公司確定：a） 釆取的措施；b） 所需的資源（見7.1）:c） 責(zé)任人；d） 完成的時間表；e） 如何評價結(jié)果。7支持7.1資源1.1總則總經(jīng)理以及部門經(jīng)理應(yīng)確定、提供為建立、實施、保持和改進ISMS管理體系所需的資源，應(yīng)考慮現(xiàn)有的資源、能力、局限；1.2基礎(chǔ)設(shè)施組織應(yīng)識別、提供并保持實現(xiàn)產(chǎn)品/服務(wù)符合性所需的基礎(chǔ)設(shè)施，這些設(shè)施包括：?工作場所相應(yīng)的設(shè)施（辦公電腦、服務(wù)器、軟硬件、機房等）；?服務(wù)過程設(shè)備，如各種通訊設(shè)備、監(jiān)控設(shè)備和客戶服務(wù)管理系統(tǒng)、業(yè)務(wù)系統(tǒng)（軟件）等；?維修保養(yǎng)和保障設(shè)施（各種輔助設(shè)施、安全防護設(shè)施等）；?支持性服務(wù)，如運輸、通訊信息系統(tǒng)等。7.1.3過程環(huán)境公司各部門應(yīng)識別提供產(chǎn)品/服務(wù)所需環(huán)境中人和物的因素，并對其加以有效的控制，保證提供產(chǎn)品/服務(wù)過程中的人員、財產(chǎn)安全。過程環(huán)境可包括物理的、社會的、心理的和環(huán)境的因素°7.1.4監(jiān)視和測量設(shè)備對照國際或國家的測量標(biāo)準(zhǔn)，在規(guī)定的時間間隔或在使用前進行校準(zhǔn)和檢定，如果沒有上述標(biāo)準(zhǔn)的，應(yīng)記錄校準(zhǔn)或檢定（驗證）的依據(jù)，以確保下列設(shè)備處于正常狀態(tài)：?開發(fā)用途的電腦設(shè)備；?測試用途的電腦設(shè)備；?開發(fā)用途的軟件；?測試用途的軟件；?集成項目使用的設(shè)備。處于正常狀態(tài)的設(shè)備應(yīng)具備下列特征：?設(shè)備的型號能夠符合預(yù)期的使用目的；?無論設(shè)備處于待用狀態(tài)還是處于使用狀態(tài)，設(shè)備均是正常的；?設(shè)備得到周期性的養(yǎng)護和校正，并標(biāo)識其校準(zhǔn)狀態(tài)；?必要時，各部門使用設(shè)備進行測量前，應(yīng)再次校準(zhǔn)設(shè)備；?測試軟件應(yīng)確認(rèn)其具有滿足預(yù)期用途的能力，初次使用前應(yīng)進行確認(rèn)，必要時可以進行重新確認(rèn)。當(dāng)發(fā)現(xiàn)軟件或設(shè)備不符合要求時，應(yīng)對以往的測量結(jié)果進行有效性評價和記錄，并對受影響的產(chǎn)品采取適當(dāng)?shù)拇胧?。校?zhǔn)和檢定結(jié)果的記錄應(yīng)予保存。7.1.5知識公司應(yīng)確保ISMS管理體系運行過程中，提供產(chǎn)品/服務(wù)的符合性和顧客滿意所需的知識。這些知識應(yīng)得到保持、保護、需要時便于獲取。在應(yīng)對變化的需求和趨勢時，組織應(yīng)考慮現(xiàn)有的知識基礎(chǔ)，確定如何獲取必需的更多知識。7.2能力公司應(yīng)根據(jù)崗位所需的教育、培訓(xùn)、技能和經(jīng)驗要求，安排人員，以確保影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員素質(zhì)滿足崗位的需要，能勝任其工作。對于人員的配置，公司人事行政部應(yīng)定崗定編并制定完善的崗位說明文件。公司在《員工培訓(xùn)管理程序》中對在職培訓(xùn)、人員的意識的灌輸和工作能力的增長作了要求，以便：?確定從事影響產(chǎn)品/服務(wù)質(zhì)量和信息安全的人員（包含營銷、服務(wù)提供、質(zhì)量檢查、IT開發(fā)、顧客溝通、顧客信息反饋等）所必須的工作能力及培訓(xùn)需求；?提供培訓(xùn)或采取其他措施，以滿足所確定的需求并確保達成必須的能力；?對培訓(xùn)的有效性進行評價；?確保員工能意識到他們工作的相關(guān)性和重要性，以及他們?nèi)绾螢檫_到ISMS目標(biāo)做岀努力；?保存有關(guān)教育、經(jīng)驗、培訓(xùn)、資格的適當(dāng)?shù)挠涗洝?.3意識公司應(yīng)確保工作的人員意識到：?ISMS管理方針：?相關(guān)的信息安全目標(biāo)；?他們對信息安全管理體系有效性的貢獻，包括改進績效的益處；?偏離信息安全管理體系要求的后果。7.4溝通管理者代表為信息安全溝通交流主管部門，負(fù)責(zé)內(nèi)、外部信息的交流與管理，及時將信息進行處理傳遞給有關(guān)部門。各部門負(fù)責(zé)涉及自身職責(zé)范圍內(nèi)的信息安全信息的溝通交流工作，收集與外部相關(guān)方的信息資料，并保存回復(fù)的證據(jù)。4.1內(nèi)部信息?信息安全方針、目標(biāo)及實施方案-資產(chǎn)識別與風(fēng)險評估?職責(zé)與權(quán)限的傳達與落實-培訓(xùn)教育的實施與效果-監(jiān)控與測量結(jié)果的反饋及法律、法規(guī)的符合情況-不符合的糾正和預(yù)防措施的執(zhí)行情況-緊急狀態(tài)下的信息等

7.4.2外部信息?信息安全方針通報相關(guān)方，對外宣傳；?法律、法規(guī)的獲取與監(jiān)測及執(zhí)法部門的聯(lián)絡(luò)；-監(jiān)控、檢測結(jié)果的外部聯(lián)絡(luò)和接受、答復(fù)；-認(rèn)證與監(jiān)督審核：7.4.3管理者代表應(yīng)與相關(guān)方就影響他們的信息安全的變更進行協(xié)商。公司制定《信息安全溝通協(xié)調(diào)管理程序》規(guī)范信息安全溝通過程，必要時，保留信息交流相關(guān)證據(jù)。7.5文件記錄信息7.5.1文件體系結(jié)構(gòu)信息安全管理體系的文件由上而下分為四個層次，如下圖所示：管理手冊程序文件作業(yè)指導(dǎo),規(guī)范

規(guī)章制度,計劃管理手冊程序文件作業(yè)指導(dǎo),規(guī)范

規(guī)章制度,計劃表單記錄信息安全管理體系文件包括：（1） 管理手冊（信息安全手冊、信息安全策略）：規(guī)定信息安全管理體系的文件,是公司內(nèi)部的信息安全法規(guī)，闡述了信息安全管理體系的方針、目標(biāo)、范圍、組織結(jié)構(gòu)和職責(zé)權(quán)限，同時描述了信息安全管理體系的主體文件（程序文件），是信息安全管理體系的綱領(lǐng)性文件。（2） 程序文件：是信息安全手冊的支持性文件，規(guī)定了實施與信息安全管理體系有關(guān)的各項活動的途徑和方法，是各項活動得以有效實施的保障。與信息安全管理體系有關(guān)的各項活動必須按照程序文件規(guī)定實施，并定期對其進行評審，保持其有效性。（3）作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、計劃等：是現(xiàn)場或崗位使用的詳細(xì)工作文件，是程序文件的支撐和補充性文件，是信息安全管理體系過程得以有效策劃、運行、控制所需要的文件，也是信息安全活動的基礎(chǔ)文件。（4）表單記錄：通過表單模板，對信息安全管理體系實施的一系列活動進行規(guī)范,形成記錄文件，用于作為管理評審、內(nèi)部審核、外部審核、持續(xù)改進的客觀證據(jù)。信息安仝手冊、程序文件和作業(yè)指導(dǎo)、規(guī)范規(guī)章制度、表單記錄等四層文件由信息安全小組組織協(xié)調(diào)各相關(guān)部門共同完成編寫。支持文件：?《文件控制程序》7.5.2文件控制綜合管理部組織編制《文件控制程序》，確保信息安全管理體系的文件在以下幾個方面得到控制：（1）文件發(fā)布前得到批準(zhǔn)，以確保文件是充分與適宜的。（2） 管理體系文件應(yīng)定期進行評審、修訂完善，并再次批準(zhǔn)以保持文件要求與實際運作的一致性，充分保障文件的有效性、充分性和適宜性。（3） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別。（4） 確保在使用處可獲得適用文件的有關(guān)版本。（5） 確保文件保持清晰、易于識別。（6） 確保綜合管理部確定的體系所需的外來文件得到識別，并控制其分發(fā)。（7） 防止作廢文件的非預(yù)期使用，若因任何原因而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識。（8） 具體執(zhí)行按《文件控制程序》的規(guī)定，對文件的審核、批準(zhǔn)、發(fā)布、變更、修改、廢止等環(huán)節(jié)進行控制。支持文件：?《文件控制程序》7.5.3記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運行的依據(jù)，對記錄的標(biāo)識、儲存、保護、檢索、保管、廢棄等事項進行了規(guī)定，各部門應(yīng)根據(jù)《記錄控制程序》的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗洠唧w記錄如下：<1）建立并保持記錄，以提供符合要求和信息安全管理體系有效運行的證據(jù)。（2） 保護并控制記錄。信息安全管理體系應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法，易于識別和檢索。（3） 編制形成文件的程序，以規(guī)定記錄的標(biāo)識、儲存、保護、檢索、，呆存期限和處置所需的控制。（4） 記錄的要求和管理：＞真實、完整、字跡清晰，可識別是何種產(chǎn)品或項目的何種活動。＞填寫及時、禁止未經(jīng)許可的更改。＞各部門應(yīng)對本部門的記錄自行歸檔保存，保存環(huán)境應(yīng)適宜，以防止記錄損壞、變質(zhì)和丟失，保管方式便于存取和檢索。＞記錄的保存期限應(yīng)根據(jù)產(chǎn)品的特點、法規(guī)要求及合同要求來決定，見“記錄清單”。＞超過保存期的質(zhì)量記錄處理應(yīng)按審批規(guī)定進行處置。支持文件：?《記錄控制程序》8運行8.1運行的策劃和控制公司規(guī)定了實現(xiàn)與計算機應(yīng)用軟件的設(shè)計、開發(fā)及售后服務(wù)所需的過程，這些過程與公司1SMS管理體系中的其他要求相一致并對其順序和相互作用予以確定。公司識別每一過程對滿足客戶服務(wù)要求的能力的影響，并確保營運活動中每個質(zhì)量特性都受到有效控制。1.1ISMS運行總要求?實現(xiàn)過程的策劃中應(yīng)明確：?質(zhì)量目標(biāo)和要求；?明確各崗位的信息安全職責(zé)；?服務(wù)標(biāo)準(zhǔn)?明確過程控制的準(zhǔn)則和方法，制定必要的作業(yè)指導(dǎo)文件，為產(chǎn)品和服務(wù)實現(xiàn)提供資源和設(shè)施，保證其所需的工作環(huán)境；?保留服務(wù)過程提供及過程測量和檢查結(jié)果的記錄。

經(jīng)識別公司沒有外包過程。對于公司的服務(wù)商，綜合管理部按照《第三方服務(wù)管理程序》進行管理。8.2信息安全風(fēng)險評估2.1風(fēng)險評估的方法信息安全小組負(fù)責(zé)組織編制《信息安全風(fēng)險管理程序》，建立識別適用于信息安全管理體系和己經(jīng)識別的業(yè)務(wù)信息安全、法律法規(guī)要求的風(fēng)險評估方法，在決定風(fēng)險的可接受范圍內(nèi)，采取適當(dāng)?shù)娘L(fēng)險控制措施。2.2識別風(fēng)險在信息安全管理體系范圍內(nèi)，對所有信息資產(chǎn)進行識別評價，識別資產(chǎn)面臨的威脅以及脆弱性、識別保密性完整性和可用性對資產(chǎn)造成的影響程度、識別資產(chǎn)面臨的風(fēng)險,并通過這些項目的風(fēng)險標(biāo)識推算出對重要資產(chǎn)造成的影響。2.3分析和評價風(fēng)險針對每一項信息資產(chǎn)，識別出其面臨的所有威脅，并考慮現(xiàn)有的控制措施，識別出被該威脅可能利用的薄弱點。針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判斷安全失效發(fā)生的可能性。根據(jù)《信息安全風(fēng)險管理程序》計算風(fēng)險等級以及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需要處理。8.2.4識別和評價風(fēng)險處理的選擇項目風(fēng)險的識別貫穿整個業(yè)務(wù)活動過程，明確哪些風(fēng)險可能影響項目造成影響、記錄這些風(fēng)險的各方面特征。在記錄風(fēng)險的基礎(chǔ)上對項目進行初步分析，依據(jù)影響對項目風(fēng)險進行優(yōu)先級排序。綜合管理部根據(jù)風(fēng)險評估的結(jié)果，形成《信息安全風(fēng)險評估表（含〈風(fēng)險處理計劃〉）》，該計劃明確了風(fēng)險處理責(zé)任部門、負(fù)責(zé)人、目的、范圍以及處理策略，具體措施如下：（1）適時適當(dāng)?shù)目刂拼胧＃?）規(guī)避風(fēng)險,釆取有效的控制措施避免風(fēng)險的發(fā)生。（3）接受風(fēng)險,在一定程度上有意識、有目的地接受風(fēng)險。（（2）規(guī)避風(fēng)險,釆取有效的控制措施避免風(fēng)險的發(fā)生。（3）接受風(fēng)險,在一定程度上有意識、有目的地接受風(fēng)險。（4）風(fēng)險轉(zhuǎn)移,轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面。(5)消減風(fēng)險,通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險發(fā)生的可能性。8.3信息安全風(fēng)險處置組織應(yīng)實施信息安全風(fēng)險處置計劃。保留信息安全風(fēng)險處置結(jié)果的文件記錄信息。詳見《信息安全風(fēng)險管理程序》3.1相關(guān)文件?《信息安仝風(fēng)險管理程序》9績效評價9.1監(jiān)視、測量、分析和評價為了保證服務(wù)的符合性及實施必要的改進，應(yīng)規(guī)定、策劃和實施所需的測量和監(jiān)視活動。在策劃時，應(yīng)確定統(tǒng)計技術(shù)及其他適用的方法的需要和使用。需要監(jiān)視和測量的過程和措施包括：客戶滿意度測量、過程的監(jiān)視和測量、產(chǎn)品的監(jiān)視和測量。綜合管理部應(yīng)組織相關(guān)部門，對質(zhì)量服務(wù)信息安全措施的績效和體系的有效性進行評價。綜合管理部應(yīng)與各部門協(xié)調(diào)，根據(jù)公司管理的實際需要，建立恰當(dāng)?shù)亩攘矿w系，以度量員工、項目組的工作業(yè)績。由綜合管理部組織實施監(jiān)視和測量，每年至少一次對對監(jiān)視和測量的結(jié)果進行分析和評價，由總經(jīng)理以及各部門經(jīng)理分析和評價這些結(jié)果，保留相關(guān)的監(jiān)視和測量證據(jù)。9.2內(nèi)部審核公司應(yīng)按計劃的時間要求進行ISMS內(nèi)部審核，以確定控制目標(biāo)、控制措施、過程和程序是否：?符合標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求；?符合確定的信息安全要求；?得到有效地實施和維護；?按期望運行。內(nèi)部審核程序應(yīng)進行計劃，并考慮受審核的狀況、重要性和受審核的區(qū)域以及上次審核結(jié)果，應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方式，審核員的選擇和審核活動應(yīng)保證審核過程的客觀和公正，審核員不能審核自己的工作。9.3管理評審3.1總則為確保信息安全管理體系持續(xù)運行，具體如下：（1） 管理者代表組織并編制《管理評審程序》，指導(dǎo)管理評審工作的執(zhí)行。（2） 管理評審由最高管理者或其授權(quán)人員組織，每年至少一次。一般晴況下，釆取會議的形式，安排在內(nèi)部審核之后。當(dāng)出現(xiàn)下列情況之一時，應(yīng)及時進行管理評審：＞公司管理體系發(fā)生重大變化。＞國家法律法規(guī)、相關(guān)標(biāo)準(zhǔn)發(fā)生重大變化。＞外審之前。＞其他認(rèn)為需要評審時。（3） 各部門負(fù)責(zé)均需參加管理評審活動，需要時，由總經(jīng)理或其授權(quán)人員決定具體的參加人員。（4） 管理評審會議的決議事項以會議紀(jì)要形式體現(xiàn)，由各相關(guān)部門負(fù)責(zé)配合執(zhí)行,并對執(zhí)行狀況予以跟蹤評估。3.2評審輸入在管理評審時，管理者代表應(yīng)組織各相關(guān)部門提供以下資料，以供評審：a） 以往管理評審的措施的狀態(tài)；b） 與信息安全管理體系相關(guān)的外部和內(nèi)部問題的變更；c） 信息安全績效的反饋，包括下列方面的趨勢：1） 不符合和糾正措施；2） 監(jiān)視和測量結(jié)果；3） 審核結(jié)果；4） 信息安全目標(biāo)的實現(xiàn)；d） 相關(guān)方的反饋；e） 風(fēng)險評估的結(jié)果和風(fēng)險處置計劃的狀態(tài)；f） 持續(xù)改進的機會。3.3評審輸出按照信息安全管理與安全方針和目標(biāo)對上述信息進行全面的討論、評價、分析，管理評審輸出包括以下方面有關(guān)的任何決定和措施：（1） 信息安全管理體系有效性的改進，應(yīng)考慮業(yè)務(wù)需求、安全需求、影響已有業(yè)務(wù)需求的業(yè)務(wù)過程、法律法規(guī)環(huán)境、合同責(zé)任義務(wù)、風(fēng)險以及風(fēng)險接受等級等。（2） 信息安全管理方針和目標(biāo)的修訂。（3） 與相關(guān)方/第三方有關(guān)的改進措施等。（4） 風(fēng)險的等級或可接受風(fēng)險的水平，更新風(fēng)險評估和風(fēng)險評估表等。（5） 業(yè)務(wù)需求的變更。（6） 安全需求的變更。＜7）資源需求以及影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程；（8） 法律法規(guī)的環(huán)境。（9） 改進測量控制措施有效性的方式。（10） 對現(xiàn)有信息安全管理體系的評價結(jié)論以及對現(xiàn)有服務(wù)是否符合要求的評價。以上內(nèi)容的詳細(xì)規(guī)定見《管理評審程序》。公司應(yīng)保留文件記錄作為管理評審結(jié)果的證據(jù)。10改進10.1不符合和糾正措施當(dāng)發(fā)生不符合時，應(yīng)：?對不符合作出反應(yīng)，＞采取措施控制并糾正不符合；＞處理不符合造成的后果；?評價消除不符合原因的措施的需求，通過采取以下措施防止不符合再次發(fā)生或在其他區(qū)域發(fā)生：＞評審不符合；＞確定不符合的原因；＞確定類似不符合是否存在，或可能潛在發(fā)生?實施所需的措施；?評審所采取糾正措施的有效性；?必要時，對體系實施變更。應(yīng)將以下信息形成文件：?不符合的性質(zhì)及隨后釆取的措施?糾正措施的結(jié)果上述要求參見《糾正措施控制程序》。10.2持續(xù)改進通過制定和改進管理方針和管理冃標(biāo)、進行管理評審、進行內(nèi)部/外部審核、落實糾正與預(yù)防措施工作、對信息安全事件和服務(wù)異常事件的監(jiān)控分析等方式開展信息安全管理體系的改進工作，必要時征求所有相關(guān)方對管理體系的意見，從而保證管理體系的持續(xù)有效性和運行效率。關(guān)注客戶的投訴、抱怨、記錄、評估服務(wù)改進建議，制定服務(wù)改進計劃，評估服務(wù)改進情況，確保各項服務(wù)改進措施均已落實執(zhí)行，并實現(xiàn)預(yù)期的目標(biāo)，從而改進完善服務(wù)過程，提升服務(wù)質(zhì)量，提高客戶的滿意度。規(guī)定各部門在持續(xù)改進活動中的角色和職責(zé)，并從服務(wù)過程的所有方面考慮服務(wù)改進要求。計劃通過以下途徑持續(xù)改進信息安全管理的有效性：（1） 通過信息安全管理體系方針的建立與實施，對持續(xù)改進做出正式的承諾。（2） 通過信息安全管理體系目標(biāo)的建立與實施，對持續(xù)改進進行評價。（3） 通過內(nèi)部審核不斷發(fā)現(xiàn)問題，尋找體系改進的機會并予以實施。（4） 通過數(shù)據(jù)分析不斷尋求改進的機會，并做出適當(dāng)?shù)母倪M活動安排。（5） 通過實施糾正和預(yù)防措施實現(xiàn)改進的活動。（6） 監(jiān)控安全事件并對事件進行分析。（7） 確定糾正措施和預(yù)防措施的有效性。（8） 根據(jù)管理評審的結(jié)果尋求改進體系的機會。（9） 根據(jù)客戶滿意度調(diào)査尋求改進體系的機會。支持文件：?《糾正措施控制程序》?《預(yù)防措施控制程序》?《內(nèi)部審核管理程序》10.3糾正措施對于發(fā)現(xiàn)的不合格項，不僅要求資任人要糾正不合格行為，而且為了消除不合格項、與實施和運行信息安全管理體系有關(guān)的原因，人事行政部要求責(zé)任人應(yīng)該制定糾正措施，以便防止不合格的再次發(fā)生。糾正措施的控制應(yīng)該滿足如下要求：（1）識別實施和運行信息安全管理體系的不合格事件。（2） 分析并確定不合格的原因。（3） 評價確保不合格不再發(fā)生的相關(guān)因素。（4） 確定和實施所需的糾正措施。（5） 檢查、驗證糾正措施的結(jié)果。（6） 評審所釆取的糾正措施的有效性。支持文件：?《糾正措施控制程序》?《預(yù)防措施控制程序》?《內(nèi)部審核管理程序》10.4預(yù)防措施在信息安全管理體系運行的過程中，通過日常的過程控制、結(jié)果驗證、體系審核等方式發(fā)現(xiàn)的一些可能影響體系運行的、不受控制將會導(dǎo)致不合格產(chǎn)生的安全事件，應(yīng)該及時采取預(yù)防措施控制事態(tài)的進一步擴大。預(yù)防措施應(yīng)該滿足如下幾方面的要求：（1） 識別潛在的信息安全事件及其原因，并確定。（2） 評價預(yù)防不合格發(fā)生的措施的需求。（3） 確定和實施所需的預(yù)防措施。（4） 評價預(yù)防措施的有效性，并對所采取措施的結(jié)果進行記錄。（5） 識別并控制重大的己變更的防線。支持文件：?《糾正措施控制程序》?《預(yù)防措施控制程序》附錄附錄1-組織簡介附錄附錄1-組織簡介XXX有限公司是一家總部位于中國深圳的全方位IT及解決方案服務(wù)提供商。主要致力于航空領(lǐng)域，提供航空1T產(chǎn)品、IT服務(wù)及解決方案、航空教育的一體化專業(yè)公司。依靠與多家航空領(lǐng)域的企事業(yè)單位建立的良好合作關(guān)系，不斷吸取各方先進技術(shù)與管理經(jīng)驗，打造了一支經(jīng)驗豐富的管理團隊。在堅持高品質(zhì)的產(chǎn)品質(zhì)量、雄厚的技術(shù)力量的支持下，研發(fā)了多項擁有自主知識產(chǎn)權(quán)的產(chǎn)品，同時具備了向市場提供綜合化服務(wù)的實力。我們的服務(wù)：公司一直堅持“滿足客戶的需求就是我們的追求的服務(wù)“宗旨”，我們將以最優(yōu)質(zhì)的服務(wù)為客戶提供全方位的IT服務(wù)，提升客戶的企業(yè)價值，提高客戶的市場競爭力。技術(shù)實力：公司擁有蓬勃向上，充滿朝氣的創(chuàng)業(yè)型領(lǐng)導(dǎo)核心，海外留學(xué)背景，多年IT研發(fā)、管理經(jīng)濟的高層管理團隊；經(jīng)驗豐富的研發(fā)團隊一為客戶提供專業(yè)的1T只是支持。發(fā)展戰(zhàn)略：提供自主研發(fā)的一流軟件和服務(wù)，持續(xù)為客戶創(chuàng)造最大價值核心價值觀公司理念：幫助客戶創(chuàng)造價值，幫助員工實現(xiàn)夢想誠信：最重要的無形資產(chǎn)，是我們贏得客戶信任的基礎(chǔ)專注：建立核心競爭力的關(guān)鍵創(chuàng)新：企業(yè)持續(xù)性發(fā)展的必備基因是我們贏得客戶信任的基礎(chǔ)附錄附錄3-職能分配表附錄2-組織架構(gòu)圖管理單位體系要求信息安全小組總經(jīng)理管理者代表綜合管理部技術(shù)部銷傳部4.組織環(huán)境4.1理解組織及其環(huán)境△▲△△△△4.2理解相關(guān)方的需求和期望△▲△△△△4.3明確信息安全管理體系的范圍△▲▲△△△4.4信息安全管理體系△△▲△△△5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾△▲△△△△5.2方針△▲△△△△5.3組織角色、職責(zé)和權(quán)力△▲△△△△6計劃6.1處置風(fēng)險和機遇▲▲△△△△6.2信息安全目標(biāo)的計劃和實現(xiàn)△▲△△△△7支持7.1資源△▲△△△△7.2能力△△△▲△△7.3意識△△△▲△△7.4溝通▲▲▲△△△7.5文檔要求△△△▲△△8實施8.1運行計劃和控制▲△△△△△8.2信息安全風(fēng)險評估▲△△△△△8.3信息安全風(fēng)險處置▲△△△△△9績效評價9.1監(jiān)視、測雖:、分析和評價▲△△△△△9.2內(nèi)部審核▲△△△△△9.3管理評審△▲△△△△10改進10.1不符合項和糾正措施△▲△△△△10.2持續(xù)改進△▲△△△△A.5信息安全策略A.5.1信息安全管理指導(dǎo)△△▲△△△A.6信息安全組織

A.6.1內(nèi)部組織△▲▲△△△A.6.2移動設(shè)備和遠(yuǎn)程辦公△△△△▲▲A.7人力資源安全A.7.1任用前△△△▲△△A.7.2任用中△△△▲△△A.7.3任用終止和變更△△△▲△△A.8資產(chǎn)管理A.8.1資產(chǎn)的責(zé)任△△△▲▲▲A.8.2信息分類△△△▲△△A.8.3介質(zhì)處理△△△▲▲▲A.9訪問控制A.9.1訪問控制的業(yè)務(wù)需求△△△▲△△A.9.2用戶訪問管理△△△▲△△A.9.3用戶責(zé)任△△△▲△△A.9.4系統(tǒng)和應(yīng)用訪問控制△△△▲△△A.10加密技術(shù)A.10.1加密控制△△△▲△△A.11物理和環(huán)境安全A.11.1安全區(qū)域△△△▲△△A.11.2設(shè)備安全△△△▲△△A.12操作安全A.12.1操作程序及職責(zé)△△△▲△△A.12.2防范惡意軟件△△△▲▲▲A.12.3備份△△△▲▲▲A.12.4日志記錄和監(jiān)控△△△▲△△A.12.5操作軟件的控制△△△▲△△A.12.6技術(shù)脆弱性管理△△△▲△△A.12.7信息系統(tǒng)審計的考慮因素△△△▲△△A.13通信安全A.13.1網(wǎng)絡(luò)安全管理△△▲△△A.13.2信息傳輸△△▲△△A.14系統(tǒng)的獲取、開發(fā)及維護A.14.1信息系統(tǒng)安全需求△△△△▲△A.14.2開發(fā)和支持過程的安全△△△△▲△A.14.3測試數(shù)據(jù)△△△△▲△A.15供應(yīng)商關(guān)系A(chǔ).15.1供應(yīng)商關(guān)系的信息安全△△△▲△△A.15.2供應(yīng)商服務(wù)交付管理△△△▲△△A.16信息安全事件管理A.16.1信息安全事件的管理和改進▲△△△△△A.16.1.1職責(zé)和程序▲△△△△△A.16.1.2報告信息安全事態(tài)▲△△▲▲▲A.16.1.3報告信息安全弱點▲△△▲▲▲A.16.1.4評估和決策信息安全事件▲△△△△△A.16.1.5響應(yīng)信息安全事故▲△△△△△A.16.1.6從信息安全事故中學(xué)習(xí)▲△△△△△A.16.1.7收集證據(jù)▲△△△△△A.17業(yè)務(wù)連續(xù)性管理中的信息安全A.17.1信息安全的連續(xù)性△△△▲△△A.17.2冗余△△△▲△△A.18符合性A.18.1法律和合同規(guī)定的符合性△△△▲△△A.18.2信息安全評審▲△△△△△*注：負(fù)責(zé)部門以“▲”表示;相關(guān)部門以表示。附錄4-信息安全小組成員為確保本公司信息安全管理體系的有效運行，認(rèn)真貫徹信息安全管理方針，特授權(quán)以下人員組成信息安全管理小組。成員名單如下：組長：XXX（總經(jīng)理）執(zhí)行組長：曹飛澎成員：綜合管理部：張小波、銷售部：曹飛澎、技術(shù)部：嚴(yán)玉成。附錄5-服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D服務(wù)器拓?fù)鋱D附錄6-信息安全職責(zé)說明一、 總經(jīng)理1、 負(fù)責(zé)主持制定本公司的信息安全體系方針和目標(biāo)，確保員工貫徹執(zhí)行；2、 制定公司戰(zhàn)略，進行經(jīng)營、營銷、項目管理規(guī)劃，承擔(dān)公司的全面經(jīng)營管理工作，包括人事、行政、財務(wù)、釆購、管理等。3、 確保實現(xiàn)方針和目標(biāo)的相關(guān)資源；4、 任命管理者代表，并授予其相應(yīng)的職責(zé)和權(quán)限；5、 負(fù)貴對本公司組織結(jié)構(gòu)的設(shè)置，規(guī)定各級人員的職責(zé)、權(quán)限，規(guī)定和各部門的職能及其在組織內(nèi)的相互關(guān)系，具體崗位職責(zé)描述，參見相關(guān)《職位說明書》；6、 組織制定項目整體施工組織計劃；根據(jù)項目整體計劃，審定年度、季、月進度計劃,并貫徹執(zhí)行；對直接下屬進行績效考核，對其進行提拔、獎勵、懲處。7、 嚴(yán)格執(zhí)行公司財務(wù)制度，根據(jù)授權(quán)審批公司各項開支，但受董事長監(jiān)督，各項開支在審批后，需報送董事長核準(zhǔn)簽名確認(rèn)；制定公司的資金計劃，資金運作管理，并按授權(quán)進行費用與合同審批二、 管理者代表1、 負(fù)責(zé)體系文件控制，審核信息安全手冊、方針、目標(biāo)；指導(dǎo)各部門負(fù)責(zé)人對相關(guān)文件之使用、保管、收集、整理與歸檔。負(fù)責(zé)對現(xiàn)有體系文件定期評審。2、 審査各部門編制信息安全記錄在案格式，并審批；指導(dǎo)各部門對信心安全記錄之整理和保管。3、 向企業(yè)負(fù)責(zé)人報告信息安全體系運行情況，提出改進建議；制定管理評審計劃、收集并提供管理評審所需之資料，編寫管理評4、 建立文件化的程序，確保認(rèn)證標(biāo)志的妥善保管和使用；5、 建立信息安全體系，符合法律法規(guī)及其它要求，與外部各方聯(lián)絡(luò)。三、 信息安全管理小組1、 直接對信息安全管理代表負(fù)責(zé)，承擔(dān)信息安全管理具體操作以及決策2、 負(fù)責(zé)管理體系建立、實施和日常運行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn),3、 負(fù)責(zé)對ISMS體系進行審核，以有效性和健全性提出內(nèi)審建議：4、 負(fù)責(zé)匯報審計結(jié)果并監(jiān)督整改、改版工作，落實糾正措施和預(yù)防措施；5、 負(fù)責(zé)調(diào)査安全事件，并維護安全事件的記錄報告6、 關(guān)注公司所有法律法規(guī)，行業(yè)主管部門頒發(fā)規(guī)章制度，審核ISMS體系文檔的合規(guī)性。四、 銷售部1、 實施信息安全管理體系有關(guān)的程序文件，針對不合格項判定實施糾正預(yù)防措施；2、 負(fù)責(zé)公司的項目銷售工作，完成公司的項目銷售目標(biāo)；3、 圍繞公司下達的項目銷售目標(biāo)制定策略計劃；d）負(fù)責(zé)維護己有項目用戶的客戶關(guān)系;4、 把握重點客戶關(guān)系，參與銷售談判；f）負(fù)責(zé)與公司業(yè)務(wù)相關(guān)的市場開拓；5、 組織公司技術(shù)部門與用戶進行相關(guān)技術(shù)交流；6、 發(fā)起合同評審，并根據(jù)評審結(jié)果，修訂銷售合同；7、 做好項目前期交流、項目合同簽訂、驗收收款的協(xié)調(diào)工作；8、 配合公司收集相關(guān)銷售信息，并反饋給主管領(lǐng)導(dǎo)；9、 完成公司主管交辦的其他工作五、 技術(shù)部負(fù)責(zé)按照的指派，為客戶提供軟件開發(fā)、軟硬件運維服務(wù)；負(fù)責(zé)按計劃定期巡檢；負(fù)責(zé)公司內(nèi)部1T網(wǎng)絡(luò)環(huán)境、服務(wù)器、交換機的正常運轉(zhuǎn)；負(fù)責(zé)如實向顧客介紹產(chǎn)品、投標(biāo)、與顧客洽談合同和簽訂合同，確保所簽合同規(guī)范、有效和可行；負(fù)責(zé)常規(guī)合同評審，組織有特殊要求合同的評審。參與組織對顧客技術(shù)培訓(xùn)。保持公司信息安全體系文件相關(guān)要素在本部門的貫徹實施，并管理相關(guān)記錄；六、 綜合管理部1、 根據(jù)公司發(fā)展戰(zhàn)略制定用人規(guī)劃、年度招聘計劃、培訓(xùn)需求、績效考核流程及體系、薪酬發(fā)展體系、推廣企業(yè)文化、解決投訴與沖突、組織各類員工活動。2、 根據(jù)公司發(fā)展需要制定日常辦公管理等行政制度、申報公司經(jīng)營相關(guān)資質(zhì)、證件、籌備辦公會議及形成會議紀(jì)要、確保公司1T系統(tǒng)的有效實施和運轉(zhuǎn)（監(jiān)控系統(tǒng)，門禁系統(tǒng)，廣播系統(tǒng)、0A系統(tǒng)、郵箱系統(tǒng)、財務(wù)系統(tǒng)、服務(wù)器、電話交換機、網(wǎng)絡(luò)寬帶等）。3、 培訓(xùn)發(fā)展管理：公司年度培訓(xùn)計劃的制訂與實施以及制訂公司年度教育涪訓(xùn)經(jīng)費的預(yù)算并進行管理和使用。4、 負(fù)責(zé)體系文件的發(fā)放、回收管理。5、 負(fù)責(zé)相關(guān)法律、法規(guī)的識別與收集、合規(guī)性評價、文件控制及記錄控制。6、 負(fù)責(zé)網(wǎng)絡(luò)的訪問管理、機房設(shè)備管理。6、 信息安全事件的調(diào)查及協(xié)助處理。7、 對新供應(yīng)商的開發(fā)、選擇及監(jiān)督；8、 對供應(yīng)商資質(zhì)進行審核及維護。9、 制定供應(yīng)商現(xiàn)場評審表，并參與供應(yīng)商現(xiàn)場評審。10、 負(fù)責(zé)對供應(yīng)商的交貨及時率、配合度交貨進行評估；對外協(xié)產(chǎn)品品質(zhì)問題的處理及改善措施進行監(jiān)督，并提供月度的相關(guān)考核數(shù)據(jù)，參與供應(yīng)商績效評審。11、 負(fù)貴公司合同條款的審核。12、 信息安全事件的調(diào)查及協(xié)助處理。XXX有限公司信息安全告知書TS-ISMS-202X-0101版本：V1.0

（內(nèi)部受控）202X-11-1202X-11-1發(fā)布202X-11-1實施XXX有限公司第第1頁修改履歷版本制訂者修改時間更改內(nèi)容審批人審核意見變更申請單號1.0XXX202X-11-1發(fā)布XXX同意1.0XXX202X-11-1實施XXX同意XXX有限公司文件編號ISMS-A-01信息安全管理手冊文件版本VI.0密級秘密各顧客、供應(yīng)商、承包方和所有相關(guān)方：感謝您對公司一貫支持，為創(chuàng)造一個完善安全的信息溝通和傳遞途徑，共同保障各方信息的安全，公司自202X年11月1日起按照IS027001:2013標(biāo)準(zhǔn)建立并實施信息安全曾理體系，為確保管理體系實施的有效性，需要各相關(guān)方在工作交往及合作中給予大力配合。現(xiàn)將有關(guān)専宜敬告如下：1、本公司特制訂如下信息安全方針和信息安全目標(biāo)：1.1信息安全方針關(guān)注客戶需求，保障信息安全.完善安全措施，改進信息技術(shù).關(guān)注客戶需求，保障信息安全：客戶的安全需求為公司安全建設(shè)的重要輸入，按照標(biāo)準(zhǔn)要求建設(shè)信息安全框架，保障公司整體的信息安全。完善安全措施，改進信息技術(shù)：關(guān)注新的信息安全技術(shù)，不斷獲取新技術(shù)或新產(chǎn)品,改進信息技術(shù)，通過風(fēng)險管理，持續(xù)完善安全措施，并且保證措施的實施效果。1.2信息安全目標(biāo)?顧客保密性抱怨/投訴的次數(shù)不超過1起/年。?受控信息泄St的事態(tài)發(fā)生不超過2起/年。?機密信息泄U的事態(tài)不得發(fā)生。重要信息設(shè)備丟失毎年不超過。起?年度信息安全培訓(xùn)人員覆蓋率100%?大面積內(nèi)網(wǎng)中斷時間每年累計不超過240分鐘?大規(guī)模病毒爆發(fā)每年不超過2次1.3要求本公司信息安全管理體系方針符合以下要求:a） 為信息安全目標(biāo)建立了框架，并為信息安全活動建立整體的方向和原則；b） 識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；c） 與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系；d） 建立了風(fēng)險評價的準(zhǔn)則；e） 經(jīng)總經(jīng)理批準(zhǔn)，并定期評審其適用性、充分性，必要時予以修訂。1.4承諾為實現(xiàn)信息安全管理體系方