信息安全管理手册

JXWY/ISMS/SC-2017山西聚鑫物云电子科技有限公司体系文件信息安全管理手册修订状态：A/0密级等级：受控受控状态：2017年04月25日发布2017年05月01日实施山西聚鑫物云电子科技有限公司发布1山西聚鑫物云电子科技有限公司信息安全管理手册目录0.1发布令..........................................................................................................................................................20.2管理者代表任命书......................................................................................................................................30.3概况..............................................................................................................................................................40.4方针批准令..................................................................................................................................................51目的和适用范围..............................................................................................................................................62引用标准..........................................................................................................................................................83定义和术语......................................................................................................................................................94组织环境........................................................................................................................................................105领导................................................................................................................................................................136策划.................................................................................................................................................................167支持................................................................................................................................................................198运行................................................................................................................................................................229绩效评价........................................................................................................................................................2410改进..............................................................................................................................................................27附录1：组织机构图.........................................................................................................................................28附录2：职能分配表.........................................................................................................................................33附录3：信息安全职责权限.............................................................................................................................34附录4：管理层文件.........................................................................................................................................382山西聚鑫物云电子科技有限公司信息安全管理手册0.1发布令公司信息安全管理手册经公司全体员工的共同努力，依据GB/T22080-2016标准的要求建立，结合本公司实际情况编制而成，用于指导公司信息安全管理工作。信息安全管理手册于2017年0425日发布，自2017年0410日起实施。《信息安全管理手册》的发布，标志着公司从现在起，必须按照信息安全管理体系标准的要求和公司《信息安全管理手册》所描述的规定，不断增强持续满足顾客要求、相关方要求和法律法规要求的能力，全心全意为顾客和相关方提供服务，以确立公司在社会上的良好信誉。《信息安全管理手册》是公司规范内部管理的指导性文件，也是全体员工在对客户的服务过程中必须遵循的行动准则。《信息安全管理手册》一经发布，就是强制性文件，全体员工必须认真学习、切实执行。总经理：王龙2017年04月25日3山西聚鑫物云电子科技有限公司信息安全管理手册0.2管理者代表任命书为贯彻执行GB/T22080-2016《信息技术-安全技术-信息安全管理体系-要求》，加强对信息管理体系运行的领导，特授权：授权吕善雷为公司管理者代表，其主要职责（角色）权限为：1）确保公司信息安全管理体系所需过程得到建立、实施、运行和保持。确保信息安全业务风险得到有效控制。2）向最高管理者报告信息安全管理体系业绩（绩效）和任何改善需求，为最高管理层评审提供依据。3）确保满足顾客和相关方要求、法律法规要求的信息安全意识和信息安全风险意识在公司内得到形成和提高。4）在信息安全管理体系事宜方面负责与外部的联络。授权各部门主管为信息安全管理体系在本部门的责任人，对ISMS要求在本部门的实施负责。本授权书自2017年0425日公司总经理签字之日起生效执行。总经理：王龙2017年04月25日4山西聚鑫物云电子科技有限公司信息安全管理手册0.3概况山西聚鑫物云电子科技有限公司成立于2015年10月，是一家依托互联网信息、物联网技术为企业提供完整智能工厂解决方案的互联网科技有限公司。公司的创始股东上海垚捷网络科技有限公司是国内提供大宗物资领域电子商务解决方案的专业创导和引领者，曾为宝钢、宁钢、邯钢、梅钢等多家国内钢铁巨头进行过钢铁电子商务解决方案的研发设计工作，在软件服务、管理咨询、代运营和电子提单等增值服务领域具有丰富的实践经验。公司的主要服务板块有：大宗物料管控系统、销售管控系统、采购管控系统、智能库存、循环物资系统、在线支付和56用车智慧物流平台。在2015年3月，国务院总理李克强在政府工作报告中提出，制定“互联网+”行动计划，推动移动互联网、云计算、大数据、物联网等与现代制造业结合，促进电子商务、工业互联网和互联网金融健康发展，引导互联网企业拓展国际市场。2016年中央经济工作会议提出五大任务：去产能、去库存、去杠杆、降成本、补短板，把去产能放在第一位，足见当前去产能形势之严峻。聚鑫物云顺应国家政策，本着安全、快捷、综合、高效的服务态度，以“共建、共享、开放、融合”为宗旨，在促进“互联网+”发展的同时，为企业提供智能制造整体解决方案，帮助企业实现化解产能，优化库存，弥补短板，降低成本，资源利用最大化的最终目标，得到政府及业内的高度认可和关注。5山西聚鑫物云电子科技有限公司信息安全管理手册0.4方针批准令本公司的信息安全方针是：数据保密、信息保护、满足要求、控制风险、持续改进、安全作业其含义为：公司全体员工应严格按ISO/IEC27001标准的要求，建立、实施、保持和改进公司信息安全管理体系，不断提升信息安全意识，规范信息生命周期过程的管理，持续识别和控制信息安全的风险，保证公司所有信息的安全。不断加大对信息设备的投入，提升信息技术水平，为公司经营提供高效、便捷、安全的服务，确保总体业务系统持续可靠地运行。总经理：王龙2017年04月25日6山西聚鑫物云电子科技有限公司信息安全管理手册1目的和适用范围1.1目的为了建立、健全本公司信息安全管理体系（简称管理体系），确保本公司的信息安全管理体系能够满足GB/T22080-2016《信息技术-安全技术-信息安全管理体系-要求》和本公司内部管理及客户对信息安全的要求，规范信息安全管理框架，确保全体员工理解并遵照执行信息安全管理体系文件、持续改进信息安全管理体系的有效性，特制定本管理手册。1.2范围公司信息安全管理体系的范围是：与应用软件开发、电子商务支持服务有关的信息安全管理活动物理边界：山西省临汾市曲沃县高显镇西白集村南300米。公司信息安全管理体系的建立应考虑公司内外部环境的变化及相关方的需求和期望（相关方的要求可能包括法律法规的要求以及合同义务）。本《信息安全管理手册》采用了GB/T22080-2016标准正文的全部内容，对附录2的删减及理由如下：序号条款号标题删减理由1.A.10.1.1密码控制本公司在运营过程中无密码学控制过程，故此条款不适用2.A.10.1.2秘钥管理本公司在运营过程