法律法规、相关方要求识别与符合性评估管理程序.doc

1 目的为避免违犯任何法律、法令、法定的或者合同约定的义务，使信息系统的设计、运行、使用和管理置于法令、法规和合同约定的安全要求的约束之下，特制定本程序。2 范围国家和地方法律、法规的相关规定以及与相关方的合同约定的信息安全方面的义务。3 职责3.1 人事行政部负责组织收集与信息安全有关的法律法规并对适用性评价。3.2 运行部负责根据与客户的合同约定确定我方所必需遵守的义务，并保证日常业务的进行处于合同约定的安全要求之下。3.3 录入部应按照国家有关规定对录入的相关方提供的个人信息进行妥善管理与保护。3.4 网络部负责对公司使用的软件定期进行评审，避免盗版软件的下载与安装。3.5 各部门应按照有关法律、法规要求，为重要记录提供适当的保护。4 程序4.1 法律法规、相关方要求的识别与符合性评估4.1.1 法律法规的识别4.1.1.1 人事行政部负责组织收集与信息安全有关的法律法规并对适用性评价，确定其实用范围和具体适用条款，形成适用的法律法规清单，将法律法规一起通过网络传达给有关部门并予以执行。4.1.1.2 法律法规的符合性评估人事行政部负责每半年应对法律法规的有效性进行重新评价，保持适用的法律、法规的有效最新版本。每年对法律法规的符合性进行评价。4.1.2 相关方要求的识别与符合性评估4.1.2.1 客户提出对安全的要求，例如：内网访问限制，数据传输加密等。4.1.2.2 生产经理将根据要求分类，并评估是否此需求需要升级汇报。评估标准是根据是否需要额外的资金投入。如需要，则填单（见附件客户安全需求申请单），上报部门经理和总经理来审批。4.1.2.3 如果不需要，则通知相关部门（例如：录入部，网络部）实施 4.1.2.4 如果公司业务能力不能满足客户的安全需求，则上报总经理来协调。4.2 知识产权本公司严格执行国家有关知识产权方面的法律法规，保证使用合法的正版软件，并通过以下方法进行控制：1) 确定获得合法软件的途径；2) 每年进行一次软件资产清查，确保正在使用的软件已经被适当的授权；3) 保留许可证、手册等拥有者的证明和证件；4) 确保用户数不超过所允许的上限；5) 只允许安装认可的软件和特许的产品；6) 严禁员工私自安装任何软件。4.3 记录的保护4.3.1 各部门应按照有关法律、法规要求和公司的记录控制程序，明确规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪造。4.3.2 数据保护和个人信息隐私对处理与个人数据与信息有关的部门应按照国家法律法规的有关规定及相关方合同的约定，对其个人信息进行妥善管理与保护，防止丢失或泄露个人秘密。4.4 信息安全事件的处理4.4.1 证据的收集4.4.1.1 人事行政部负责发生法律纠纷与诉讼的证据收集，并确保证据收集符合以下要求：1) 所呈证据应符合国家有关的证据法规；2) 符合用于提供可接受证据的任何已发布的标准或法规；3) 对已收集到的证据进行安全的保管，防止未经授权的更改或破坏；4) 收集到的证据符合法庭所要求的形式。4.4.1.2 处理要求1) 第一时间向总经理汇报，必要时启动紧急计划（例如：全员加班，启用备用发电机）2) 提前与前线销售人员沟通好，做到口径统一3) 向受到影响的客户书面道歉；如不能做到书面，也要做到口头道歉4) 确认受到影响的事项的恢复时间，并告知顾客5) 时时给客户更新（例如：每1小时或2小时）5 记录 保存期限5.1 法律