XX公司法律法规、相关方要求识别与符合性评估管理程序.docVIP

版本：A 编号：ISMSP-15-A 第 PAGE 2 页 共 NUMPAGES 4 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX法律法规、相关方要求识别与符合性评估管理程序 文件编号 ISMSP-15-A 1 目的 为避免违犯任何法律、法令、法定的或者合同约定的义务，使信息系统的设计、运行、使用和管理置于法令、法规和合同约定的安全要求的约束之下，特制定本程序。 2 范围 国家和地方法律、法规的相关规定以及与相关方的合同约定的信息安全方面的义务。 3 职责 1） 人力资源部（总经办）负责组织收集与信息安全有关的法律法规并做适用性评价。 2）软件服务部负责根据与客户的合同约定确定我方所必需遵守的义务，并保证日常业务的进行处于合同约定的安全要求之下。 3）软件服务部负责对公司使用的软件定期进行评审，避免盗版软件的下载与安装。 4）各部门应按照有关法律、法规要求，为重要记录提供适当的保护。 4定义 无 5程序 5.1 法律法规、相关方要求的识别与符合性评估 5.1.1 法律法规的识别 5.1.1.1人力资源部（总经办）负责组织收集与信息安全有关做法律法规并做适用性评价，确定其适用范围和具体适用条款，形成适用的法律法规清单，将法律法规一起通过网络传达给有关部门并予以执行。 5.1.1.2 法律法规的符合性评估 人力资源部（总经办）负责每半年应对法律法规的有效性进行重新评价，保持适用的法律、法规的有效最新版本。每年对法律法规的符合性进行评价。 5.1.2 相关方要求的识别与符合性评估 5.1.2.1 客户提出对安全的要求，例如：数据传输加密等。 5.1.2.2软件服务部负责人将根据要求分类，并评估是否此需求需要升级汇报。评估标准是根据是否需要额外的资金投入。如需要，则填单（见附件‘客户安全需求申请单’），上报部门负责人和总经理审批，如果不需要，则通知相关部门实施 。 5.1.2.3如果公司业务能力不能满足客户的安全需求，则上报总经理对其进行协调。 5.2 知识产权 本公司严格执行国家有关知识产权方面的法律法规，保证使用合法的正版软件，并通过以下方法进行控制： 1) 确定获得合法软件的途径； 2) 每年进行一次软件资产清查，确保正在使用的软件已经被适当的授权； 3) 保留许可证、手册等拥有者的证明和证件； 4) 确保用户数不超过所允许的上限； 5) 只允许安装认可的软件和特许的产品； 6) 严禁员工私自安装任何软件。 5. 3记录的保护 5.3.1 各部门应按照有关法律、法规要求和公司的《XX记录控制程序》，明确规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪造。 5.3.2数据保护和个人信息隐私 对处理与个人数据有关的信息应按照国家法律法规的有关规定及相关方合同的约定，对其个人信息进行妥善管理与保护，防止丢失或泄露个人秘密。 5.4 信息安全事件的处理 5.4.1证据的收集 5.4.1.1人力资源部（总经办）负责法律纠纷与诉讼的证据收集，并确保证据收集符合以下要求： 1) 所呈证据应符合国家有关的证据法规； 2) 符合用于提供可接受证据的任何已发布的标准或法规； 3) 对已收集到的证据进行安全的保管，防止未经授权的更改或破坏； 4) 收集到的证据符合法庭所要求的形式。 5.4.1.2 处理要求 1)第一时间向总经理汇报，必要时启动紧急计划（例如：全员加班，协调托管方启用备用发电机等）。 2)提前与销售、技术支持人员沟通好，做到口径统一。 3)向受到影响的客户书面道歉；如不能做到书面，也要做到口头道歉。 4)确认受到影响的事项的恢复时间，并告知顾客。 5)时时给客户更新（例如：每1小时或2小时）。 6 相关文件 《XX计算机使用管理规定》 《XX记录控制程序》 《XX法律法规清单》 7 记录 记录名称 保存期限 《客户安全需求申请单》 2年 8变更履历 序号 条款号 更改内容 更改通知单号 更改人/日期 批准人/日期 附加说明： 本程序文件编制人： 日期： 本程序文件审核人： 日期： 本程序文件批准人： 日期：  9 附件 客户安全需求申请单 客户 项目名 客户服务部经理 软件部经理 需求内容 资金预算 开始时间 效果评估 申请人： 批准人： 日期：