信息安全法律法规合规性管理.docVIP

蓝黛科技集团股份有限公司

文件编号

管理文件

页数

物理环境管理办法

版本号

A/0

PAGE

PAGE1/NUMPAGES6

内部公开

信息安全法律法规合规性管理办法

主责部门：质量中心

编制：年月日

审核：年月日

审查：年月日

批准：年月日

实施日期：2024年9月13日

文件编号

版本号

A/0

收发管理号

受控状态（盖章）

有限公司

文件编号

管理文件

页数

信息安全法律法规合规性管理办法

版本号

A/0

第

第PAGE3页共4页

内部公开

有限公司

文件编号

管理文件

页数

第

第PAGE3页共4页

信息安全法律法规合规性管理办法

版本号

A/0

文件版本号

修改内容说明

修改处数

修改人

生效日期

1.目的

为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2.范围

本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3.定义

3.1法律：全国人民代表大会以及全国人民代表大会常务委员会制定的法律。

3.2法规：行政法规与地方性法规。

3.2.1行政法规是由国务院根据宪法和法律制定的规范性文件。

3.2.2地方性法规是省、自治区、直辖市的人民代表大会及其常务委员会根据本行政区域的具体情况和实际需要，在不与宪法、法律、行政法规相抵触的前提下，制定的规范性法律文件。

3.3规章：部门规章与地方政府规章。

3.3.1部门规章是国务院各部、委员会、和具有行政管理职能的直属机构，根据法律和国务院的行政法规、决定、命令，在本部门的权限范围内，制定的规范性法律文件。

3.3.2地方政府规章是省、自治区、直辖市和较大的市的人民政府，根据法律、行政法规和本省、自治区、直辖市的地方性法规，制定的规范性法律文件。

3.4合同：公司与其他公民、法人或其他组织签订并生效的协议。

4.职责

4.1质量中心——负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

4.2各部门——负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

5.工作内容

5.1法律、法规和其他要求的分类：

a)国际性信息安全管理法律、法规和其他要求；

b)国家信息安全管理法律法规及标准规范；

c)地方和行业性信息安全管理规章及标准规范；

d)客户与相关方的信息安全要求。

质量中心制定和管理公司级法律法规清单，并定期或在发生变化时更新,具体清单参见附

属文件：信息安全合规性表。

5.2法律、法规和其他要求的获取、识别途径：

1)上级部门和政府部门下发的、与信息安全管理相关的法律法规；

2)购买或其他渠道获取最新的信息安全相关法律法规书籍；

3)通过互联网查询，登录相关网站并收集相关信息；

4)关注与信息安全相关的政府部门的发文、通知或者公报；

5)与法律合规部门或其他外部权威机构、信息安全法律合规性机构交流。

5.2.1质量中心应组织公司相关成员进行法律法规培训，以充分理解与公司相关的各项信息安全法律法规，保障各项信息安全活动的合法进行。如：

1)质量中心应使员工知晓知识产权相关法律法规并遵照执行，确保购买和使用合法的软

硬件产品，禁止侵权盗版，采取有效措施保护自主知识产权。

2)质量中心应使员工依照相关的法律、法规和合同条款的要求，采取有效措施，严格执行相关密码管理措施，确保数据得到安全保护，保证个人隐私信息不被泄露。

3)质量中心应使员工确保依法使用信息处理设施，禁止非授权使用各类信息系统及设备。

5.3法律法规文件的收集和管理

5.3.1当法律法规有更新或者增加时，质量中心应及时修订信息安全法律法规目录，收集和保存相应的文件，更新本制度附件内容，并通知其它相应部门。

5.3.2质量中心确认所获得的各类法律法规、标准及要求对本单位的适用性，每年度末更新本制度附件内容（信息安全合规性表），并通知其它相应部门。

5.3.3每年度体系管理评审会议之前，质量中心组织对法