法律法规与符合性评估程序
 

1 目的
为了识别并评价出适用于本公司的与信息安全和业务连续性有关的法律、法规及其他要求,从而为评估信息资产风险等级，制定信息安全和业务连续性方针、控制目标及控制措施并使本公司生产、管理活动能够遵守和符合法律、法规而提供依据，特制定本程序。
2 范围
本程序适用于与本公司信息安全和业务连续性管理体系运行有关的法律、法规的管理。
3 职责
3.1人事行政部负责收集与信息安全和业务连续性管理有关的法律、法规，编写信息安全和业务连续性法律法规对本公司的适用性评价和符合性评估报告。
3.2管理者代表负责法律法规的更新以及适用性的确认，并传达给各部门。
3.3各部门负责执行适用的法律法规。
4 工作内容
4.1 原则：
遵守所有适用的国家、地方及行业内与信息安全和业务连续性有关的法律、法规的要求。
4.2 收集范围
a 国家颁布的刑法、民法、公司法、财务法、知识产权保护法和国务院、部委或行业颁布行政法规等；
b 对本公司重要记录（包括其保存期）实施保护应遵守的相关法律、法规；
c 控制个人数据处理和传输的法律、法规；
d 防止滥用信息处理设施的法律、法规；
e 关于信息设备密码控制的法律、法规。
4.3 法律法规的识别、获取和管理
4.3.1人事行政部通过定期访问相关网络获取国家颁布的与信息安全和业务连续性有关的法律法规及其更新的信息。
4.3.2人事行政部对适用本公司的相关的法律、法规等统一管理并进行分类登记，建立适用的法律法规目录，经管理者代表批准后予以公布。
4.4 法律法规的适用性评价、更新和传达
4.4.1人事行政部对本公司已获取的与信息安全和业务连续性有关的法律、法规做出适用性评价。
4.4.2由人事行政部编写并更新本公司的《法律法规清单》，并通过电子邮件通知各相关部门在公司指定位置获取。
4.4.3人事行政部每年核查一次《法律法规清单》，如有变更，通过电子邮件通知各部门更换新的《法律法规清单》，旧的《法律法规清单》同时由各部门自行作废。
4.4.4各部门结合本部门信息安全和业务连续性管理的实际情况从人事行政部获取适用于本部门的信息安全和业务连续性法律、法规等，并将其相关信息要求传达给本部门的员工及与本部门有关的第三方（包括顾客、承包方、加工方、外来施工方、参观者等）。
4.5 法律法规执行与符合性评估
4.5.1保护知识产权
4.5.1.1系统管理员根据公司软件需求，提出软件采购技术要求，由采购人员实施采购。
4.5.1.2对公司所采购的软件，由系统管理员负责软件版权的审核工作, 各部门应严格执行国家有关知识产权方面的法律法规，保证使用合法的正版软件。 
4.5.1.3公司统一采购的软件（包括购买信息处理设施所附带的软件）所带版权许可、操作手册等拥有者的证明、证件，系统管理员应进行登记，并妥善保管，防止丢失。
4.5.1.4 系统管理员每年对软件的使用情况进行一次检查并核对软件信息资产清单，确保安装使用认可的软件和特许的产品。
4.5.1.5对于本公司自主开发或外包开发的软件的使用权归本公司所有，未经本公司授权不得以任何形式转让给其他公司或人员。
4.5.2组织记录的保护
各部门应按照有关法律、法规要求，明确规定重要记录的保存期限并提供适当的保护，防止丢失、损坏和伪造。
4.5.3数据保护和个人信息保密
对处理与个人数据与信息有关的部门（人事及财务部门）应按照国家有关规定对个人信息（如：人事档案、工资表等）进行妥善管理与保护，防止丢失或泄露个人秘密。
4.5.4防止滥用信息处理设施
本公司所有员工应严格按照信息处理设施的授权范围使用信息处理设施并严格遵守国家关于《计算机信息网络国际联网保密管理规定》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等法规要求，不得利用本公司信息处理设施从事与工作无关的活动和各种违法犯罪活动。
4.5.5人事行政部每年要针对本公司与信息安全和业务连续性法律法规遵循情况填写公司《法律法规符合性评估表》，对于不符合的情况，责任部门应实施纠正措施并实施。
4.5.6密码控制措施的规则
1)公司使用密码控制措施宜遵从相关的协议、法律和法规。
4.6 符合安全策略和标准以及技术符合性
4.6.1 符合安全策略和标准
管理人员通过内部审核活动，确保在其职责范围内的所有安全规程被正确地执行，以确保符合安全策略及标准，内部审核的要求，见《内部审核控制程序》。
4.6.2 技术符合性核查
每半年系统管理员利用漏洞扫描工具，对服务器、网络设备及各系统进行安全扫描，根据扫描结果，进行相应的安全加固。执行漏洞扫描前，必须升级漏洞库。
4.7 信息系统审计的考虑事项
1)涉及对运行系统核查的审计要求和活动，宜谨慎地加以规划并取得批准，以便最小化造成业务过程中断的风险。
2)对于信息系统审计工具的访问宜加以保护，以防止任何可能的滥用或损害。
5 相关记录
 《法律法规清单》
 《法律法规符合性评估表》