信息安全合规性评价控制程序

1.目的

对公司信息安全管理遵守法律法规情况进行定期评价，确保公司信息安全管理活动符合法律法规要求。

2.适用范围

适用于公司定期对法律法规执行情况评价的控制。

3.职责

3.1.管理者代表负责审批公司《合规性评价报告》。

3.2.信息安全管理部负责编制公司《年度合规性评价实施计划》、《合规性评价报告》；负责整改中重

大问题的协调和对整改措施进行监督检查；负责各部门执行合规性评价工作的具体组织和协调；

负责各执行部门整改情况的监督检查工作。

3.3.各执行部门负责本部门所涉及的法律法规执行情况的评价和本部门《合规性评价报告》的编制

及整改措施的实施。

4.程序内容

4.1.合规性评价策划

4.1.1.合规性评价通常应在管理评审之前进行，评价结果可作为管理评审的输入之一。如遇到相关

方投诉或法律法规的修改，应进行对应法律法规的评价。

4.1.2.信息安全管理部负责编制《年度合规性评价实施计划》，经管理者代表审批后实施。

4.2.合规性评价实施

4.2.1.各执行部门按《年度合规性评价实施计划》的安排，收集相关资料，包括：《公司信息安全

适用的法律法规、标准和其他要求清单》、《不合格报告》、、《事故（事件）报告》等，组织评价。

1）对安全风险对应的法律法规、标准和其他要求应逐条具体评价，形成部门《合规性评价报告》。

2）对其他适用的法律法规、标准和其他要求应分别按进行总体评价，包括对其增减等需求进行评价，形成部门《合规性评价报告》。

4.2.2.如遇相关方投诉或法律法规的修改，应对照相应的法律法规进行评价。

4.2.3.信息安全管理部组织有关人员，通过听汇报、查资料和现场检查等方式，对各部门法律法规

执行情况进行审核，在收集整理各部门《合规性评价报告》和相关资料的基础上，形成公司《合规性评价报告》报管理者代表批准。

4.2.4.合规性评价报告应包括：

1）对重大信息安全风险对应的法律法规、标准和其它要求的符合评价，包括改进措施的制定。

2）遵守法律法规情况的评价，包括管理方针、承诺和管理目标执行情况；

3）改进的需求；

4）资源的需求；

5）对偏离管理目标、指标，尤其是偏离法律法规（含强制性标准）的情况，提出纠正和预防措施要求等。

4.3.改进、纠正和预防措施的实施和跟踪验证

4.3.1.各责任部门在《合规性评价报告》中，应针对纠正和预防措施要求，对偏离法律法规要求部

分，组织分析原因，制定纠正和预防措施并实施。

4.3.2.信息安全管理部组织对纠正和预防措施的有效性进行跟踪验证，执行《不符合、纠正与预防

措施控制程序》。

4.4．合规性评价结果，可作为管理评审的输入之一，执行《管理评审控制程序》。

4.5. 合规性评价的记录，由信息安全管理部及各有关部门负责保存。

5.支持文件

5.1.《记录控制程序》

5.2.《管理评审控制程序》

5.3.《不符合、纠正与预防措施控制程序》