0106-信息安全合规性管理程序

信息安全合规性管理程序

1 目的

为确保公司信息安全活动符合信息安全管理法律法规的要求及对确保公司信息安全方针和程序的有效实施而进行的信息安全检查进行管理，特制定本程序。

2 范围

适用于公司对信息安全法律法规要求的识别和信息安全检查的管理。

3 职责

3.1综合部

负责组织对法律法规及其他要求的识别及合规性进行评审并组织对信息安全方面的定期检查管理。

3.2相关部门

配合行政部对相关法律法规的识别及合规性评审和信息安全检查工作。

4 程序

4.1 信息安全法律法规的识别

4.1.1 法律法规的识别和获取

4.1.1.1 行政部负责获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。

4.1.1.2 客户和社会公众的信息安全要求，由开发及销售部门依据工作情况采集并报行政部统一管理。

4.1.1.3 行政部对收集到的法律法规进行识别，确定适合本公司的法律法规,编制《信息安全法律法规清单》，识别工作一般一年不少于两次。

4.1.2 信息安全法律法规的文本控制

4.1.2.1 行政部获取信息安全管理法律、法规和其他要求文本后，应补充到《信息安全法律法规清单》中。

4.1.2.2 相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向行政部进行反馈,由行政部补充到《信息安全法律法规清单》。

4.1.2.3 行政部获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。

4.1.3 法律、法规的实施与更新管理

4.1.3.1 公司信息安全管理委员会负责对信息安全法律法规清单进行合规性评审，由行

政部制定为了满足这些要求的控制措施和职责，建立《信息安全法律法规要求实施控制一览表》。

4.1.3.2 行政部定期与政府相关部门进行沟通,向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充，以保持对法律法规及其他要求的及时跟踪，获取最新的法律法规和其他要求文件。

4.1.3.3 当法律、法规和其他要求更新或增加时，行政部应及时进行识别、并修正和补充《信息安全法律法规清单》，并及时采购最新版本。

4.1.3.4 对过期或作废的法律法规和其他要求文件，行政部应及时收回，并按《文件管理程序》的要求进行管理。

4.1.3.5 公司至少每年组织一次对《信息安全法律法规清单》及其他要求履行情况的合规性评审，形成最新的《信息安全法律法规实施控制一览表》，必要时更新《信息安全法律法规清单》。

4.2 知识产权

4.2.1 公司尊重知识产权，按法律、法规和合同约定保护知识产权，公司的知识产权控制策略是：

a. 公司从正当渠道获取各类软件、专利或专有技术，以保证其合法版权和产权不受侵害；

b. 公司保留各类软件和技术的所有权证书、母盘、手册等证明和证据；

c. 公司员工应遵守从公众网络获得软件和信息时的其限制条款规定；

d. 法律、法规和合同约定的要求有限制内容的，公司员工除非得到版权的许可，否则不得复制、转换到另一种格式以提取文件内容,不得整体或部分的复制书、文章、报告和其他文档。

4.2.2 公司在软件项目开发、实施过程中，应按照合同规定进行知识产权保护。

4.2.3 公司开发的软件产品在对外合作、转让或使用时应明确使用权限和限制内容。

4.3组织记录的保护

4.3.1 记录根据不同的类型进行妥善保存，书面文档记录的保存见《记录管理程序》，电子文档记录的保护见《数据安全管理程序》。

4.3.2 相关部门应妥善保管重要记录，以满足法律法规、合同或业务的要求。

4.4 数据保护和个人信息的隐私

4.4.1数据保护和隐私策略：

个人档案信息为公司秘密信息，由行政部妥善保管，凡涉及个人档案信息的数据不得通过网络传递，未经本人同意，除非法律规定，公司不向任何单位提供个人档案信息。

4.4.2 该策略应通知到涉及私人信息处理的所有人员。

4.5 防止信息处理设施的滥用

4.5.1 信息处理设施的使用授权按《信息处理设施管理程序》进行，其他人员（包括外部人员）使用信息处理设施的应经批准。任何未经授权使用信息处理设施，均为信息处理设施的滥用。

4.5.2 所有用户应知道允许其访问的准确范围，任何越权的访问均为信息处理设施的滥用。

4.5.3任何出于非业务目的使用信息处理设施，均为信息处理设施的滥用。

4.5.4任何信息处理设施的滥用一经发现，按《信息安全惩戒管理程序》进行处罚。4.6密码控制措施的规则

4.6.1 公司根据业务要求确定是否使用商用密码产品，商用密码产品的使用按《数据安全管理程序》进行。

4.6.2 应使用经国家密码管理机构认可的商用密码产品。

4.6.3生成密码的密钥由网络行政部负责保存，要防范密钥非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。

4.6.4任何员工不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。

4.7 信息安全检查

4.7.1行政部负责组织信息安全的检查，信息安全的检查每六个月进行一次，检查应形成《信息安全检查记录》。

4.7.2信息安全的检查内容至少包括但不限于：

a) 公司信息安全的方针策略、程序、制度执行情况；

b) 公司人力资源安全管理情况；

c) 公司安全区域管理情况；

d) 公司涉密文件管理情况；

e) 公司知识产权保护情况；

f) 公司信息系统安全情况；

g) 公司相关方管理和第三方服务管理情况；

h) 信息安全的事件管理情况。

4.7.3 在检查过程中，检查人员不得越权访问涉密信息，必要时，应经过该信息的主管领导批准，以防止由于检查带来的信息安全风险。

4.7.4 对检查发现的问题和薄弱点，检查人员应现场通知被检查部门的负责人，被检查