法律法規(guī)及其他要求控制程序制定單位：信息安全部制定日期：2021年11月18日序號(hào)修訂日期修訂條款修訂內(nèi)容12021年11月18日制訂V1.0修訂為/2年月日章條款修訂為3年月日章條款修訂為4年月日章條款修訂為5年月日章條款修訂為6年月日章條款修訂為修訂記錄注：制度的修訂直接于正文完成，“修訂記錄”僅記錄修訂痕跡。法律法規(guī)及其他要求控制程序文件編號(hào)：ISMS-2012第一條范圍適用于公司信息安全管理活動(dòng)中涉及到的國(guó)家、地方的法律、法規(guī)、標(biāo)準(zhǔn)和其它要求的控制。第二條目的用來確定適用于公司運(yùn)作和服務(wù)工作中信息安全方面的法律、法規(guī)以及其它應(yīng)遵守的要求，并建立獲取這些法律、法規(guī)和要求的渠道。第三條職責(zé)（一）各部門負(fù)責(zé)各相關(guān)專業(yè)的法律、法規(guī)和其它要求的收集，定期將收集到的法律、法規(guī)和其它要求交由法律合規(guī)部匯總，并制定法律、法規(guī)和其他制度清單。（二）各部門負(fù)責(zé)將相關(guān)法律、法規(guī)和要求傳達(dá)給各級(jí)員工，以便員工遵照?qǐng)?zhí)行。（三）法律合規(guī)部負(fù)責(zé)獲取、識(shí)別、更新適用于公司信息安全管理體系運(yùn)行的所有法律法規(guī)，發(fā)布信息安全法律法規(guī)清單，對(duì)本程序的實(shí)施情況進(jìn)行組織、監(jiān)督和檢查。負(fù)責(zé)法律法規(guī)的更新以及適用性的確認(rèn)，并傳達(dá)給各部門。第四條程序（一）法律法規(guī)及其他要求的分類1.法律法規(guī)的分類（1）我國(guó)加入的國(guó)際公約；（2）全國(guó)人民代表大會(huì)及其常務(wù)委員會(huì)制定、頒布的法律；（3）國(guó)務(wù)院制定、頒布的行政法規(guī)；（4）國(guó)務(wù)院所屬各部、委頒布的行政規(guī)章和辦法；（5）廣東省人民代表大會(huì)及其常務(wù)委員會(huì)制定、頒布的行政法規(guī)；（6）廣東省政府制定的規(guī)章。2.其他要求的分類（1）國(guó)務(wù)院所屬各部、委發(fā)布的有關(guān)信息安全管理的標(biāo)準(zhǔn)和規(guī)范；（2）國(guó)務(wù)院所屬各部、委以及地方政府發(fā)布的有關(guān)信息安全管理的通知和規(guī)定。（3）行業(yè)部門、協(xié)會(huì)、管理機(jī)構(gòu)等發(fā)布的與公司業(yè)務(wù)范圍有關(guān)的通知和規(guī)定。（4）公司核心業(yè)務(wù)所涉及的信息安全產(chǎn)品方面的法規(guī)、技術(shù)標(biāo)準(zhǔn)和規(guī)范。（5）公司與客戶簽訂的合同。（二）獲取途徑1.從地方政府有關(guān)部門、行業(yè)組織和媒體、客戶等獲取適用于公司的法律、法規(guī)及其它要求。2.各部門定期從互聯(lián)網(wǎng)等不同渠道收集到的信息安全保密的法律、法規(guī)及其它要求，進(jìn)行分類登記，提交法律合規(guī)部錄入法律法規(guī)目錄后，經(jīng)信息安全委員會(huì)批準(zhǔn)后予以公布。（三）識(shí)別法律合規(guī)部應(yīng)將匯總的適用于公司的所有法律法規(guī)及其他要求建立清單并錄入電腦，以備公司相關(guān)部門以及員工通過公司域網(wǎng)查詢。（四）運(yùn)用與更新1.法律合規(guī)部負(fù)責(zé)將法律法規(guī)反映到企業(yè)的目標(biāo)、指標(biāo)中，經(jīng)信息安全委員會(huì)批準(zhǔn)根據(jù)目錄購置適用的法律法規(guī)，并通過公司電子郵件向各部門、各單位宣貫有關(guān)的規(guī)定和要求。2.法律合規(guī)部要跟蹤法律法規(guī)的變化信息。如果法律法規(guī)更新，對(duì)公司的活動(dòng)、產(chǎn)品/服務(wù)體系直接產(chǎn)生影響，應(yīng)及時(shí)調(diào)整數(shù)據(jù)庫，并向信息安全委員會(huì)報(bào)告，機(jī)關(guān)事務(wù)部應(yīng)組織召開會(huì)議，評(píng)估是否需要重新識(shí)別重要信息資產(chǎn)、調(diào)整目標(biāo)，并執(zhí)行《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》，及時(shí)將評(píng)估結(jié)果傳遞給相關(guān)部門。3.法律合規(guī)部定期（一年）制定有效的法律法規(guī)目錄并發(fā)布。4.執(zhí)行《xx有限公司培訓(xùn)管理制度》，利用講解、培訓(xùn)、辦宣傳欄等形式，使員工了解和掌握法律法規(guī)。各部門負(fù)責(zé)人要掌握本部門員工學(xué)習(xí)情況。5.執(zhí)行《xx有限公司檔案管理制度》，對(duì)法律、法規(guī)適用性進(jìn)行確認(rèn)、標(biāo)識(shí)有效文件，并定期發(fā)布作廢、失效的法律法規(guī)及其它要求；對(duì)出于法律和（或）保留信息的需要而留存的失效文件予以標(biāo)識(shí)。6.知識(shí)產(chǎn)權(quán)管理公司嚴(yán)格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版軟件，并通過以下方法進(jìn)行控制：(1)確定獲得合法軟件的途徑；(2)每年進(jìn)行一次軟件資產(chǎn)清查，確保正在使用的軟件已經(jīng)被適當(dāng)?shù)氖跈?quán)；(3)保留許可證、手冊(cè)等擁有者的證明和證件；(4)確保用戶數(shù)不超過所允許的上限；(5)只允許安裝認(rèn)可的軟件和特許的產(chǎn)品；(6)嚴(yán)禁員工私自安裝任何軟件。7.證據(jù)收集當(dāng)公司與其他公司或某個(gè)人（包括內(nèi)部與外部人員）發(fā)生法律糾紛時(shí)，或者發(fā)生信息安全事態(tài)和事件涉及法律時(shí)，涉及法律糾紛的部門應(yīng)立即書面報(bào)告行政部，由法律合規(guī)部會(huì)同該部門進(jìn)行證據(jù)收集，準(zhǔn)備實(shí)施法律訴訟；證據(jù)收集應(yīng)符合以下要求：(1)所呈證據(jù)應(yīng)符合國(guó)家有關(guān)的證據(jù)法規(guī)；(2)符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；(3)對(duì)已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；(4)收集到的證據(jù)符合法律要求的形式。8.法律合規(guī)部每年要針對(duì)公司與信息安全法律法規(guī)遵循情況編寫全公司法律法規(guī)符合性評(píng)估報(bào)告，對(duì)于不符合的情況，責(zé)任部門應(yīng)實(shí)施糾正措施并實(shí)施。（五）合規(guī)性評(píng)價(jià)1.法律合規(guī)部負(fù)責(zé)組織公司的合規(guī)性評(píng)價(jià)活動(dòng)，編制《信息安全法律法規(guī)符合性評(píng)估報(bào)告》。2.有下列情況之一的，須進(jìn)行相關(guān)的合規(guī)性評(píng)價(jià)活動(dòng)原有的法律：(1)法規(guī)發(fā)生變化或者有新的相關(guān)法律法規(guī)出臺(tái)時(shí)；(2)外部環(huán)境標(biāo)準(zhǔn)發(fā)生變化時(shí)；(3)公司內(nèi)部或者周邊工作環(huán)境發(fā)生變化時(shí)；(4)有新的設(shè)備或者設(shè)施投入使用前；(5)一般情況下每年末進(jìn)行相關(guān)的合規(guī)性評(píng)價(jià)工作。3.各部門根據(jù)信息系統(tǒng)日常運(yùn)行及檢測(cè)記錄，對(duì)控制效果、過程的符合性進(jìn)行相應(yīng)評(píng)價(jià)。必要時(shí)需召集相關(guān)人員進(jìn)行評(píng)審，并留下相應(yīng)的評(píng)審記錄。4.公司的《信息安全法律法規(guī)符合性評(píng)估報(bào)告》按照《xx有限公司工作審批制度》報(bào)批，通過后留信息安全部保存。5.文件更新以及評(píng)價(jià)過程相關(guān)記錄的發(fā)放、回收、換版、作廢以及存儲(chǔ)按照《xx有限公司檔案管理制度》執(zhí)行。第五條相關(guān)文件《xx有限公司培訓(xùn)管理制度》《xx有限公司檔案管理制度》第六條記錄記錄名稱保存部門保存期限《信息安全法律法規(guī)符合性評(píng)估報(bào)告》法律合規(guī)部3年表：信息安全法律法規(guī)符合性評(píng)估報(bào)告（示例參考）ISMS-4022序號(hào)名稱主要要求實(shí)施控制措施符合性評(píng)價(jià)1全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定規(guī)定了如何保障互聯(lián)網(wǎng)的運(yùn)行安全和信息安全，保護(hù)個(gè)人、法人和其他組織的合法權(quán)益。建立《信息交換管理程序》，規(guī)定互聯(lián)網(wǎng)使用策略和如何保障互聯(lián)網(wǎng)的運(yùn)行安全和信息安全，保護(hù)個(gè)人、法人和其他組織的合法權(quán)益的要求。符合2中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例規(guī)定了如何保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。建立《辦公計(jì)算機(jī)管理程序》、《信息安全應(yīng)急預(yù)案》、《網(wǎng)絡(luò)安全管理程序》，滿足條例的要求。符合3中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定規(guī)定了從事國(guó)際聯(lián)網(wǎng)業(yè)務(wù)的單位和個(gè)人，應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用國(guó)際聯(lián)網(wǎng)從事危害國(guó)家安全、泄露國(guó)家秘密等違法犯罪活動(dòng)，不得制作、查閱、復(fù)制和傳播妨礙社會(huì)治安的信息和淫穢色情等信息。建立《信息交換管理程序》，規(guī)定員工應(yīng)當(dāng)遵守國(guó)家有關(guān)法律、行政法規(guī)，嚴(yán)格執(zhí)行安全保密制度，不得利用國(guó)際聯(lián)網(wǎng)從事危害國(guó)家安全、泄露國(guó)家秘密等違法犯罪活動(dòng)，不得制作、查閱、復(fù)制和傳播妨礙社會(huì)治安的信息和淫穢色情等信息。符合4中華人民共和國(guó)計(jì)算機(jī)軟件保護(hù)條例規(guī)定了軟件著作權(quán)的確定、許可使用和轉(zhuǎn)讓的要求。建立《辦公計(jì)算機(jī)管理程序》，滿足條例的要求。符合5中華人民共和國(guó)信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例規(guī)定了保護(hù)著作權(quán)人、錄音錄像制作者的信息網(wǎng)絡(luò)傳播權(quán)的要求。建立《辦公計(jì)算機(jī)管理程序》，滿足條例的要求。符合6中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法規(guī)定了任何單位和個(gè)人不得利用國(guó)際聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家秘密，不得侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動(dòng)等。建立《網(wǎng)絡(luò)安全管理程序》，規(guī)定員工不得利用國(guó)際聯(lián)網(wǎng)危害國(guó)家安全、泄露國(guó)家秘密，不得侵犯國(guó)家的、社會(huì)的、集體的利益和公民的合法權(quán)益，不得從事違法犯罪活動(dòng)等，滿足管理辦法的要求。符合7《網(wǎng)絡(luò)安全法》為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。建立了《辦公計(jì)算機(jī)管理程序》、《網(wǎng)絡(luò)安全管理程序》、《信息安全應(yīng)急預(yù)案》等，采用技術(shù)手段對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控，對(duì)突發(fā)的網(wǎng)絡(luò)安全事件，啟動(dòng)《信息安全應(yīng)急預(yù)案》進(jìn)行防御。符合8《數(shù)據(jù)安全法》為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個(gè)