深圳广州东莞佛山ISO27000信息安全管理体系认证之法律法规识别获取控制程序
(依据ISO27001标准)
文件编号: SK-QP-22
版 本 号: A/0
制定日期: 2022年8月1日
2022年8月1日发布 2022年8月1日实施
※ ※ ※ ※ ※ ※ 修 订 履 历 ※ ※ ※ ※ ※ ※
为了加强公司在信息安全相关法律、法规的识别、获取及控制,增强全体人员法律意识,提高公司整体的安全水平,特制定本管理规定。
2. 范围
本程序适用于本公司的管理体系覆盖的所有部门。
3. 职责与权限
3.1 人事行政部
a) 负责收集国家颁布的与信息安全有关的法律、法规、标准及其他要求,建立获取这些资料的有效途径,评估所收集资料的适宜性、有效性和充分性,并负责将这些信息传达给员工和其他有关的相关方;
b) 负责汇总本公司各部门收集的与信息安全有关的法律、法规及其他要求;
c) 负责编制本公司信息安全管理体系“适用的法律、法规清单”,确定适用部门,监督各部门对相关法律、法规及其他要求的执行情况;
d) 负责及时更新本公司有关的法律、法规的信息,确保获得这些信息版本的有效性;
e) 负责定期评审有关职能部门对相关法律、法规的执行情况。
3.2 其他部门
负责收集适用的与信息安全有关的法律、法规,并将相关资料报送人事行政部,负责将信息传达给本部门员工。
4. 相关文件
a) 《人力资源安全管理程序》
5. 术语定义
无
6. 控制程序
6.1 法律、法规的获取
6.1.1 获取内容
a) 法律:与信息安全有关的国家法律及国家参加的国际公约;
b) 法规:国务院和省人民代表大会及其常委会颁布的有关信息安全的条例和细则;
c) 规章:国务院、各部、委、局、省、行业、地方颁布的规章;
d) 标准:国家、地方、行业颁布的有关信息安全的标准;
e) 其他要求:各级政府、行业有关信息安全的规范性文件、要求、通知等。
6.1.2 获取途径
6.1.2.1国家、省、地方及主管部门的法律、法规、规章、标准及其他要求由各职能部门按各自对口关系随时从上级单位及劳动和社会保障局、卫生局、环保局、技术监督局、安全监督局、公安局等上级有关部门获取。
6.1.2.2从专业报刊、公共出版物、网络等各种媒体和渠道获取法律、法规、标准及其他要求,并做好记录。
6.2 法律、法规的识别
6.2.1 人事行政部根据本公司的实际情况及上级部门、顾客的要求,每年对与信息安全有关的法律法规的符合性进行识别。
6.2.2 人事行政部根据本公司信息安全管理的特点和相关要求,确认除法律、法规以外的与信息安全相关的其他要求的适用性和有效性。
6.2.3 各相关部门将收集的法律、法规和其它要求进行确认,报人事行政部汇总。
6.2.4 人事行政部对收集到的各类法律、法规和其它要求进行复审后,填写“适用的法律、法规清单”,报公司领导审批。并将批准后的“适用的法律、法规清单”发至相关部门并存档。
6.3 传达与培训
6.3.1 人事行政部将适用的法律、法规和其他要求发放到相关各部门。
6.3.2 各部门将本部门适用的法律法规和其他要求传达至员工,并按《人力资源安全管理程序》对本部门员工进行培训。
6.4 信息更新与评审
6.4.1 人事行政部依据法律、法规、标准及其他要求的变化,按照本程序5.2条款的要求及时获取、更新。
6.4.2 人事行政部每年更新一次“适用的法律、法规清单”,对过期作废的法律、法规和其他要求执行《文件和记录控制程序》。
6.5 改进和验证
人事行政部每年组织公司领导、各部门及员工代表评审本企业各相关部门对法律、法规及其他要求的执行情况,发现不符合的按《纠正预防控制程序》执行。
7 附件、记录
7.1 《适用的法律法规清单》
深圳广州东莞佛山ISO27000信息安全管理体系认证