XX-2-COM-信息安全合規(guī)性管理辦法

第2頁共9頁文檔編號XX_2_COM_信息安全合規(guī)性管理辦法版本號V1.0密級內(nèi)部公開信息安全合規(guī)性管理辦法XXX信息技術(shù)有限公司文檔信息發(fā)布版本：V1.0最后發(fā)布時間：XX編寫人：XX審核人：XXX文檔編寫目的本文檔的編寫是為了加強對XXX信息技術(shù)有限公司信息安全的合規(guī)性管理，使其服從國家的法律、法規(guī)、行業(yè)監(jiān)管要求，并符合相關(guān)標(biāo)準(zhǔn)以及信息安全策略要求等，以此促進(jìn)XXX整體的合規(guī)性管理。文檔主要內(nèi)容本文檔主要包括了合規(guī)性管理目標(biāo)及原則、組織職責(zé)、法律法規(guī)的合規(guī)性，安全策略與相關(guān)標(biāo)準(zhǔn)以及技術(shù)的符合性，信息系統(tǒng)審計考慮因素等。文檔適用范圍本文檔適用于XXX。版本控制編號修訂人修訂時間版本號修訂內(nèi)容說明123目錄TOC\o"1-2"\h\z\u第一章 總則 3第二章 組織職責(zé) 3第三章 符合性法律、法規(guī)和監(jiān)管要求 4第四章 符合安全策略和標(biāo)準(zhǔn)的要求 7第五章 附則 8第9頁共9頁總則為了加強XXX信息技術(shù)有限公司（以下簡稱“XXX”）信息安全合規(guī)性管理（以下簡稱“合規(guī)性管理”），確保XXX的信息安全工作遵守國家的各項法律、法規(guī)、監(jiān)管部門要求，以及符合XXX信息安全策略、相關(guān)標(biāo)準(zhǔn)等(以下簡稱“法律、法規(guī)和規(guī)范”)的要求，防范由于違規(guī)行為導(dǎo)致的風(fēng)險，結(jié)合XXX實際情況，特制定本文件。組織職責(zé)風(fēng)險委員會對合規(guī)性管理的職責(zé)包括但不限于：確定合規(guī)性管理的基本政策并監(jiān)督實施；為合規(guī)性管理提供所需的相關(guān)資源；聽取信息安全管理小組匯報做出相關(guān)決策；信息安全管理小組對合規(guī)性管理的職責(zé)包括但不限于：及時識別信息安全相關(guān)的法律、法規(guī)和規(guī)范；組織落實合規(guī)性管理決策，定期進(jìn)行信息安全檢查；組織對違規(guī)事件進(jìn)行調(diào)查，重大違規(guī)行為需及時向風(fēng)險委員會匯報；配合監(jiān)管部門的檢查，跟蹤和評估監(jiān)管部門意見與要求的落實情況。信息安全工作小組對合規(guī)性管理的職責(zé)包括但不限于：相關(guān)法律、法規(guī)和規(guī)范的宣介；在信息安全管理小組領(lǐng)導(dǎo)下負(fù)責(zé)具體合規(guī)性管理決策和監(jiān)管要求的落實、定期信息安全檢查、違規(guī)事件調(diào)查等工作。風(fēng)險合規(guī)部負(fù)責(zé)為在合規(guī)性管理工作中法律方面存在的疑義和問題提供專業(yè)的指導(dǎo)和專業(yè)咨詢，負(fù)責(zé)XXX整體合規(guī)性管理工作，對信息安全合規(guī)性管理進(jìn)行總體指導(dǎo)和管理。符合性法律、法規(guī)和監(jiān)管要求需識別以下相關(guān)領(lǐng)域法律、法規(guī)和監(jiān)管要求，包括但不限于：全國人大及人大常委會發(fā)布的法律和法律解釋，國務(wù)院、最高人民法院、最高人民檢察院批準(zhǔn)和頒布的法律、法規(guī)、法律解釋；公安部、工業(yè)和信息產(chǎn)業(yè)部、人民銀行、銀監(jiān)會等國家職能部門批準(zhǔn)和頒布的規(guī)章制度；適用于我國的國際公約、國際條約、商業(yè)慣例和規(guī)范性文件等；不同國家法律要求（海外各分支機(jī)構(gòu)須遵循所在國家和地區(qū)的法律法規(guī)相關(guān)要求）。法律、法規(guī)和監(jiān)管要求的管理需從相關(guān)部門獲取第七條相關(guān)的法律、法規(guī)和監(jiān)管要求，并確定具體適用的條款，將識別出的法律、法規(guī)和監(jiān)管要求登記在《信息安全法律法規(guī)清單》中；當(dāng)法律、法規(guī)和監(jiān)管要求出現(xiàn)修訂、合并、刪減、取消時，需及時獲取最新的版本，更新《信息安全法律法規(guī)清單》，并識別確定具體適用的條款；需通過正式的渠道將識別出來的法律、法規(guī)和監(jiān)管要求向各部門發(fā)布，各部門和人員需及時了解學(xué)習(xí)并落實執(zhí)行；信息安全管理工作小組針對相關(guān)法律、法規(guī)和監(jiān)管要求對XXX信息安全和業(yè)務(wù)的影響和執(zhí)行情況，在每年的ISMS管理評審會議上進(jìn)行報告，并根據(jù)管理評審決議組織落實相關(guān)工作。保護(hù)知識產(chǎn)權(quán)需要保護(hù)的知識產(chǎn)權(quán)包括商標(biāo)、版權(quán)和圖像、文字、音視頻、軟件、信息和專利等其它權(quán)利，包括XXX自有的知識產(chǎn)權(quán)和第三方的知識產(chǎn)權(quán)。對于XXX自有的和第三方知識產(chǎn)權(quán)的保護(hù)，需遵循相關(guān)的國家法律、法規(guī)要求和相關(guān)合同約定。軟件相關(guān)的知識產(chǎn)權(quán)保護(hù)由產(chǎn)品委員會負(fù)責(zé)。對于XXX自有或與合作伙伴共有的軟件知識產(chǎn)權(quán)保護(hù)，可采取的控制措施包括但不限于：保護(hù)源代碼完整、有效，限制對源代碼的訪問防止代碼泄露，對源代碼進(jìn)行數(shù)據(jù)備份；與開發(fā)人員簽訂保密協(xié)議；使用加密工具或加密算法等。對于第三方知識產(chǎn)權(quán)的保護(hù)，可采取的控制措施包括：XXX各部門采購的商用軟件均需由各部門保存、登記，安裝；產(chǎn)品委員會指定專人對外購的軟件進(jìn)行登記，登記到《外購軟件登記表》中，以便及時了解外購軟件許可期限、免費升級等情況；外購軟件的許可證原件、軟件安裝盤原件由專人負(fù)責(zé)保存，保存在安全的、獨立的物理環(huán)境中；指定專人每年制訂并定期更新《授權(quán)軟件清單》，列明允許XXX員工使用的軟件，包括自行開發(fā)的軟件、委外開發(fā)的軟件、外購的商用軟件和免費軟件；《授權(quán)軟件清單》中的軟件安裝包需要定期傳遞給各分支機(jī)構(gòu)使用。保護(hù)有關(guān)記錄信息安全記錄是XXX信息安全管理體系運行、持續(xù)改進(jìn)和合規(guī)性性管理的重要證據(jù)，記錄的管理依照《ISMS文件及記錄管理規(guī)定》、《信息資產(chǎn)管理辦法》進(jìn)行。保護(hù)個人信息和隱私需識別適用的法律、法規(guī)和規(guī)范以及合同條款中對于個人信息和隱私的保護(hù)要求，并按照其規(guī)定執(zhí)行。對于保護(hù)個人信息和隱私需注意以下事項：在信息安全工作中所獲得的含有個人信息或隱私的數(shù)據(jù)，只有經(jīng)過信息安全管理小組授權(quán)人員才能訪問，以用于信息安全事件調(diào)查等工作，且不得用于任何非業(yè)務(wù)或未授權(quán)目的轉(zhuǎn)讓信息；不同國家對于個人信息和隱私保護(hù)的法律要求不盡相同，對于各分支機(jī)構(gòu)需參照所在國家或地區(qū)的要求實施相關(guān)保護(hù)。密碼控制要求為了確保密碼在使用中遵守相關(guān)法律、法規(guī)和規(guī)范，對于密碼控制相關(guān)問題需注意以下事項：僅使用符合國家相關(guān)法律、法規(guī)和規(guī)范中批準(zhǔn)使用的密碼技術(shù)；在把利用密碼技術(shù)加密的信息傳到他國之前，如有需要可向國家密碼管理局征詢我國密碼相關(guān)法律建議。執(zhí)行密碼功能的計算機(jī)硬件和軟件盡可能使用國產(chǎn)、且信譽度高、經(jīng)過專業(yè)機(jī)構(gòu)評測的產(chǎn)品。符合安全策略和標(biāo)準(zhǔn)的要求需定期評審ISMS體系所制定的安全方針、策略、制度以及相關(guān)標(biāo)準(zhǔn)的符合情況?？梢酝ㄟ^定期信息安全檢查和ISMS內(nèi)部審核兩種方式來評審。信息安全檢查由信息安全管理小組組織實施，在實施信息安全檢查過程中需注意以下方面：如需要可使用相關(guān)技術(shù)工具來輔助實施，此工具可生成供后續(xù)解釋的技術(shù)報告；技術(shù)檢查應(yīng)由有能力的、已授權(quán)的專業(yè)人員執(zhí)行，或在他們的監(jiān)督下完成；如果使用滲透測試或脆弱性評估，則應(yīng)格外謹(jǐn)慎，這些活動可能導(dǎo)致系統(tǒng)安全的損害，該項工作可以由針對此目的而專門簽約的獨立專家來完成。ISMS內(nèi)部審核由信息安全部組織實施，具體請參見《信息安全內(nèi)部審核辦法》。在實