XX-2-COM-信息安全合规性管理办法

第2页共9页文档编号XX_2_COM_信息安全合规性管理办法版本号V1.0密级内部公开信息安全合规性管理办法XXX信息技术有限公司文档信息发布版本：V1.0最后发布时间：XX编写人：XX审核人：XXX文档编写目的本文档的编写是为了加强对XXX信息技术有限公司信息安全的合规性管理，使其服从国家的法律、法规、行业监管要求，并符合相关标准以及信息安全策略要求等，以此促进XXX整体的合规性管理。文档主要内容本文档主要包括了合规性管理目标及原则、组织职责、法律法规的合规性，安全策略与相关标准以及技术的符合性，信息系统审计考虑因素等。文档适用范围本文档适用于XXX。版本控制编号修订人修订时间版本号修订内容说明123目录TOC\o"1-2"\h\z\u第一章 总则 3第二章 组织职责 3第三章 符合性法律、法规和监管要求 4第四章 符合安全策略和标准的要求 7第五章 附则 8第9页共9页总则为了加强XXX信息技术有限公司（以下简称“XXX”）信息安全合规性管理（以下简称“合规性管理”），确保XXX的信息安全工作遵守国家的各项法律、法规、监管部门要求，以及符合XXX信息安全策略、相关标准等(以下简称“法律、法规和规范”)的要求，防范由于违规行为导致的风险，结合XXX实际情况，特制定本文件。组织职责风险委员会对合规性管理的职责包括但不限于：确定合规性管理的基本政策并监督实施；为合规性管理提供所需的相关资源；听取信息安全管理小组汇报做出相关决策；信息安全管理小组对合规性管理的职责包括但不限于：及时识别信息安全相关的法律、法规和规范；组织落实合规性管理决策，定期进行信息安全检查；组织对违规事件进行调查，重大违规行为需及时向风险委员会汇报；配合监管部门的检查，跟踪和评估监管部门意见与要求的落实情况。信息安全工作小组对合规性管理的职责包括但不限于：相关法律、法规和规范的宣介；在信息安全管理小组领导下负责具体合规性管理决策和监管要求的落实、定期信息安全检查、违规事件调查等工作。风险合规部负责为在合规性管理工作中法律方面存在的疑义和问题提供专业的指导和专业咨询，负责XXX整体合规性管理工作，对信息安全合规性管理进行总体指导和管理。符合性法律、法规和监管要求需识别以下相关领域法律、法规和监管要求，包括但不限于：全国人大及人大常委会发布的法律和法律解释，国务院、最高人民法院、最高人民检察院批准和颁布的法律、法规、法律解释；公安部、工业和信息产业部、人民银行、银监会等国家职能部门批准和颁布的规章制度；适用于我国的国际公约、国际条约、商业惯例和规范性文件等；不同国家法律要求（海外各分支机构须遵循所在国家和地区的法律法规相关要求）。法律、法规和监管要求的管理需从相关部门获取第七条相关的法律、法规和监管要求，并确定具体适用的条款，将识别出的法律、法规和监管要求登记在《信息安全法律法规清单》中；当法律、法规和监管要求出现修订、合并、删减、取消时，需及时获取最新的版本，更新《信息安全法律法规清单》，并识别确定具体适用的条款；需通过正式的渠道将识别出来的法律、法规和监管要求向各部门发布，各部门和人员需及时了解学习并落实执行；信息安全管理工作小组针对相关法律、法规和监管要求对XXX信息安全和业务的影响和执行情况，在每年的ISMS管理评审会议上进行报告，并根据管理评审决议组织落实相关工作。保护知识产权需要保护的知识产权包括商标、版权和图像、文字、音视频、软件、信息和专利等其它权利，包括XXX自有的知识产权和第三方的知识产权。对于XXX自有的和第三方知识产权的保护，需遵循相关的国家法律、法规要求和相关合同约定。软件相关的知识产权保护由产品委员会负责。对于XXX自有或与合作伙伴共有的软件知识产权保护，可采取的控制措施包括但不限于：保护源代码完整、有效，限制对源代码的访问防止代码泄露，对源代码进行数据备份；与开发人员签订保密协议；使用加密工具或加密算法等。对于第三方知识产权的保护，可采取的控制措施包括：XXX各部门采购的商用软件均需由各部门保存、登记，安装；产品委员会指定专人对外购的软件进行登记，登记到《外购软件登记表》中，以便及时了解外购软件许可期限、免费升级等情况；外购软件的许可证原件、软件安装盘原件由专人负责保存，保存在安全的、独立的物理环境中；指定专人每年制订并定期更新《授权软件清单》，列明允许XXX员工使用的软件，包括自行开发的软件、委外开发的软件、外购的商用软件和免费软件；《授权软件清单》中的软件安装包需要定期传递给各分支机构使用。保护有关记录信息安全记录是XXX信息安全管理体系运行、持续改进和合规性性管理的重要证据，记录的管理依照《ISMS文件及记录管理规定》、《信息资产管理办法》进行。保护个人信息和隐私需识别适用的法律、法规和规范以及合同条款中对于个人信息和隐私的保护要求，并按照其规定执行。对于保护个人信息和隐私需注意以下事项：在信息安全工作中所获得的含有个人信息或隐私的数据，只有经过信息安全管理小组授权人员才能访问，以用于信息安全事件调查等工作，且不得用于任何非业务或未授权目的转让信息；不同国家对于个人信息和隐私保护的法律要求不尽相同，对于各分支机构需参照所在国家或地区的要求实施相关保护。密码控制要求为了确保密码在使用中遵守相关法律、法规和规范，对于密码控制相关问题需注意以下事项：仅使用符合国家相关法律、法规和规范中批准使用的密码技术；在把利用密码技术加密的信息传到他国之前，如有需要可向国家密码管理局征询我国密码相关法律建议。执行密码功能的计算机硬件和软件尽可能使用国产、且信誉度高、经过专业机构评测的产品。符合安全策略和标准的要求需定期评审ISMS体系所制定的安全方针、策略、制度以及相关标准的符合情况。可以通过定期信息安全检查和ISMS内部审核两种方式来评审。信息安全检查由信息安全管理小组组织实施，在实施信息安全检查过程中需注意以下方面：如需要可使用相关技术工具来辅助实施，此工具可生成供后续解释的技术报告；技术检查应由有能力的、已授权的专业人员执行，或在他们的监督下完成；如果使用渗透测试或脆弱性评估，则应格外谨慎，这些活动可能导致系统安全的损害，该项工作可以由针对此目的而专门签约的独立专家来完成。ISMS内部审核由信息安全部组织实施，具体请参见《信息安全内部审核办法》。在实