35信息安全合规性管理程序.docx

1 .目的为确保公司信息安全活动符合信息安全管理法律法规的要求及确保公司信息安全方针和程序的有效实施，特制定本程序。2 .适用范围适用于公司对信息安全法律法规要求的识别和信息安全检查的管理。3 .职责3.1 信息安全小组负责组织对法律法规及其他要求的识别及合规性进行评审并组织对信息安全方面的定期检查管理。3.2 各部门配合信息安全小组对相关法律法规的识别及合规性评审和信息安全检查工作。当目标不能达标时，进行原因分析并提出改进建议。4 .程序4. 1信息安全法律法规的识别4.1.1 法律法规的识别和获取D信息安全管理委员会负责获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书饰、报刊杂志、书店、相关方等渠道进行补充。2）客户和社会公众的信息安全要求，由各部门依据工作情况采集并报信息安全管理委员会统一管理。4. 3）信息安全管理委员会对收集到的法律法规进行识别，确定适合本公司的法律法规,编制信息安全法律法规清单，识别工作一般一年不少于一次。5. 1.2信息安全法律法规的文本控制D信息安全管理委员会获取信息安全管理法律、法规和其他要求文本后,应补充到信息安全法律法规清单中。2）相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向信息安全管理委员会进行反馈，由信息安全管理委员会补充到信息安全法律法规清单。3）信息安全管理委员会获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。5.1. 3法律、法规的实施与更新管理D信息安全管理委员会负责对信息安全法律法规清单进行合规性评审，并制定为了满足这些要求的控制措施和职责。2）信息安全管理委员会定期与政府相关部门进行沟通，向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充，以保持对法律法规及其他要求的及时跟踪，获取最新的法律法规和其他要求文件。3）当法律、法规和其他要求更新或增加时，信息安全管理委员会应及时进行识别、并修正和补充信息安全法律法规清单，并及时采购最新版本。4）对过期或作废的法律法规和其他要求文件，信息安全管理委员会应及时收回，并按文件控制程序的要求进行管理。5）公司至少每年组织一次对信息安全法律法规清单及其他要求履行情况的合规性评审，形成最新的信息安全法律法规清单。4.2知识产权4.2.1公司尊重知识产权，按法律、法规和合同约定保护知识产权，公司的知识产权控制策略是：a.公司从正当渠道获取各类软件、专利或专有技术，以保证其合法版权和产权不受侵害；b.公司保留各类软件和技术的所有权证书、母盘、手册等证明和证据；c.公司员工应遵守从公众网络获得软件和信息时的其限制条款规定；d.法律、法规和合同约定的要求有限制内容的，公司员工除非得到版权的许可，否则不得更制、转换到另一种格式以提取文件内容,不得整体或部分的更制书、文章、报告和其他文档。4.2.2公司在物业服务项目开发、实施过程中，应按照合同规定进行知识产权保护。4. 2.3公司物业服务在对外合作、使用时应明确使用权限和限制内容。4.3记录的保护4.3.1记录根据不同的类型进行妥善保存，书面文档、电子文档记录的保存见记录控制程序。4. 3.2各部门应妥善保护重要记录，以满足法律法规、合同或业务的要求。4.4数据保护和个人信息的隐私4.4.1数据保护和隐私策略：个人档案信息为公司秘密信息，由人力资源部妥善保管，凡涉及个人档案信息的数据不得通过网络传递，未经本人同意，除非法律规定，公司不向任何单位提供个人档案信息。4.4.2该策略应通知到涉及私人信息处理的所有人员。4.5防止信息处理设施的滥用4.5.1信息处理设施的使用授权按授权范围进行，其他人员（包括外部人员）使用信息处理设施的应经批准。任何未经授权使用信息处理设施，均为信息处理设施的滥用。4.5.2所有用户应知道允许其访问的准确范围，任何越权的访问均为信息处理设施的滥用。4.5.3任何出于非业务目的使用信息处理设施，均为信息处理设施的滥用O4. 5.4任何信息处理设施的滥用一经发现，按信息安全事件处理程序进行处罚。4.6密码控制措施的规则4.6.1公司根据业务要求确定是否使用商用密码产品，商用密码产品的使用按相关要求进行。4.6.2应使用经国家密码管理机构认可的商用密码产品。4.6.3生成密码的密钥由综合部负责保存，要防范密钥非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。4.6.4任何员工不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动的要求。4.7信息安全检查4.7.1信息安全管理委员会负责组织信息安全的检查，信息安全的检查每月进行一次，检查应形成信息安全检查表。4.7.2信息安全的检查内容至少包括但不限于：a）公司信息安全的方针策略、程序、制度执行情况；b）公司人力资源安全管理情况；c）公司安全区域管理情况；d）公司涉密文件管理情况；e）公司知识产权保护情况；f）公司信息系统安全情况；g）公司相关方管理和第三方服务管理情况；h）信息安全的事件管理情况。4.7.3在检查过程中，检查人员不得越权访问涉密信息，必要时，应经总经理批准，以防止由于检查带来的信息安全风险。4.7.4对检查发现的问题和薄弱点，检查人员应现场通知被检查部门的负责人，被检查部门的负责人应立即组织纠正。4.7.5对检查发现的安全薄弱点，检查人员除进行记录上报外，有义务进行保密。4.7.6对检查发现的问题，被检查部门的负责人应制定纠正措施并实施，同时将纠正措施及实施情况报信息安全管理委员会。信息安全管理委员会应对纠正措施实施情况进行检查。4. 8技术符合性检查1. 8.1综合部应定期检查信息系统是否符合安全要求，例如渗透测试和脆弱性评估。技术符合性检查应由有经验人员进行，必要时可利用合适的软件工具支持。4. 8.2技术符合性检查前应制定检查方案，经总经理批准后实施。4 .8.3技术符合性检查应形成报告，对发现的技术薄弱点应制定风险处理计划，经总经理批准后实施。4.9信息系统审核1. 9.1信息系统审核由安全管理员按信息系统开发建设管理程序进行。4. 9.2对于运行系统检查的审核活动，应认真策划，控制检查范围，以便减少业务过程中断的风险。检查计划应经总经理批准后实施。5. 9.3信息系统审核工具，如软件或数据文件，应与开发和运行系统分开，并妥善保管，以防止任何可能的滥用或损害。5 .相关文件记录控制程序信息安全事件处理程序信息系统开发建设管理程序文件控制程序。8.记录信息安全法律法规合规性评价表