ISMS-C-04信息安全法律法规管理制度

参考模版,仅供参考

1. 目的

为确保组织业务生产活动符合法律法规和相关标准的要求,提高所应用的信息安全策略及控制措施的适用性,特制定本制度。

2. 范围

本制度适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3. 职责

3.1 行政专员

  1. 管理和归档收集的法律法规及相关文件(纸质文档)。

3.2 信息安全部

  1. 根据收相关法律法规要求,制定满足要求且符合组织现状的信息安全策略和措施;
  2. 负责收集国家信息安全法律法规文件、行业标准要求和规范文件(电子文档);
  3. 在组织内部推行和宣贯相关法律法规要求。

3.3 其他各部门

  1. 根据法律法规和组织相关要求开展业务活动。

4. 引用文件

《信息安全管理手册》
《信息安全法律法规策略》

5. 内容

5.1 获取

行政专员定期向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充,以保持对法律法规及其他要求的及时跟踪,获取最新的法律法规和其他要求文件,形成《信息安全法律法规清单》。
行政专员在收集法律法规相关文件时,须做好相关类别划分,具体分类要求如下:

  1. 国际性信息安全管理法律、法规和其他要求;
  2. 国家信息安全管理法律法规及标准规范;
  3. 地方和行业性信息安全管理规章及标准规范;
  4. 客户与相关方的信息安全要求。

当法律、法规和其他要求更新或增加时,行政专员应及时进行识别、及时下载最新版本。

5.2 符合性评估

信息安全部组织各部门对收集到的法律法规等文件进行学习,分析和识别本组织须遵循的法律条款,编制和修订《信息安全法律法规要求清单》,识别工作一般一年不少于一次或根据法律法规的更新情况开展。
信息安全部根据《信息安全法律法规要求清单》,对制定的安全策略和控制措施进行符合性评估,确保组织的安全策略和要求满足法律法规要求。

6. 记录

《信息安全法律法规要求清单》
《信息安全法律法规清单》

⭐您的支持将鼓励我继续创作⭐