参考模版,仅供参考
目的
为确保组织业务生产活动符合法律法规和相关标准的要求,提高所应用的信息安全策略及控制措施的适用性,特制定本制度。范围
本制度适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。职责
3.1 行政专员
管理和归档收集的法律法规及相关文件(纸质文档)。
3.2 信息安全部
根据收相关法律法规要求,制定满足要求且符合组织现状的信息安全策略和措施;
负责收集国家信息安全法律法规文件、行业标准要求和规范文件(电子文档);
在组织内部推行和宣贯相关法律法规要求。
3.3 其他各部门
根据法律法规和组织相关要求开展业务活动。引用文件
《信息安全管理手册》
《信息安全法律法规策略》内容
5.1 获取
行政专员定期向提供法律法规更新的专业机构索取最新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充,以保持对法律法规及其他要求的及时跟踪,获取最新的法律法规和其他要求文件,形成《信息安全法律法规清单》。
行政专员在收集法律法规相关文件时,须做好相关类别划分,具体分类要求如下:
国际性信息安全管理法律、法规和其他要求;
国家信息安全管理法律法规及标准规范;
地方和行业性信息安全管理规章及标准规范;
客户与相关方的信息安全要求。
当法律、法规和其他要求更新或增加时,行政专员应及时进行识别、及时下载最新版本。
5.2 符合性评估
信息安全部组织各部门对收集到的法律法规等文件进行学习,分析和识别本组织须遵循的法律条款,编制和修订《信息安全法律法规要求清单》,识别工作一般一年不少于一次或根据法律法规的更新情况开展。
信息安全部根据《信息安全法律法规要求清单》,对制定的安全策略和控制措施进行符合性评估,确保组织的安全策略和要求满足法律法规要求。
- 记录
《信息安全法律法规要求清单》
《信息安全法律法规清单》
