相關(guān)方要求識(shí)別與符合性評(píng)估程序

#3.-相關(guān)方要求識(shí)別與符合性評(píng)估程序(ISO27001-2013)1、目的為避免違犯任何法律、法令、法定的或者合同約定的義務(wù)，使信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理置于法令、法規(guī)和合同約定的安全要求的約束之下，特制定本程序。2、范圍國(guó)家和地方法律、法規(guī)的相關(guān)規(guī)定以及與相關(guān)方的合同約定的信息安全方面的義務(wù)。3、職責(zé)3.1人事行政部負(fù)責(zé)組織收集與信息安全有關(guān)的法律法規(guī)并對(duì)適用性評(píng)價(jià)。3.2運(yùn)行部負(fù)責(zé)根據(jù)與客戶的合同約定確定我方所必需遵守的義務(wù)，并保證日常業(yè)務(wù)的進(jìn)行處于合同約定的安全要求之下。3.3錄入部應(yīng)按照國(guó)家有關(guān)規(guī)定對(duì)錄入的相關(guān)方提供的個(gè)人信息進(jìn)行妥善管理與保護(hù)。3.4網(wǎng)絡(luò)部負(fù)責(zé)對(duì)公司使用的軟件定期進(jìn)行評(píng)審，避免盜版軟件的下載與安裝。3.5各部門應(yīng)按照有關(guān)法律、法規(guī)要求，為重要記錄提供適當(dāng)?shù)谋Ｗo(hù)。4、程序4.1法律法規(guī)、相關(guān)方要求的識(shí)別與符合性評(píng)估4.1.1法律法規(guī)的識(shí)別4.1.1.1人事行政部負(fù)責(zé)組織收集與信息安全有關(guān)的法律法規(guī)并對(duì)適用性評(píng)價(jià)，確定其實(shí)用范圍和具體適用條款，形成適用的法律法規(guī)清單，將法律法規(guī)一起通過(guò)網(wǎng)絡(luò)傳達(dá)給有關(guān)部門并予以執(zhí)行。4.1.1.2法律法規(guī)的符合性評(píng)估人事行政部負(fù)責(zé)每半年應(yīng)對(duì)法律法規(guī)的有效性進(jìn)行重新評(píng)價(jià)，保持適用的法律、法規(guī)的有效最新版本。每年對(duì)法律法規(guī)的符合性進(jìn)行評(píng)價(jià)。4.1.2相關(guān)方要求的識(shí)別與符合性評(píng)估4.1.2.1客戶提出對(duì)安全的要求，例如：內(nèi)網(wǎng)訪問(wèn)限制，數(shù)據(jù)傳輸加密等。4.1.2.2生產(chǎn)經(jīng)理將根據(jù)要求分類，并評(píng)估是否此需求需要升級(jí)匯報(bào)。評(píng)估標(biāo)準(zhǔn)是根據(jù)是否需要額外的資金投入。如需要，則填單（見(jiàn)附件‘客戶安全需求申請(qǐng)單’），上報(bào)部門經(jīng)理和總經(jīng)理來(lái)審批。4.1.2.3如果不需要，則通知相關(guān)部門（例如：錄入部，網(wǎng)絡(luò)部）實(shí)施4.1.2.4如果公司業(yè)務(wù)能力不能滿足客戶的安全需求，則上報(bào)總經(jīng)理來(lái)協(xié)調(diào)。4.2知識(shí)產(chǎn)權(quán)本公司嚴(yán)格執(zhí)行國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)方面的法律法規(guī)，保證使用合法的正版軟件，并通過(guò)以下方法進(jìn)行控制：1） 確定獲得合法軟件的途徑；2） 每年進(jìn)行一次軟件資產(chǎn)清查，確保正在使用的軟件已經(jīng)被適當(dāng)?shù)氖跈?quán)；3） 保留許可證、手冊(cè)等擁有者的證明和證件；4） 確保用戶數(shù)不超過(guò)所允許的上限；5） 只允許安裝認(rèn)可的軟件和特許的產(chǎn)品；6） 嚴(yán)禁員工私自安裝任何軟件。4.3記錄的保護(hù)4.3.1各部門應(yīng)按照有關(guān)法律、法規(guī)要求和公司的《記錄控制程序》，明確規(guī)定重要記錄的保存期限并提供適當(dāng)?shù)谋Ｗo(hù)，防止丟失、損壞和偽造。4.3.2數(shù)據(jù)保護(hù)和個(gè)人信息隱私對(duì)處理與個(gè)人數(shù)據(jù)與信息有關(guān)的部門應(yīng)按照國(guó)家法律法規(guī)的有關(guān)規(guī)定及相關(guān)方合同的約定，對(duì)其個(gè)人信息進(jìn)行妥善管理與保護(hù)，防止丟失或泄露個(gè)人秘密。4.4信息安全事件的處理4.4.1證據(jù)的收集4.4.1.1人事行政部負(fù)責(zé)發(fā)生法律糾紛與訴訟的證據(jù)收集，并確保證據(jù)收集符合以下要求：1） 所呈證據(jù)應(yīng)符合國(guó)家有關(guān)的證據(jù)法規(guī)；2） 符合用于提供可接受證據(jù)的任何已發(fā)布的標(biāo)準(zhǔn)或法規(guī)；3） 對(duì)已收集到的證據(jù)進(jìn)行安全的保管，防止未經(jīng)授權(quán)的更改或破壞；4） 收集到的證據(jù)符合法庭所要求的形式。4.4.1.2處理要求1） 第一時(shí)間向總經(jīng)理匯報(bào)，必要時(shí)啟動(dòng)緊急計(jì)劃（例如：全員加班，啟用備用發(fā)電機(jī)）2） 提前與前線銷售人員溝通好，做到口徑統(tǒng)一3） 向受到影響的客戶書(shū)面道歉；如不能做到書(shū)面，也要做到口頭道歉4） 確認(rèn)受到影響的事項(xiàng)的恢復(fù)時(shí)間，并告知顧客5） 時(shí)時(shí)給客戶更新（例如：每1小時(shí)或2小時(shí)）5、 相關(guān)文件5.1《計(jì)算機(jī)使用管理規(guī)定》5.2《工作任務(wù)接