欢迎来到奔烁官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27001认证 > ISO27000认证:《法律法规符合性规定》全文

ISO27000认证:《法律法规符合性规定》全文

文章来源:深圳华道咨询公司  添加时间:2018/8/29
1.目的
为保证ISO27001信息安全管理体系在运行过程中能够符合所有必须的法律法规及合同中的要求,特制定本规定。
2.适用范围
本规定适用于ISO27000信息安全管理体系建设及运行过程中出现的与法律法规及合同要求有关的活动。
3.术语和定义(略)
4.职责
4.1信息安全负责人
负责支持法律法规符合性的评审活动。
4.2信息安全部
负责法律法规及合同要求的识别。
4.3相关部门
负责实施相应的控制措施以满足这些要求,并提供有关法律法规及合同要求满足情况所需的材料。
5 法律法规与合同列表
组织满足的法律法规及合同如下所示:
(1)《计算机软件保护条例》
(2)《中华人民共和国著作权法》
(3)《互联网电子公告服务管理规定》
(4)《中华人民共和国专利法》
(5)《中华人民共和国计算机信息系统安全保护条例》
(6)《计算机信息系统国际联网保密管理规定》
(7)其他必要的法律法规及合同
6 工作程序
6.1法律法规合同评审
6.1.1评审频次
法律法规评审以会议方式为主,由信息安全负责人主持,对组织须满足的法律法规及合同的安全要求进行讨论,识别新的要求,并评价原有法律法规及合同的安全要求的满足情况,就存在的问题提出解决办法,制定并实施纠正和预防措施,一般一年进行一次法律法规以及合同的评审。
在下列情况下,由信息安全负责人决定临时增加评审的频次:
(1)法律法规发生变化时
(2)签署新的合同时
(3)由于法律法规及合同的安全要求问题导致重大问题时
6.1.2评审计划
每年年初,信息安全部应根据组织信息安全管理工作情况编制评审计划,报信息安全负责人批准后实施。
6.1.3评审内容
评审内容如下:
(1)识别新的法律法规及合同要求
(2)评审组织信息安全管理工作是否符合法律法规的要求
(3)评审组织信息安全管理工作是否满足合同的要求
评审会议应有记录,由信息安全部负责记录,评审记录至少保存1年。
6.1.4评审报告
信息安全部负责将评审记录整理出评审报告,报告内容应包括与以下方面有关的任何决定和措施:
(1)满足法律法规的措施的改进
(2)满足合同要求的措施的改进
(3)对新要求的控制措施、资源需求以及实施人员
评审报告由经营责任者批准,并由信息安全部分发至信息安全部门负责人。
6.2控制措施的实施与跟踪
有关部门接到评审报告后,负责根据评审报告的内容对控制措施、纠正与预防措施的要求采取必要的措施,以满足有关的法律法规以及合同的要求。
措施的实施情况由信息安全部跟踪检查,以验证其实施效果。当措施的采取涉及到文件更改时,应按《文件管理程序》进行。控制措施的实施与验证结果应作为下一次评审的输入之一。
                                                            

您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式