26法律法规识别获取控制程序(ISO27001)

XXXXXX有限公司

法律法规识别获取控制程序

（依据ISO27001标准）

文件编号:SR-QP-23

版本号:A/0

制定日期:2020年6月1日

XXXXXX有限公司

法律法规识别获取控制

程序

文件编号：SR-QP-23

版本A/0页次2OF5

※※※※※※修订履历※※※※※※

版本页次修订履历生效日期

※管制文件禁止翻印※

XXXXXX有限公司

法律法规识别获取控制

程序

文件编号：SR-QP-23

版本A/0页次3OF5

1.目的

为了加强公司在信息安全相关法律、法规的识别、获取及控制，增强全体人员法律意识，

提高公司整体的安全水平，特制定本管理规定。

2.范围

本程序适用于本公司的管理体系覆盖的所有部门。

3.职责与权限

3.1行政部

a)负责收集国家颁布的与信息安全有关的法律、法规、标准及其他要求，建立获取这些

资料的有效途径，评估所收集资料的适宜性、有效性和充分性，并负责将这些信息传

达给员工和其他有关的相关方；

b)负责汇总本公司各部门收集的与信息安全有关的法律、法规及其他要求；

c)负责编制本公司信息安全管理体系“适用的法律、法规清单”，确定适用部门，监督各

部门对相关法律、法规及其他要求的执行情况；

d)负责及时更新本公司有关的法律、法规的信息，确保获得这些信息版本的有效性；

e)负责定期评审有关职能部门对相关法律、法规的执行情况。

3.2其他部门

负责收集适用的与信息安全有关的法律、法规，并将相关资料报送行政部，同时负责将信

息传达给本部门员工。

4.相关文件

a)《人力资源安全管理程序》

5.术语定义

无

※管制文件禁止翻印※

XXXXXX有限公司

法律法规识别获取控制

程序

文件编号：SR-QP-23

版本A/0页次4OF5

6.控制程序

6.1法律、法规的获取

6.1.1获取内容

a)法律：与信息安全有关的国家法律及国家参加的国际公约；

b)法规：国务院和省人民代表大会及其常委会颁布的有关信息安全的条例和细则；

c)规章：国务院、各部、委、局、省、行业、地方颁布的规章；

d)标准：国家、地方、行业颁布的有关信息安全的标准；

e)其他要求：各级政府、行业有关信息安全的规范性文件、要求、通知等。

6.1.2获取途径

6.1.2.1国家、省、地方及主管部门的法律、法规、规章、标准及其他要求由各职能部门按

各自对口关系随时从上级单位及劳动和社会保障局、卫生局、环保局、技术监督局、安全监督

局、公安局等上级有关部门获取。

6.1.2.2从专业报刊、公共出版物、网络等各种媒体和渠道获取法律、法规、标准及其他要

求，并做好记录。

6.2法律、法规的识别

6.2.1行政部根据本公司的实际情况及上级部门、顾客的要求，每年对与信息安全有关的

法律法规的符合性进行识别。

6.2.2行政部根据本公司信息安全管理的特点和相关要求，确认除法律、法规以外的与信

息安全相关的其他要求的适用性和有效性。

6.2.3各相关部门将收集的法律、法规和其它要求进行确认，报行政部汇总。

6.2.4行政部对收集到的各类法律、法规和其它要求进行复审后，填写“适用的法律、法

规清单”，报公司领导审批。并将批准后的“适用的法律、法规清单”发至相关部门并存档。

6.3传达与培训

6.3.1行政部将适用的法律、法规和其他要求发放到相关各部门。

※管制文件禁止翻印※

XXXXXX有限公司

法律法规识别获取控制

程序

文件编号：SR-QP-23

版本A/0页次5OF5

6.3.2各部门将本部门适用的法律法规和其他要求传达至员工，并按《人力资源安全管理

程序》对本部门员工进行培训。

6.4信息更新与评审

6.4.1行政部依据法律、法规、标准及其他要求的变化，按照本程序5.2条款的要求及时

获取、更新。

6.4.2行政部每年更新一次“适用的法律、法规清单”，对过期作废的法律、法规和其他要

求执行《文件和记录控制程序》。

6.5改进和验证

行政部每年组织公司领导、各部门及员工代表评审本企业各相关部门对法律、法规及其他

要求的执行情况，发现不符合的按《纠正预防控制程序》执行。

7附件、记录

7.1《适用的法律法规清单》

※管制文件禁止翻印※