ISO20000-1：2018程序文件-法律法规符合性管理规定

信息技术服务管理体系

法律法规符合性管理规定

文件编号：SA-02007

1.分发控制

读者文档权限说明

2.文件版本信息

版本号

V1.0

修订

编写组

变更描述

全文

日期审核批准

3.文件版本信息说明

文件版本信息记录本文件提交时的当前有效的版本控制信息，当前版本文件

有效期将在新版本文档生效时自动结束。文件版本小于1.0时，表示该版本文件

为草案，仅可作为参照资料之目的。

目录

1总则............................................................................................................................1

2职责与权限...............................................................................................................1

3规定............................................................................................................................2

3.1法律法规文件的获取-------------------------------------------------------------------2

3.2法律法规文件的收集和管理----------------------------------------------------------2

3.3法律法规文件的执行和检查----------------------------------------------------------3

4附则............................................................................................................................3

1总则

1.1目的

本规定旨在明确常州大江网络工程有限公司员工需遵循的法律环境的符合

性要求，以及所适用的潜在的法律义务，避免员工违反法律、法规、规章、合同

的要求，控制公司面临的法律风险。

1.2范围

本规定适用于常州大江网络工程有限公司各部门在信息技术服务管理工作

过程中在合规性方面的所有活动。

1.3定义与缩写

本文件采用ISO20000:2005的定义和缩写，本文件中需补充说明的定义和缩

写如下：

法律：由全国人民代表大会以及全国人民代表大会常务委员会制定的法律。

法规：包括行政法规与地方性法规。行政法规是由国务院根据宪法和法律制

定的规范性文件。地方性法规是省、自治区、直辖市的人民代表大会及其常务委

员会根据本行政区域的具体情况和实际需要，在不与宪法、法律、行政法规相抵

触的前提下，制定的规范性法律文件。

规章：包括部门规章与地方政府规章。部门规章是国务院各部、委员会和具

有行政管理职能的直属机构，根据法律和国务院的行政法规、决定、命令，在本

部门的权限范围内，制定的规范性法律文件。地方政府规章是省、自治区、直辖

市和较大的市的人民政府，根据法律、行政法规和本省、自治区、直辖市的地方

性法规，制定的规范性法律文件。

合同：是指常州大江网络工程有限公司与其他公民、法人或其他组织签订并

生效的协议。

详细请参考《信息技术服务管理体系术语定义》。

2职责与权限

2.1管理者代表：负责审批本规定；

2.2办公室:

负责组织制定、解释和修改本规定；

识别当前适用的国际、国家、地区、行业等各级别的法律法规；

第1页共3页

负责信息技术服务相关法律、法规、规章等的解读，并将相关要求体现在公

司的制度规定中；

负责检查、监督本规定在公司范围内的执行。

协助对公司产生和使用的涉及知识产权的信息资产提供保护；

协助对公司业务活动相关记录予以确认和保护，以确保其法律效力；

对高层管理人员的职责履行情况提出法律风险意见；

协助对员工和客户个人数据实施必要保护，以满足法律法规符合性要求；

对员工工作提出法律符合性要求和指导，协助相关部门实施法律法规符合性

的培训。

2.3各部门主要负责人:

负责在本部门范围内落实本规定，根据公司的制度规定进行细化，确保相关

法律、法规和规章都能得到有效落实；

负责组织对员工进行相关法律法规知识的培训，将法律法规要求及公司相应

规定对员工进行宣贯；

负责检查、监督本规定在本部门的执行情况。

2.4全体员工:

参加公司组织的相关培训；

在日常工作中遵循本规定，满足法律法规符合性要求。

3规定

3.1法律法规文件的获取

3.1.1上级政府部门和监管部门下发的、与信息技术服务管理相关的法律法规；

3.1.2购买或其他渠道获取最新的信息安全相关法律法规书籍；

3.1.3通过互联网查询，登录相关网站并收集相关信息；

3.1.4关注与信息技术服务相关的政府部门的发文、通知或者公报；

3.1.5与法律合规部门或其他外部权威机构交流。

3.2法律法规文件的收集和管理

3.2.1办公室确认所获得的各类法律法规、标准及要求的对本单位的适用性，每

第2页共3页

个季度末更新法律法规清单，并通知其它相应部门。

3.2.2当法律法规有更新或者增加时，应及时修订信息安全法律法规目录，收集

和保存相应的文件，更新本制度附件内容，并通知相关部门。

3.2.3每年度体系管理评审会议之前，组织各部门代表，对法律法规的有效性、

适用性进行全面评审。评审后对已废除的法律、法规及时处理，确保现有法律法

规文件的可用性。

3.2.4办公室负责对各类法律法规、标准及要求的适用性进行权威解释。

3.3法律法规文件的执行和检查

3.3.1办公室在信息技术服务相关检查、内审等活动中进行法律法规执行情况的

检查，对于不符合项提出整改纠正措施，并推动责任部门落实整改措施，并将结

果提交管理评审。

3.3.2当信息技术服务相关法律法规和标准变化时，各部门需按照法律法规的最

新相关要求进行技术符合性检查和其它方面的检查评审，对检查中发现的问题，

依据《纠正预防控制管理规定》，制订纠正预防计划并落实整改措施，办公室负

责监督和检查各部门的执行状况。

3.3.3办公室负责组织对法律法规与标准的符合性、执行效果的检查和评审。

4附则

4.1各部门可根据本规定制定相应的实施细则。

4.2本规定由办公室负责组织制定、解释和修改。

4.3本规定自印发之日起实行。

4.4相关文件

《信息技术服务管理手册》

《信息技术服务管理体系术语定义》

第3页共3页