1.目的

为确保公司信息安全活动符合信息安全管理法律法规的要求及确保公司信息安全方针和程序的有效实施，特制定本程序。

2.适用范围

适用于公司对信息安全法律法规要求的识别和信息安全检查的管理。

3.职责

3.1信息安全小组

负责组织对法律法规及其他要求的识别及合规性进行评审并组织对信息安全方面的定期检查管理。

3.2各部门

配合信息安全小组对相关法律法规的识别及合规性评审和信息安全检查工作。当目标不能达标时，进行原因分析并提出改进建议。

4. 程序

4.1 信息安全法律法规的识别

4.1.1法律法规的识别和获取

1)  信息安全管理委员会负责获取相关的guojia及地方 新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。

2)  客户和社会公众的信息安全要求，由各部门依据工作情况采集并报信息安全管理委员会统一管理。

3)  信息安全管理委员会对收集到的法律法规进行识别，确定适合本公司的法律法规,编制《信息安全法律法规清单》，识别工作一般一年不少于一次。

4.1.2信息安全法律法规的文本控制

1)  信息安全管理委员会获取信息安全管理法律、法规和其他要求文本后，应补充到《信息安全法律法规清单》中。

2)  相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向信息安全管理委员会进行反馈,由信息安全管理委员会补充到《信息安全法律法规清单》。

3)  信息安全管理委员会获取的信息安全法律法规和其他要求的文本或信息应负责汇总并向有关部门进行传递。

4.1.3 法律、法规的实施与更新管理

1)  信息安全管理委员会负责对信息安全法律法规清单进行合规性评审，并制定为了满足这些要求的控制措施和职责。

2)  信息安全管理委员会定期与政府相关部门进行沟通,向提供法律法规更新的专业机构索取 新信息,并通过政府机构、行业协会、出版机构、报刊杂志、中国安全网、会议等渠道补充，以保持对法律法规及其他要求的及时跟踪，获取 新的法律法规和其他要求文件。

3)  当法律、法规和其他要求更新或增加时，信息安全管理委员会应及时进行识别、并修正和补充《信息安全法律法规清单》，并及时采购 新版本。

4)  对过期或作废的法律法规和其他要求文件，信息安全管理委员会应及时收回，并按《文件控制程序》的要求进行管理。

公司至少每年组织一次对《信息安全法律法规清单》及其他要求履行情况的合规性评审，形成新的《信息安全法律法规清单》。