ISMS-02-17-V1.0 法律法规符合性管理规定

法律法规符合性管理规定

第一章 总则

第一条 目的

为规范思度安全运营中心法律法规的符合性管理，保证思度安全运营中心在信息安全管理体系运行和日常工作中能够符合法律法规要求，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心职责范围内与法律法规有关的活动。

第二章 组织与职责

第三条 思度安全运营中心风险管理组

负责法律法规的识别、更新、保管、组织学习等日常管理工作；监督本规定在思度安全运营中心范围内的执行情况。负责收集国家有权机关、金融行业主管部门、监管部门及思度安全总行通过公文渠道下发的信息安全相关法律、法规、规章和制度；负责收集思度安全运营中心相关合同中关于信息安全的要求与条款；负责与总行法律事务部门保持沟通与协作。

第四条 各部门安全组

负责监督和检查本规定在本部门内的执行情况。

第五条 各部门

负责收集其专业领域与信息安全相关的强制性标准；负责实施相应的控制措施以满足法律法规符合性要求，并提供有关法律法规符合情况材料。

第六条 全体员工

必须学习知晓并遵循法律法规。

第三章 日常管理

第七条 收集相关法律法规

各部门跟踪并及时收集相关法律法规，填写《信息安全法律法规识别记录》后报思度安全运营中心风险管理组进行后续管理。

第八条 法律法规清单

思度安全运营中心对收集的各项法律法规进行有效性识别，及时更新《信息安全法律法规清单》，法律法规清单及内容应妥善保存，各部门按照访问权限进行调阅。

第九条 思度安全运营中心风险管理组

对各类法律法规进行日常管理，当法律法规发生新增、更新或废止时，经评审后及时修订《信息安全法律法规清单》。

第十条 思度安全运营中心

应定期召开法律法规符合性管理的评审会议，对法律法规要求进行讨论，识别新的要求，评价法律法规要求的符合性情况，就存在的问题提出解决办法，制订并实施纠正和预防措施，并出具评审报告。法律法规符合性管理的评审每年必须至少组织一次；当法律法规发生重大变化或具有潜在法律法规符合性风险时，应召开临时评审会议。

第四章 符合性要求

第十一条 法律法规符合性要求

各部门应根据法律法规要求采取相应的措施，以满足信息安全管理体系的法律法规符合性要求。 （一） 应使所有员工知晓知识产权相关法律法规并遵照执行，确保购买和使用合法的软硬件产品，禁止侵权盗版，采取有效措施保护自主知识产权； （二） 应采取必要的操作流程和技术措施，确保数据的完整性，防止重要的记录遗失、毁坏和伪造； （三） 应采取有效措施确保数据得到安全保护，保证个人隐私信息不被泄露； （四） 确保依法使用信息处理设施，禁止非授权使用各类信息系统及设备； （五） 防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，严格执行相关密码管理制度和措施； （六） 实施技术符合性检查前应得到授权，并在监督下执行，符合法律法规相关要求。

第五章 监督与检查

第十二条 符合性自查

各部门应定期进行法律法规符合性自查，对于自查中发现的不符合项，应及时采取相应的纠正和预防措施。

第十三条 符合性检查

思度安全运营中心风险管理组在定期开展的信息安全检查中应包含法律法规符合性检查的内容，对于不符合的项目提出整改要求，并推动相关责任部门落实。

第十四条 整改不符合项

各部门应按照检查结果，结合信息安全法律法规的相关要求落实整改。

第六章 附则

本规定由思度安全运营中心制定、修订和解释。 本规定自发布之日起生效 记录 《信息安全法律法规识别记录》 《信息安全法律法规清单》