? ? 《個(gè)人信息安全規(guī)范》中規(guī)定二鳄,個(gè)人信息安全事件處置主要涉及:事前的應(yīng)急預(yù)案制定、事前的應(yīng)急響應(yīng)培訓(xùn)和演練辞色、事中的事態(tài)控制、事后的事件記錄浮定、事后的影響評(píng)估相满、事后的事件上報(bào)以及事后將安全事件通過(guò)多種方式告知受影響的個(gè)人信息主體。
????通過(guò)事前的預(yù)防壶唤,降低安全事件發(fā)生的可能性雳灵;通過(guò)事中的控制降低造成的影響;通過(guò)事后的響應(yīng)評(píng)估影響闸盔,及時(shí)通知受影響個(gè)人信息主體悯辙;最大程度降低事件帶來(lái)的不良后果。
安全事件應(yīng)急處置和報(bào)告
a) ?應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案;
b) ?應(yīng)定期(至少每年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練迎吵,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程;
c) ?發(fā)生個(gè)人信息安全事件后躲撰,個(gè)人信息控制者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行以下處置:
????1) 記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員击费、時(shí)間拢蛋、地點(diǎn),涉及的個(gè)人信息及人數(shù)蔫巩,發(fā)生事件的系統(tǒng)名稱谆棱,對(duì)其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門(mén);
????2) 評(píng)估事件可能造成的影響圆仔,并采取必要措施控制事態(tài)垃瞧,消除隱患;
????3) ?按《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》的有關(guān)規(guī)定及時(shí)上報(bào),報(bào)告內(nèi)容包括但不限于:涉及個(gè)人信息主體的類型坪郭、數(shù)量个从、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響嫌松,已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人員的聯(lián)系方式;
????4) ?按照本標(biāo)準(zhǔn)9.2的要求實(shí)施安全事件的告知奕污。
d) 根據(jù)相關(guān)法律法規(guī)變化情況萎羔,以及事件處置情況,及時(shí)更新應(yīng)急預(yù)案菊值。
安全事件告知
a) ?應(yīng)及時(shí)將事件相關(guān)情況以郵件外驱、信函、電話腻窒、推送通知等方式告知受影響的個(gè)人信息主體昵宇。難以逐一告知個(gè)人信息主體時(shí),應(yīng)采取合理儿子、有效的方式發(fā)布與公眾有關(guān)的警示信息;
b) ?告知內(nèi)容應(yīng)包括但不限于:1) 安全事件的內(nèi)容和影響;2) 已采取或?qū)⒁扇〉奶幹么胧?3) 個(gè)人信息主體自主防范和降低風(fēng)險(xiǎn)的建議;4) 針對(duì)個(gè)人信息主體提供的補(bǔ)救措施;5) 個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式瓦哎。
個(gè)人信息安全規(guī)范(二):數(shù)據(jù)生命周期--個(gè)人信息收集
個(gè)人信息安全規(guī)范(三):數(shù)據(jù)生命周期--個(gè)人信息存儲(chǔ)
個(gè)人信息安全規(guī)范(四):數(shù)據(jù)生命周期--個(gè)人信息使用
個(gè)人信息安全規(guī)范(五):數(shù)據(jù)生命周期--個(gè)人信息對(duì)外提供
