《个人信息安全规范》中规定,个人信息安全事件处置主要涉及:事前的应急预案制定、事前的应急响应培训和演练、事中的事态控制、事后的事件记录、事后的影响评估、事后的事件上报以及事后将安全事件通过多种方式告知受影响的个人信息主体。
通过事前的预防,降低安全事件发生的可能性;通过事中的控制降低造成的影响;通过事后的响应评估影响,及时通知受影响个人信息主体;最大程度降低事件带来的不良后果。
安全事件应急处置和报告
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
4) 按照本标准9.2的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
安全事件告知
a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b) 告知内容应包括但不限于:1) 安全事件的内容和影响;2) 已采取或将要采取的处置措施;3) 个人信息主体自主防范和降低风险的建议;4) 针对个人信息主体提供的补救措施;5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
网友评论