大连软件及信息服务业个人信息保护评价指南
前言
大连软件及信息服务业个人信息保护评价指南,以下简称“指南”,是依据《大连软件及信息服务业个人信息保护规范》的要求,为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料,主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程,单位可以参考“指南”,根据本单位的性质、业务范围、业务量等实际情况,同时参考国家相关信息安全标准和法规,建立本单位的个人信息保护制度。。
目录
一组织机构的建立和职能确定
二个人信息安全风险评估
三策略制定与宣传
四基本规章的制定
五详细规章制定
六运行实施
七运行状况的监查
八持续改善
一、组织机构的建立和职能确定
建立单位个人信息保护组织机构和确定单位个人信息保护负责人,并形成文件加以保存,在人员变动时应及时补充,保证单位个人信息保护组织机构的完整。单位领导者应在资金和资源上给予支持。
1、管理层:
任命个人信息保护负责人,负责单位个人信息保护体制的建立和整体规划,负责全单位的个人信息保护工作的开展,组织制定单位个人信息保护策略,组织单位个人信息保护基本规章制度的制定,组织部门个人信息保护责任人共同制定部门管理细则,组织培训教育及监查工作的实施;
2、部门负责人
1) 单位要明确各部门的个人信息保护权限及职责,并形成文件。指定各部门的个人信息保护责任人,负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定;
2) 指定个人信息保护培训与教育工作负责人,配合制定培训教育规定,制定培训教育计划,并负责教育计划的实施;
3、监查责任人
监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查,负责写出监查报告并提出改进意见。
4、指定客户窗口责任人,负责接受客户和消费者的意见和建议,提出处理意见和促进意见的落实和反馈;在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿
二、个人信息安全风险评估
个人信息安全风险评估是制定个人信息保护安全措施的基础,单位应指派专人对单位个人信息安全风险进行评估,个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析,考虑到获取上的风险、利用上的风险、提供上的风险等,还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险,考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括:
1、整理单位拥有的所有个人信息,并进行分类;
2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员,并做出流程
图;
3、根据流程图分析可能发生风险的地方;
4、随时掌握和跟踪新发生的个人信息的操作过程和新业务;
5、对人员管理中可能存在的风险分析;
6、对系统管理、网络管理可能出现的风险分析;
7、对已经发生的个人信息保护失当事件的原因分析,找到其中的问题和漏洞。
8、制定风险对策,提出措施意见给个人信息保护负责人,帮助个人信息保护负责人制定单位个人信息保护规章制度。
三、策略制定及宣传
由个人信息保护管理层制定个人信息保护策略,并向全体员工宣传。个人信息保护策略应与单位整体策略及文化相一致,融入单位的整个信息管理过程。个人信息保护策略应包括:
1、宣传策略
要向全体员工宣传个人信息保护的重要性和必要性,宣传建立个人信息保护体制对单位和个人的好处,使人人自愿做好个人信息保护工作;
在单位宣传资料中或网站上增加个人信息保护相关内容;
在承接有个人信息保护项目时主动向客户和消费者宣传单位在个人信息保护上的措施和规定。
建立个人信息保护体制的好处主要有:
>有利于单位规范信息安全管理,提高单位的信誉
>提高客户和消费者对单位的信任度,可以得到更多的业务,从而提高单位经济效益。
>在保护个人信息的同时,也使单位和员工个人的信息得到保护。
2、人员管理策略
1) 在雇佣合同中要有关于个人信息保护的条款和违反规定的惩罚
2) 每个人都应该明确自己在个人信息保护上所负的责任和应该如何做,建立个人信息保护责任制;
3、安全管理策略
安全管理策略主要应包括:
1) 个人信息标准化、规范化管理策略;
2) 整个业务流程全过程跟踪管理策略
3) 权限管理策略;
4) 文档管理策略。
5) 技术策略
主要包括:软件及硬件设备管理、网络管理、系统管理等策略。
5、持续改善的策略。
四、基本规章的制定
根据单位业务性质、业务量、自身能力,根据风险评估中存在的风险问题和漏洞,依据《大连软件及信息服务业个人信息保护规范》要求和国家信息安全管理的标准及法规、单位个人信息保护策略,制定符合本单位的个人信息保护基本规章,并文档化。基本规章主要包括:
●个人信息保护组织机构与责任的规定;
●个人信息收集、利用、提供、委托、处理等管理规定;
●个人信息保护培训教育规定;
●个人信息保护监查规定;
●违反个人信息保护规章制度的处罚规定。
(一)、有关个人信息保护组织机构与责任的规定
个人信息保护管理者、监查者相关权限和责任的基本规定,主要包括:
1、个人信息保护责任人的任命及职责规定,
2、各部门个人信息保护责任人的任命和职责规定、
3、培训教育责任人的确定及职责规定
4、客户窗口责任人的确定及职责规定
5、监查责任人的指定及职责规定
(二)、有关个人信息收集、利用、提供、委托、信息主体权利的规定
该规定应包括个人信息获取的目的、方法、途径、保管的方法、形式、期间和废弃的方法,防止个人信息泄漏、丢失、破坏、非法修改的具体规定,主要应包括:
1、有关个人信息收集的目的、原则、方法、直接收集和间接收集的措施;禁止收集的特定信息的规定;
2、有关个人信息利用与提供的原则和方法;收集目的外个人信息利用与提供的措施的规定;处理结果确认规定;
3、有关个人信息正确保管的原则和方法;个人信息保护记录的要求和格式;个人信息的更新与修改的规定;单位有关个人信息保护相关文档的管理规定。
个人信息保护记录参考格式
4、个人信息安全管理相对应的管理规定。从技术、物理和管理角度确保个人信息安全的措施,合理的安全对策,十分有效的方法,深入讨论研究,以达到最好的保护状态。此外,应将管理规定放在人人可以看到的地方,不断研究技术及措施,提供安全防护水平。
确保安全的措施要有合理的理论依据,根据风险评估结果,针对单位内部安全状况和可能存在的问题采取不同级别的安全措施,对措施实施的场所、对象(每个业务的场合、个人信息业务类型),制定合理的得到执行者认可的最好的安全保护措施。
安全管理规定要根据安全策略的对应点制定,主要应包括:
1)权限管理
权限管理和限制规定;个人信息处理权限,利用和许可权限的规定;
2) 技术性(系统性、物理性)
对设备、网络、系统结构安全要求和管理措施;
3) 人员管理
对人员规范操作的管理和制约,防止人为错误发生的措施;
4) 出入管理
对个人信息获取场所的进出管理;
5) 网络管理
包括内网和外网的管理规定;
6) 存储的防护措施和规定
存储控制、外部联接的自动中断、存取时间的记录、存取时间定期检查及阻止设定、存储设备的管理规定;
7) 密码和密钥管理规定
对个人信息保管位置的密钥管理,密钥及密钥使用和管理人员的管理规定,设置修改密码的措施等相关规定;
8)事故保障措施