PIPA资料2006-5-201大连软件及信息服务业个人信息保护评价指南前言大连软件及信息服务业个人信息保护评价指南,以下简称“指南”,是依据《大连软件及信息服务业个人信息保护规范》的要求,为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料,主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程,单位可以参考“指南”,根据本单位的性质、业务范围、业务量等实际情况,同时参考国家相关信息安全标准和法规,建立本单位的个人信息保护制度。。目录一组织机构的建立和职能确定二个人信息安全风险评估三策略制定与宣传四基本规章的制定五详细规章制定六运行实施七运行状况的监查八持续改善PIPA资料2006-5-202一、组织机构的建立和职能确定建立单位个人信息保护组织机构和确定单位个人信息保护负责人,并形成文件加以保存,在人员变动时应及时补充,保证单位个人信息保护组织机构的完整。单位领导者应在资金和资源上给予支持。1、管理层:任命个人信息保护负责人,负责单位个人信息保护体制的建立和整体规划,负责全单位的个人信息保护工作的开展,组织制定单位个人信息保护策略,组织单位个人信息保护基本规章制度的制定,组织部门个人信息保护责任人共同制定部门管理细则,组织培训教育及监查工作的实施;2、部门负责人1)单位要明确各部门的个人信息保护权限及职责,并形成文件。指定各部门的个人信息保护责任人,负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定;2)指定个人信息保护培训与教育工作负责人,配合制定培训教育规定,制定培训教育计划,并负责教育计划的实施;3、监查责任人监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查,负责写出监查报告并提出改进意见。4、指定客户窗口责任人,负责接受客户和消费者的意见和建议,提出处理意见和促进意见的落实和反馈;在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿二、个人信息安全风险评估个人信息安全风险评估是制定个人信息保护安全措施的基础,单位应指派专人对单位个人信息安全风险进行评估,个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析,考虑到获取上的风险、利用上的风险、提供上的风险等,还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险,考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括:1、整理单位拥有的所有个人信息,并进行分类;2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员,并做出流程PIPA资料2006-5-203图;3、根据流程图分析可能发生风险的地方;4、随时掌握和跟踪新发生的个人信息的操作过程和新业务;5、对人员管理中可能存在的风险分析;6、对系统管理、网络管理可能出现的风险分析;7、对已经发生的个人信息保护失当事件的原因分析,找到其中的问题和漏洞。8、制定风险对策,提出措施意见给个人信息保护负责人,帮助个人信息保护负责人制定单位个人信息保护规章制度。三、策略制定及宣传由个人信息保护管理层制定个人信息保护策略,并向全体员工宣传。个人信息保护策略应与单位整体策略及文化相一致,融入单位的整个信息管理过程。个人信息保护策略应包括:1、宣传策略要向全体员工宣传个人信息保护的重要性和必要性,宣传建立个人信息保护体制对单位和个人的好处,使人人自愿做好个人信息保护工作;在单位宣传资料中或网站上增加个人信息保护相关内容;在承接有个人信息保护项目时主动向客户和消费者宣传单位在个人信息保护上的措施和规定。建立个人信息保护体制的好处主要有:>有利于单位规范信息安全管理,提高单位的信誉>提高客户和消费者对单位的信任度,可以得到更多的业务,从而提高单位经济效益。>在保护个人信息的同时...
