企業(yè)個人信息保護規(guī)章制度建立指導

1、大連軟件及信息服務業(yè)個人信息保護評價指南前后大連軟件及信息服務業(yè)個人信息保護評價指南，以下簡稱“指南”，是依據(jù)大連軟件及 信息服務業(yè)個人信息保護規(guī)范的要求，為大連軟件及信息服務單位個人信息保護制度的建 立提供的一個參考資料，主要包括單位個人信息保護的策略制定、風險評估、組織機構(gòu)、規(guī) 章制度的建立、實施、培訓教育、監(jiān)查、維護及改善的過程，單位可以參考“指南”，根據(jù)本 單位的性質(zhì)、業(yè)務范圍、業(yè)務量等實際情況，同時參考國家相關(guān)信息安全標準和法規(guī)，建立 本單位的個人信息保護制度。目 錄一組織機構(gòu)的建立和職能確定二個人信息安全風險評估三策略制定與宣傳四基本規(guī)章的制定五詳細規(guī)章制定六運行實施七運行狀況的監(jiān)

2、查八持續(xù)改善一、組織機構(gòu)的建立和職能確定建立單位個人信息保護組織機構(gòu)和確定單位個人信息保護負責人，并形成文件加以保存, 在人員變動時應及時補充，保證單位個人信息保護組織機構(gòu)的完整。單位領導者應在資金和 資源上給予支持。1、管理層：任命個人信息保護負責人，負責單位個人信息保護體制的建立和整體規(guī)劃，負責全單位 的個人信息保護工作的開展，組織制定單位個人信息保護策略，組織單位個人信息保護基本 規(guī)章制度的制定，組織部門個人信息保護責任人共同制定部門管理細則，組織培訓教育及監(jiān) 查工作的實施；2、部門負責人1）單位要明確各部門的個人信息保護權(quán)限及職責，并形成文件。指定各部門的個人信息 保護責任人，負責本部

3、門個人信息保護工作的開展和配合單位個人信息保護負責人制定本部 門個人信息保護管理規(guī)定；2）指定個人信息保護培訓與教育工作負責人，配合制定培訓教育規(guī)定，制定培訓教育計 劃，并負責教育計劃的實施；3、監(jiān)查責任人監(jiān)查負責人可以在單位內(nèi)部指定，也可以在單位外部聘請，監(jiān)查負責人應該在單位領導者 的直接領導下并具有獨立性。負責定期或不定期對單位個人信息保護情況進行監(jiān)查，負責寫 出監(jiān)查報告并提出改進意見。4、指定客戶窗口責任人，負責接受客戶和消費者的意見和建議，提出處理意見和促進意 見的落實和反饋；在出現(xiàn)問題時負責與客戶和消費溝通和討論補償措施及損失賠償二、個人信息安全風險評估個人信息安全風險評估是制定個人

4、信息保護安全措施的基礎，單位應指派專人對單位個 人信息安全風險進行評估，個人信息安全風險評估要按照單位業(yè)務、規(guī)模、自身能力和個人 信息的使用過程中可能存在的問題進行分析，考慮到獲取上的風險、利用上的風險、提供上 的風險等，還要考慮到殘余風險的存在和對策、考慮工作過程中新發(fā)生的個人信息的操作過 程和新業(yè)務發(fā)生時新產(chǎn)生的風險，考慮到技術(shù)變化和環(huán)境變化可能會產(chǎn)生的風險。理解風險 與規(guī)章的關(guān)系、風險與教育和監(jiān)查的關(guān)系。個人信息安全風險評估主要應包括：1、整理單位擁有的所有個人信息，并進行分類；2、明確個人信息的使用過程、保存形式、保管方法、保存位置、接觸人員，并做出流程圖;3、根據(jù)流程圖分析可能發(fā)生風

5、險的地方；4、隨時掌握和跟蹤新發(fā)生的個人信息的操作過程和新業(yè)務；5、對人員管理中可能存在的風險分析；6、對系統(tǒng)管理、網(wǎng)絡管理可能出現(xiàn)的風險分析；7、對已經(jīng)發(fā)生的個人信息保護失當事件的原因分析，找到其中的問題和漏洞。8、制定風險對策，提出措施意見給個人信息保護負責人，幫助個人信息保護負責人制定 單位個人信息保護規(guī)章制度。三、策略制定及宣傳由個人信息保護管理層制定個人信息保護策略，并向全體員工宣傳。個人信息保護策略 應與單位整體策略及文化相一致，融入單位的整個信息管理過程。個人信息保護策略應包括:1、宣傳策略要向全體員工宣傳個人信息保護的重要性和必要性，宣傳建立個人信息保護體制對單位 和個人的好處

6、，使人人自愿做好個人信息保護工作；在單位宣傳資料中或網(wǎng)站上增加個人信息保護相關(guān)內(nèi)容；在承接有個人信息保護項目時主動向客戶和消費者宣傳單位在個人信息保護上的措施和 規(guī)定。建立個人信息保護體制的好處主要有：有利于單位規(guī)范信息安全管理，提高單位的信譽提高客戶和消費者對單位的信任度，可以得到更多的業(yè)務，從而提高單位經(jīng)濟效益。在保護個人信息的同時，也使單位和員工個人的信息得到保護。2、人員管理策略1）在雇傭合同中要有關(guān)于個人信息保護的條款和違反規(guī)定的懲罰2）每個人都應該明確自己在個人信息保護上所負的責任和應該如何做，建立個人信息保 護責任制；3、安全管理策略安全管理策略主要應包括：1）個人信息標準化、規(guī)

7、范化管理策略；2）整個業(yè)務流程全過程跟蹤管理策略3）權(quán)限管理策略；4）文檔管理策略。5）技術(shù)策略主要包括：軟件及硬件設備管理、網(wǎng)絡管理、系統(tǒng)管理等策略。5、持續(xù)改善的策略。四、基本規(guī)章的制定根據(jù)單位業(yè)務性質(zhì)、業(yè)務量、自身能力，根據(jù)風險評估中存在的風險問題和漏洞，依據(jù)大 連軟件及信息服務業(yè)個人信息保護規(guī)范要求和國家信息安全管理的標準及法規(guī)、單位個人 信息保護策略，制定符合本單位的個人信息保護基本規(guī)章，并文檔化。基本規(guī)章主要包括：個人信息保護組織機構(gòu)與責任的規(guī)定；個人信息收集、利用、提供、委托、處理等管理規(guī)定；個人信息保護培訓教育規(guī)定；個人信息保護監(jiān)查規(guī)定；違反個人信息保護規(guī)章制度的處罰規(guī)定。（一

8、）、有關(guān)個人信息保護組織機構(gòu)與責任的規(guī)定個人信息保護管理者、監(jiān)查者相關(guān)權(quán)限和責任的基本規(guī)定，主要包括：1、個人信息保護責任人的任命及職責規(guī)定，2、各部門個人信息保護責任人的任命和職責規(guī)定、3、培訓教育責任人的確定及職責規(guī)定4、客戶窗口責任人的確定及職責規(guī)定5、監(jiān)查責任人的指定及職責規(guī)定（二）、有關(guān)個人信息收集、利用、提供、委托、信息主體權(quán)利的規(guī)定該規(guī)定應包括個人信息獲取的目的、方法、途徑、保管的方法、形式、期間和廢棄的方 法，防止個人信息泄漏、丟失、破壞、非法修改的具體規(guī)定，主要應包括：1、有關(guān)個人信息收集的目的、原則、方法、直接收集和間接收集的措施；禁止收集的特 定信息的規(guī)定；2、有關(guān)個人信

9、息利用與提供的原則和方法；收集目的外個人信息利用與提供的措施的規(guī) 定；處理結(jié)果確認規(guī)定；3、有關(guān)個人信息正確保管的原則和方法；個人信息保護記錄的要求和格式；個人信息的 更新與修改的規(guī)定；單位有關(guān)個人信息保護相關(guān)文檔的管理規(guī)定。個人信息保護記錄參考格式業(yè)務個人信息內(nèi)容收集時間收集方 法個人信 息存放 形式保管位 置保管期 限提供者廢棄方 法4、個人信息安全管理相對應的管理規(guī)定。從技術(shù)、物理和管理角度確保個人信息安全的 措施，合理的安全對策，十分有效的方法，深入討論研究，以達到最好的保護狀態(tài)。此外， 應將管理規(guī)定放在人人可以看到的地方，不斷研究技術(shù)及措施，提供安全防護水平。確保安全的措施要有合理的

10、理論依據(jù)，根據(jù)風險評估結(jié)果，針對單位內(nèi)部安全狀況和可 能存在的問題采取不同級別的安全措施，對措施實施的場所、對象（每個業(yè)務的場合、個人 信息業(yè)務類型），制定合理的得到執(zhí)行者認可的最好的安全保護措施。安全管理規(guī)定要根據(jù)安全策略的對應點制定，主要應包括：1）權(quán)限管理權(quán)限管理和限制規(guī)定；個人信息處理權(quán)限，利用和許可權(quán)限的規(guī)定；2）技術(shù)性（系統(tǒng)性、物理性）對設備、網(wǎng)絡、系統(tǒng)結(jié)構(gòu)安全要求和管理措施；3）人員管理對人員規(guī)范操作的管理和制約，防止人為錯誤發(fā)生的措施；4）出入管理對個人信息獲取場所的進出管理；5）網(wǎng)絡管理包括內(nèi)網(wǎng)和外網(wǎng)的管理規(guī)定；6）存儲的防護措施和規(guī)定存儲控制、外部聯(lián)接的自動中斷、存取時間的

11、記錄、存取時間定期檢查及阻止設定、存 儲設備的管理規(guī)定；7）密碼和密鑰管理規(guī)定對個人信息保管位置的密鑰管理，密鑰及密鑰使用和管理人員的管理規(guī)定，設置修改密 碼的措施等相關(guān)規(guī)定；8）事故保障措施數(shù)據(jù)備份和記錄的保存規(guī)定，發(fā)生事故時的處理辦法等；9）有關(guān)個人信息安全的記錄在線操作記錄；個人信息接受和廢棄的記錄和事故記錄的要求和格式規(guī)定；10）電子郵 件和網(wǎng)絡病毒入侵的防護措施規(guī)定；11）有關(guān)個人信息保護文件和文檔的管理規(guī)定。5、有關(guān)個人信息委托的原則和規(guī)定有關(guān)委托個人信息相關(guān)業(yè)務時的規(guī)定和合同條款中的要求；再委托時的選定標準。6、有關(guān)保障信息主體權(quán)利的措施和規(guī)定信息主體對個人信息利用、提供拒絕權(quán)的

12、措施，在合同中有關(guān)信息主體權(quán)限的規(guī)定；有 關(guān)信息主體對個人信息公開、修改、刪除的要求規(guī)定。7、與用戶保持溝通的措施和規(guī)定客戶控訴處理原則和措施。對客戶提出的意見及建議，及時做出反饋和采取相應措施.并 記錄和保存。（三）、個人信息保護培訓教育規(guī)定教育計劃的制定和有關(guān)培訓教育的詳細規(guī)定，主要應包括：培訓的目的；培訓教育計劃;培訓時間、期限、對象；培訓的內(nèi)容、方法、教材；負責人及教員；培訓效果的確認；教育培訓記錄的格式。培訓教育記錄表參考格式XXXX年度教育培訓實施記錄日期:年填表人：月 日培訓項目名稱使用教材教師及負責部門受訓對象及部門參加培訓人數(shù)單位員工（名/ 名） 合同員工（名/ 名） 其他人

13、員（名/ 名） 合計（名/ 名）培訓摘要介紹（四）、個人信息監(jiān)查規(guī)定對單位個人信息保護狀況要隨時進行監(jiān)查，對相關(guān)規(guī)章、規(guī)定的實施情況進行監(jiān)查，監(jiān) 查規(guī)定主要應包括：監(jiān)查目的；對象、時間、期限；監(jiān)查計劃的制定；監(jiān)查實施方法；監(jiān)查報告書；監(jiān)查記錄的內(nèi)容及格式。監(jiān)查記錄表參考格式XXXX年度監(jiān)查實施記錄填表人：日期：年 月 日被監(jiān)查部門監(jiān)查日期監(jiān)查主題監(jiān)查人姓名監(jiān)查負責人：監(jiān)查內(nèi)容,監(jiān)查結(jié)果概要需要改進的事項處理結(jié)果和改進結(jié)果情況監(jiān)查報告及認可（五）、違反個人信息保護規(guī)章制度的處罰規(guī)定有關(guān)部門和個人在違反個人信息保護規(guī)章制度時的處罰原則，雇傭合同中有關(guān)違反個人 信息保護規(guī)章的懲罰條款。五、部門詳細規(guī)

14、則制定部門詳細規(guī)則由各部門個人信息保護責任人協(xié)助制定，部門個人信息保護責任人要明確 了解單位個人信息保護策略和基本規(guī)章部門個人信息保護規(guī)則要與單位基本規(guī)章相一致，詳 細規(guī)則必須切實可行，而且要求具體操作人員可以理解和執(zhí)行。1、在建立基本規(guī)章的基礎上，要根據(jù)各部門的業(yè)務及特點，由個人信息保護組織或機構(gòu) 協(xié)助和組織部門個人信息保護責任人建立各部門的切實可行的管理細則，由部門個人信息保 護責任人負責實施；2、對特殊業(yè)務，要根據(jù)業(yè)務特點制定特殊的個人信息保護細則。六、運行實施按照單位個人信息保護策略和規(guī)章建立符合大連軟件及信息服務業(yè)個人信息保護規(guī)范 要求的單位個人信息保護體制是非常重要的，實施的關(guān)鍵點

15、有：1、領導者的重視與支持領導者應在資金的人員上給予支持，以保護個人信息保護工作的開展；2、按照個人信息保護機構(gòu)與責任規(guī)定明確責任及分工；。明確個人信息管理負責人、各部門責任人、監(jiān)查人、每一個員工的責 任，各施其責，保證自己的責任范圍不出問題，從而保護整個單位的個人信息保護工作的嚴 密性；3、全體員工的理解和配合個人信息保護工作需要每一位員工的理解和支持，要讓員工知道個人信息保護工作關(guān)系到 單位的業(yè)績和個人的收入，以保證員工能自覺做好這項工作;4、風險評估風險評估是制定規(guī)章的基礎，在風險評估中對個人信息業(yè)務全過程的跟蹤的分析非常重 要，找到每一個漏洞和需要防護的點，以可以接受的成本，確認、控制

16、、排除可能造成個人 信息安全危險。5、與單位相適應的規(guī)章制度的制定及管理措施規(guī)章制度應符合單位實際情況，保證實施，并根據(jù)業(yè)務及情況的變化進行必要的修改，對 每次修改要認真和有記錄；6、培訓與教育按照教育計劃開展個人信息保護培訓教育工作，讓單位每一個員工都比較深入地了解個人 信息保護的原則、策略、方法的措施是保證個人信息保護工作開展的根本，培訓教育要注重 效果，保證質(zhì)量。7、監(jiān)查制度的建立監(jiān)查制度對單位個人信息保護狀態(tài)起到促進作用，監(jiān)查報告對整個單位個人信息保護狀況 的總結(jié)和提供改進參考。8、為保證個人信息安全的軟件、硬件配備應完善對服務器、網(wǎng)絡、計算機、存儲設備都要有具體的防護手段，包括物理管

17、理、邏輯管理和 技術(shù)措施，防止外部侵入及泄漏。包括物理和技術(shù)管理措施，安全管理的軟硬件設備的采用; 嚴格執(zhí)行單位有關(guān)個人信息收集、利用、提供的管理規(guī)定，對實際運營的記錄的保管，對每 個業(yè)務的實施、標準、方法；人員管理、權(quán)限管理、網(wǎng)絡管理、設備管理、系統(tǒng)管理、邏輯 管理，操作規(guī)范管理，備份管理，殘余風險管理，業(yè)務連續(xù)性管理等。9、不斷的評估與改善對建立的單位個人信息保護體制的運行過程隨時監(jiān)查和對存在的問題及時改進，以保持不 斷運行和持續(xù)改善。10、所有有關(guān)個人信息保護的規(guī)章制度、文件、表格等都應按照文件管理規(guī)定進行管理, 并保持最新版本；七、運行狀況的監(jiān)查在個人信息保護制度運行一段時間后，由監(jiān)查負責人對單位個人信息保護狀況進行監(jiān)查, 對個人信息保護實施情況給予確認，對每次監(jiān)查結(jié)果形成監(jiān)查報告，給單位領導者提出改進 意見。八、持續(xù)改善單位負責人要根據(jù)監(jiān)查報告書和業(yè)務發(fā)展情況，隨時對個人信息保護規(guī)章制度進行修改 和完善。對改進內(nèi)容要記錄在文檔中，主要包括應該改進的內(nèi)容、日期、改進的經(jīng)過。參考資料：1、中華人民共和國計算機信息系統(tǒng)安全保護條例1994年2月18日中華人民共和國國務院令147號發(fā)布2、計算機信息系統(tǒng)安全保護等級劃分準則GB 1