企业个人信息保护规章制度建立指导

大连软件及信息效劳业个人信息保护评价指南前言大连软件及信息效劳业个人信息保护评价指南,以下简称“指南〞,是依据?大连软件及信息效劳业个人信息保护标准?的要求,为大连软件及信息效劳单位个人信息保护 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 的建立提供的一个参考资料,主要包括单位个人信息保护的策略制定、风险评估、组织机构、 规章制度 食品安全规章制度下载关于安全生产规章制度关于行政管理规章制度保证食品安全的规章制度范本关于公司规章制度 的建立、实施、培训教育、监查、维护及改善的过程,单位可以参考“指南〞,根据本单位的性质、业务范围、业务量等实际情况,同时参考国家相关信息平安标准和法规,建立本单位的个人信息保护制度..目录一组织机构的建立和职能确定二个人信息平安风险评估三策略制定与宣传四根本规章的制定五详细规章制定六运行实施七运行状况的监查八持续改善一、组织机构的建立和职能确定建立单位个人信息保护组织机构和确定单位个人信息保护负责人,并形成文件加以保存,在人员变动时应及时补充,保证单位个人信息保护组织机构的完整.单位领导者应在资金和资源上给予支持.1、治理层：任命个人信息保护负责人,负责单位个人信息保护体制的建立和整体规划,负责全单位的个人信息保护工作的开展,组织制定单位个人信息保护策略,组织单位个人信息保护根本规章制度的制定,组织部门个人信息保护 责任 安全质量包保责任状安全管理目标责任状8安全事故责任追究制幼儿园安全责任状占有损害赔偿请求权 人共同制定部门治理细那么,组织培训教育及监查工作的实施；2、部门负责人1〕单位要明确各部门的个人信息保护权限及责任,并形成文件.指定各部门的个人信息保护责任人,负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护治理规定；2〕指定个人信息保护培训与教育工作负责人,配合制定培训教育规定,制定培训教育计划,并负责教育方案的实施；3、监查责任人监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性.负责定期或不定期对单位个人信息保护情况进行监查,负责写出监查报告并提出改良意见.4、指定客户窗口责任人,负责接受客户和消费者的意见和建议,提出处理意见和促进意见的落实和反应；在出现问题时负责与客户和消费沟通和讨论补偿举措及损失赔偿二、个人信息平安风险评估个人信息平安风险评估是制定个人信息保护平安举措的根底,单位应指派专人对单位个人信息平安风险进行评估,个人信息平安风险评估要根据单位业务、规模、自身水平和个人信息的使用过程中可能存在的问题进行分析,考虑到获取上的风险、利用上的风险、提供上的风险等,还要考虑到剩余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险,考虑到技术变化和环境变化可能会产生的风险.理解风险与规章的关系、风险与教育和监查的关系.个人信息平安风险评估主要应包括：1、整理单位拥有的所有个人信息,并进行分类；2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员,并做出流程3、根据流程图分析可能发生风险的地方；4、随时掌握和跟踪新发生的个人信息的操作过程和新业务；5、对人员治理中可能存在的风险分析；6、对系统治理、网络治理可能出现的风险分析；7、对已经发生的个人信息保护失当事件的原因分析,找到其中的问题和漏洞.8、制定风险对策,提出举措意见给个人信息保护负责人,帮助个人信息保护负责人制定单位个人信息保护规章制度.三、策略制定及宣传由个人信息保护治理层制定个人信息保护策略,并向全体员工宣传.个人信息保护策略应与单位整体策略及文化相一致,融入单位的整个信息治理过程.个人信息保护策略应包括:1、宣传策略要向全体员工宣传个人信息保护的重要性和必要性,宣传建立个人信息保护体制对单位和个人的好处,使人人自愿做好个人信息保护工作；在单位宣传资料中或网站上增加个人信息保护相关内容；在承接有个人信息保护工程时主动向客户和消费者宣传单位在个人信息保护上的举措和规定.建立个人信息保护体制的好处主要有：＞有利于单位标准信息平安治理,提升单位的信誉＞提升客户和消费者对单位的信任度,可以得到更多的业务,从而提升单位经济效益.＞在保护个人信息的同时,也使单位和员工个人的信息得到保护.2、人员治理策略1〕在雇佣 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 中要有关于个人信息保护的条款和违反规定的惩罚2〕每个人都应该明确自己在个人信息保护上所负的责任和应该如何做,建立个人信息保护责任制；3、平安治理策略平安治理策略主要应包括：1〕个人信息标准化、标准化治理策略；2〕整个业务流程全过程跟踪治理策略3〕权限治理策略；4〕文档治理策略.5〕技术策略主要包括：软件及硬件设备治理、网络治理、系统治理等策略.5、持续改善的策略.四、根本规章的制定根据单位业务性质、业务量、自身水平,根据风险评估中存在的风险问题和漏洞,依据?大连软件及信息效劳业个人信息保护标准?要求和国家信息平安治理的标准及法规、单位个人信息保护策略,制定符合本单位的个人信息保护根本规章,并文档化.根本规章主要包括：个人信息保护组织机构与责任的规定；个人信息收集、利用、提供、委托、处理等治理规定；个人信息保护培训教育规定；个人信息保护监查规定；违反个人信息保护规章制度的处分规定.〔一〕、有关个人信息保护组织机构与责任的规定个人信息保护治理者、监查者相关权限和责任的根本规定,主要包括：1、个人信息保护责任人的任命及责任规定,2、各部门个人信息保护责任人的任命和责任规定、3、培训教育责任人确实定及责任规定4、客户窗口责任人确实定及责任规定5、监查责任人的指定及责任规定〔二卜有关个人信息收集、利用、提供、委托、信息主体权利的规定该规定应包括个人信息获取的目的、方法、途径、保管的方法、形式、期间和废弃的方法,预防个人信息泄漏、丧失、破坏、非法修改的具体规定,主要应包括：1、有关个人信息收集的目的、原那么、方法、直接收集和间接收集的举措；禁止收集的特定信息的规定；2、有关个人信息利用与提供的原那么和方法；收集目的外个人信息利用与提供的举措的规定；处理结果确认规定；3、有关个人信息正保证管的原那么和方法；个人信息保护记录的要求和格式；个人信息的更新与修改的规定；单位有关个人信息保护相关文档的治理规定.个人信息保护记录参考格式业务个人信息内容收集时间收集方法个人信息存放形式保管位置保管期限提供者废弃方法4、个人信息平安治理相对应的治理规定.从技术、物理和治理角度保证个人信息平安的举措,合理的平安对策,十分有效的方法,深入讨论研究,以到达最好的保护状态.止匕外,应将治理规定放在人人可以看到的地方,不断研究技术及举措,提供平安防护水平.保证平安的举措要有合理的理论依据,根据风险评估结果,针对单位内部平安状况和可能存在的问题采取不同级别的平安举措,对举措实施的场所、对象〔每个业务的场合、个人信息业务类型〕,制定合理的得到执行者认可的最好的平安保护举措.平安治理规定要根据平安策略的对应点制定,主要应包括：1〕权限治理权限治理和限制规定；个人信息处理权限,利用和许可权限的规定；2〕技术性〔系统性、物理性〕对设备、网络、系统结构平安要求和治理举措；3〕人员治理对人员标准操作的治理和制约,预防人为错误发生的举措；4〕出入治理对个人信息获取场所的进出治理；5〕网络治理包括内网和外网的治理规定；6〕存储的防护举措和规定存储限制、外部联接的自动中断、存取时间的记录、存取时间定期检查及阻止设定、存储设备的治理规定；7〕密码和密钥治理规定对个人信息保管位置的密钥治理,密钥及密钥使用和治理人员的治理规定,设置修改密码的举措等相关规定;8〕事故保证举措数据备份和记录的保存规定,发生事故时的处理方法等；9〕有关个人信息平安的记录在线操作记录；个人信息接受和废弃的记录和事故记录的要求和格式规定；10〕电子邮件和网络病毒入侵的防护举措规定；11〕有关个人信息保护文件和文档的治理规定.5、有关个人信息委托的原那么和规定有关委托个人信息相关业务时的规定和合同条款中的要求；再委托时的选定标准.6、有关保证信息主体权利的举措和规定信息主体对个人信息利用、提供拒绝权的举措,在合同中有关信息主体权限的规定；有关信息主体对个人信息公开、修改、删除的要求规定.7、与用户保持沟通的举措和规定客户控诉处理原那么和举措.对客户提出的意见及建议,及时做出反应和采取相应举措.并记录和保存.〔三卜个人信息保护培训教育规定教育方案的制定和有关培训教育的详细规定,主要应包括：培训的目的；培训教育方案；培训时间、期限、对象；培训的内容、方法、教材；负责人及教员；培训效果确实认；教育培训记录的格式.培训教育记录表参考格式XXXX年度教育培训实施记录填表人：日期：年月日培训工程名称使用教材教师及负责部门受训对象及部门参加培训人数单位员工〔名/名〕合同员工〔名/名〕其他人员〔名/名〕合计〔名/名〕培训摘要介绍〔四卜个人信息监查规定对单位个人信息保护状况要随时进行监查,对相关规章、规定的实施情况进行监查,监查规定主要应包括：监查目的；对象、时间、期限；监查方案的制定；监查实施方法；监查报告书；监查记录的内容及格式.监查记录表参考格式XXXX年度监查实施记录填表人：日期：年月日被监查部门监查日期监查主题监查人姓名监查负责人：〈监查内容＞〈监查结果概要＞〈需要改良的事项＞〈处理结果和改良结果情况＞〈监查报告及认可＞〔五卜违反个人信息保护规章制度的处分规定有关部门和个人在违反个人信息保护规章制度时的处分原那么,雇佣合同中有关违反个人信息保护规章的惩罚条款.五、部门详细规那么制定部门详细规那么由各部门个人信息保护责任人协助制定,部门个人信息保护责任人要明确了解单位个人信息保护策略和根本规章部门个人信息保护规那么要与单位根本规章相一致,详细规那么必须切实可行,而且要求具体操作人员可以理解和执行.1、在建立根本规章的根底上,要根据各部门的业务及特点,由个人信息保护组织或机构协助和组织部门个人信息保护责任人建立各部门的切实可行的治理细那么,由部门个人信息保护责任人负责实施；2、对特殊业务,要根据业务特点制定特殊的个人信息保护细那么.六、运行实施根据单位个人信息保护策略和规章建立符合?大连软件及信息效劳业个人信息保护标准?要求的单位个人信息保护体制是非常重要的,实施的关键点有：1、领导者的重视与支持领导者应在资金的人员上给予支持,以保护个人信息保护工作的开展；2、根据个人信息保护机构与责任规定明确责任及分工；.明确个人信息治理负责人、各部门责任人、监查人、每一个员工的责任,各施其责,保证自己的责任范围不出问题,从而保护整个单位的个人信息保护工作的严密性；3、全体员工的理解和配合个人信息保护工作需要每一位员工的理解和支持,要让员工知道个人信息保护工作关系到单位的业绩和个人的收入,以保证员工能自觉做好这项工作;4、风险评估风险评估是制定规章的根底,在风险评估中对个人信息业务全过程的跟踪的分析非常重要,找到每一个漏洞和需要防护的点,以可以接受的本钱,确认、限制、排除可能造成个人信息平安危险.5、与单位相适应的规章制度的制定及治理举措规章制度应符合单位实际情况,保证实施,并根据业务及情况的变化进行必要的修改,对每次修改要认真和有记录；6、培训与教育根据教育方案开展个人信息保护培训教育工作,让单位每一个员工都比拟深入地了解个人信息保护的原那么、策略、方法的举措是保证个人信息保护工作开展的根本,培训教育要注重效果,保证质量.7、监查制度的建立监查制度对单位个人信息保护状态起到促进作用,监查报告对整个单位个人信息保护状况的 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf 和提供改良参考.8、为保证个人信息平安的软件、硬件配备应完善对效劳器、网络、计算机、存储设备都要有具体的防护手段,包括物理治理、逻辑治理和技术举措,预防外部侵入及泄漏.包括物理和技术治理举措,平安治理的软硬件设备的采用；严格执行单位有关个人信息收集、利用、提供的治理规定,对实际运营的记录的保管,对每个业务的实施、标准、方法；人员治理、权限治理、网络治理、设备治理、系统治理、逻辑治理,操作标准治理,备份治理,剩余风险治理,业务连续性治理等.9、不断的评估与改善对建立的单位个人信息保护体制的运行过程随时监查和对存在的问题及时改良,以保持不断运行和持续改善.10、所有有关个人信息保护的规章制度、文件、表格等都应根据文件治理规定进行治理,并保持最新版本；七、运行状况的监查在个人信息保护制度运行一段时间后,由监查负责人对单位个人信息保护状况进行监查,对个人信息保护实施情况给予确认,对每次监查结果形成监查报告,给单位领导者提出改良意见.八、持续改善单位负责人要根据监查报告书和业务开展情况,随时对个人信息保护规章制度进行修改和完善.对改良内容要记录在文档中,主要包括应该改良的内容、日期、改良的经过.参考资料：1、中华人民共和国计算机信息系统平安保护条例1994年2月18日中华人民共和国国务院令147号发布2、计算机信息系统平安保护等级划分准那么GB17859-1999〔中华人民共和国国家标准〕1999年9月13日国家质量技术监督局发布2001年1月1日实施3、计算机信息系统平安保护等级系列标准GA/T389-2002?计算机信息系统平安等级保护数据库治理系统技术要求?GA/T390-2002?计算机信息系统平安等级保护通用技术要求?GA388-2002?计算机信息系统平安等级保护操作系统技术要求?GA/T387-2002?计算机信息系统平安等级保护网络技术要求?GA391-2002?计算机信息系统平安等级保护治理要求?2002年7月18日中华人民共和国公安部发行4、OECDI项根本原那么5、JISQ15001