1、数据安全责任人
网络运营者开展经营和服务活动,处理重要数据和敏感个人信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行职责。
数据安全责任人应具备数据安全专业知识和相关管理工作经历,参与有关数据处理的重要决策,履行以下职责:
a) 组织确定数据保护目录,制定数据安全保护计划并督促落实;
b) 组织开展数据安全影响分析和风险评估,督促整改安全隐患;
c) 依法向有关部门报告数据安全保护和事件处置情况;
d) 组织受理和处置数据安全投诉、举报。
2、人力资源保障与考核
在人力资源保障与考核方面,网络运营者应:
a)明确数据安全保护岗位及职责,并提供人力资源保障。
b) 建立人力资源考核制度,明确数据安全管理考核指标和问责机制,对相关人员特别是重要岗位人员的履职情况进行考核。出现数据安全重大事件时,对直接负责的主管人员和其他直接责任人员进行问责。
3、事件应急处置
网络运营者应建立数据安全事件应急响应机制,并根据数据安全计划的变化而及时调整,确保数据安全事件得到及时有效处置。
a)应急响应机制包括:
1)数据安全事件分级;
2)启动条件;
3) 启动所需的资源,如人员、设备、场所、工具、资金等;
4) 流程、人员安排和操作手册。
b)配备应急响应所需的资源,确保应急响应机制能够有效实施。
c) 制定应急演练计划,按计划或者在应急响应机制发生变化后,组织开展应急演练,检验和完善应急响应机制,提高实战能力。
发生数据安全事件时,网络运营者应立即启动应急响应机制,采取相应的补救和防范措施。涉及个 人信息的,及时以电话、短信、邮件或者信函等方式告知个人信息主体,同时对可能危害国家安全、公共 安全、经济安全和社会稳定的按相关要求向有关部门报告。
《GB/T 41479—2022 信息安全技术 网络数据处理安全要求》
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
