企业个人信息保护规章制度建立指导.docVIP

大连软件及信息服务业个人信息保护评价指南 前言 大连软件及信息服务业个人信息保护评价指南，以下简称“指南”，是依据《大连软件及信息服务业个人信息保护规范》的要求，为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料，主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程，单位可以参考“指南”，根据本单位的性质、业务范围、业务量等实际情况，同时参考国家相关信息安全标准和法规，建立本单位的个人信息保护制度。。 目 录 一 组织机构的建立和职能确定 二 个人信息安全风险评估 三 策略制定与宣传 四 基本规章的制定 五 详细规章制定 六 运行实施 七 运行状况的监查 八 持续改善  一、组织机构的建立和职能确定 建立单位个人信息保护组织机构和确定单位个人信息保护负责人，并形成文件加以保存，在人员变动时应及时补充，保证单位个人信息保护组织机构的完整。单位领导者应在资金和资源上给予支持。 1、管理层： 任命个人信息保护负责人，负责单位个人信息保护体制的建立和整体规划，负责全单位的个人信息保护工作的开展，组织制定单位个人信息保护策略，组织单位个人信息保护基本规章制度的制定，组织部门个人信息保护责任人共同制定部门管理细则，组织培训教育及监查工作的实施； 2、部门负责人 1) 单位要明确各部门的个人信息保护权限及职责，并形成文件。指定各部门的个人信息保护责任人，负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定； 2) 指定个人信息保护培训与教育工作负责人，配合制定培训教育规定，制定培训教育计划，并负责教育计划的实施； 3、监查责任人 监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查，负责写出监查报告并提出改进意见。 4、指定客户窗口责任人，负责接受客户和消费者的意见和建议，提出处理意见和促进意见的落实和反馈；在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿 二、个人信息安全风险评估 个人信息安全风险评估是制定个人信息保护安全措施的基础，单位应指派专人对单位个人信息安全风险进行评估，个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析，考虑到获取上的风险、利用上的风险、提供上的风险等，还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险，考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括： 1、整理单位拥有的所有个人信息，并进行分类； 2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员，并做出流程图； 3、根据流程图分析可能发生风险的地方； 4、随时掌握和跟踪新发生的个人信息的操作过程和新业务； 5、对人员管理中可能存在的风险分析； 6、对系统管理、网络管理可能出现的风险分析； 7、对已经发生的个人信息保护失当事件的原因分析，找到其中的问题和漏洞。 8、制定风险对策，提出措施意见给个人信息保护负责人，帮助个人信息保护负责人制定单位个人信息保护规章制度。 三、策略制定及宣传 由个人信息保护管理层制定个人信息保护策略，并向全体员工宣传。个人信息保护策略应与单位整体策略及文化相一致，融入单位的整个信息管理过程。个人信息保护策略应包括： 1、宣传策略 要向全体员工宣传个人信息保护的重要性和必要性，宣传建立个人信息保护体制对单位和个人的好处，使人人自愿做好个人信息保护工作； 在单位宣传资料中或网站上增加个人信息保护相关内容； 在承接有个人信息保护项目时主动向客户和消费者宣传单位在个人信息保护上的措施和规定。 建立个人信息保护体制的好处主要有： 有利于单位规范信息安全管理，提高单位的信誉 提高客户和消费者对单位的信任度，可以得到更多的业务，从而提高单位经济效益。 在保护个人信息的同时，也使单位和员工个人的信息得到保护。 2、人员管理策略 1) 在雇佣合同中要有关于个人信息保护的条款和违反规定的惩罚 2) 每个人都应该明确自己在个人信息保护上所负的责任和应该如何做， 6、有关保障信息主体权利的措施和规定 信息主体对个人信息利用、提供拒绝权的措施，在合同中有关信息主体权限的规定；有关信息主体对个人信息公开、修改、删除的要求规定。 7、与用户保持沟通的措施和规定 客户控诉处理原则和措施。对客户提出的意见及建议，及时做出反馈和采取相应措施.并记录和保存。 (三)、个人信息保护培训教育规定 教育计划的制定和有关培训教育的详细规定，主要应包括： 培训的目的； 培训教