企业个人信息保护规章制度建立指导-2022.docxVIP

企业个人信息保护规章制度建立指导 本单位的个人信息保护制度。。 目录 一组织机构的建立和职能确定 二个人信息安全风险评估 三策略制定与宣传 四基本规章的制定 五详细规章制定 六运行实施 七运行状况的监查 八持续改善 一、组织机构的建立和职能确定 建立单位个人信息保护组织机构和确定单位个人信息保护负责人，并形成文件加以保存，在人员变动时应及时补充，保证单位个人信息保护组织机构的完整。单位领导者应在资金和 资源上给予支持。 1、管理层： 任命个人信息保护负责人，负责单位个人信息保护体制的建立和整体规划，负责全单位的个人信息保护工作的开展，组织制定单位个人信息保护策略，组织单位个人信息保护基本规章制度的制定，组织部门个人信息保护责任人共同制定部门管理细则，组织培训教育及监 查工作的实施； 2、部门负责人 1)单位要明确各部门的个人信息保护权限及职责，并形成文件。指定各部门的个人信息保护责任人，负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定； 2)指定个人信息保护培训与教育工作负责人，配合制定培训教育规定，制定培训教育计划，并负责教育计划的实施； 3、监查责任人 监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。负责定期或不定期对单位个人信息保护情况进行监查，负责写出监查报告并提出改进意见。 4、指定客户窗口责任人，负责接受客户和消费者的意见和建议，提出处理意见和促进意 见的落实和反馈；在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿 二、个人信息安全风险评估 个人信息安全风险评估是制定个人信息保护安全措施的基础，单位应指派专人对单位个人信息安全风险进行评估，个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析，考虑到获取上的风险、利用上的风险、提供上的风险等，还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险，考虑到技术变化和环境变化可能会产生的风险。理解风险与规章的关系、风险与教育和监查的关系。个人信息安全风险评估主要应包括： 1、整理单位拥有的所有个人信息，并进行分类； 2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员，并做出流程 图； 3、根据流程图分析可能发生风险的； 4、随时掌握和跟踪新发生的个人信息的操作过程和新业务； 5、对人员管理中可能存在的风险分析； 6、对系统管理、管理可能出现的风险分析； 7、对已经发生的个人信息保护失当事件的原因分析，找到其中的问题和漏洞。 8、制定风险对策，提出措施意见给个人信息保护负责人，帮助个人信息保护负责人制定 单位个人信息保护规章制度。 三、策略制定及宣传 由个人信息保护管理层制定个人信息保护策略，并向全体员工宣传。个人信息保护策略 应与单位整体策略及文化相一致，融入单位的整个信息管理过程。个人信息保护策略应包括： 1、宣传策略 要向全体员工宣传个人信息保护的重要性和必要性，宣传建立个人信息保护体制对单位 和个人的好处，使人人自愿做好个人信息保护工作； 在单位宣传资料中或网站上增加个人信息保护相关内容； 在承接有个人信息保护项目时主动向客户和消费者宣位在个人信息保护上的措施和 规定。 建立个人信息保护体制的好处主要有： 2、人员管理策略 1)在雇佣合同中要有关于个人信息保护的条款和违反规定的惩罚 2)每个人都应该明确自己在个人信息保护上所负的责任和应该如何做，建立个人信息保护责任制； 3、安全管理策略 安全管理策略主要应包括： 1)个人信息标准化、规范化管理策略； 2)整个业务流程全过程跟踪管理策略 3)权限管理策略； 4) 5)技术策略 主要包括：软件及硬件设备管理、管理、系统管理等策略。 5、持续改善的策略。 四、基本规章的制定 个人信息保护组织机构与责任的规定； 个人信息收集、利用、提供、委托、处理等管理规定； 个人信息保护培训教育规定； 个人信息保护监查规定； 违反个人信息保护规章制度的处罚规定。 (一)、有关个人信息保护组织机构与责任的规定 个人信息保护管理者、监查者相关权限和责任的基本规定，主要包括： 1、个人信息保护责任人的任命及职责规定， 2、各部门个人信息保护责任人的任命和职责规定、 3、培训教育责任人的确定及职责规定 4、客户窗口责任人的确定及职责规定 5、监查责任人的指定及职责规定 (二)、有关个人信息收集、利用、提供、委托、信息主体权利的规定 该规定应包括个人信息获取的目的、方法、途径、保管的方法、形式、期间和废弃的方 1、有关个人信息收集的目的、原则、方法、直接收集和间接收集的措施；禁止收集的特定信息的规定； 2、有关个人信息利用与提供的原则和方法