茂名职业技术学院个人信息安全事件应急预案
为做好茂名职业技术学院个人信息安全事件的防范和应急处理工作,进一步提高学院预防和控制个人信息安全事件的能力和水平,确保学院个人信息安全,根据《中华人民共和国个人信息保护法》《互联网个人信息安全保护指南》等相关法律条例,及公安和教育部门等文件精神,结合学院校园个人信息工作实际,特制订本预案。
一、工作原则及适用范围
(1)工作原则
统一领导,明确责任。在学院网络与信息安全工作领导小组的领导下,按照“谁主管、谁负责,谁主办、谁负责”的原则,明确落实应急处理部门和各级部门的安全责任,共同提高学院个人信息安全事件应急处理水平。
快速反应,科学处置。按照快速反应机制,及时获取信息、跟踪研判、科学决策、果断处置,最大限度地降低个人信息安全事件所造成的危害和影响。
防范为主,加强监控。广泛宣传个人信息安全基本知识,切实落实个人信息安全防范措施。
(2)适用范围
本预案所称的个人信息安全事件,是指个人信息泄露或者丢失教职工及学生个人信息,造成不良社会影响或严重后果的事件。
二、个人信息安全事件的级别
按照个人信息安全事件的信息泄露(丢失)数量、严重程度、可控性和影响范围,将其分为如下级别:
1.特大个人信息安全事件(I 级)。指造成恶劣影响和严重后果, 社会反响强烈的用户信息安全事件,或泄露 100 条以上、丢失10000 条以上的用户个人信息的;
2.重大个人信息安全事件(Ⅱ级)。指造成较大社会影响和较严重后果的用户信息安全事件,或泄露 10 条以上、丢失 100 条以上的用户个人信息的;
3.较大个人信息安全事件(Ⅲ级)。指造成一定社会影响或可能对学院造成一定负面影响,或泄露10条以上、丢失20条以上的用户个人信息的。
4.一般个人信息安全事件(Ⅳ级)。指造成一定社会影响或可能对学院造成一定负面影响的用户信息安全事件。
三、应急处理组织机构
学院网络与信息安全工作领导小组负责个人信息安全事件应急处理工作的统筹领导与协调。
四、应急处置
在前期处置基础上,由学院网络与信息安全工作领导小组按照基本响应程序,及时掌握事件的发展情况,研判事件级别、影响范围、发展趋势,根据研判结果启动个人信息安全事件应急响应预案。根据个人信息安全事件的可控性、严重程度和影响范围,发布相应等级的应急响应,对于特大或重大个人信息安全事件,同时向上级和公安部门报告。对于较大或一般个人信息安全事件,由学院网络与信息安全工作领导小组召集各相应部门,制定处置方案,开展应急处置工作。
在本预案启动后,学院网络与信息安全工作领导小组研究制定学院应对个人信息安全事件的政策措施和指导意见;负责具体指挥学院特大、重大个人信息安全应急处置工作,指挥协调各部门做好较大、一般个人信息安全事件的应急处置工作。
具体处置方法如下:
1、发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患。
2、发生个人信息安全事件后,应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门。
3、应对安全事件造成的影响进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大。
4、应按《国家网络安全事件应急预案》等相关规定及时上报安全事件,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响, 已采取或将要采取的处置措施,事件处置相关人员的联系方式。
5、应将事件的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。
在个人信息安全事件处置已基本完成,次生灾害基本消除,风险得到控制后,应急处置工作即告结束。
五、善后处置
网络与信息安全工作领导小组会同事发及相关单位(部门),对个人信息安全事件的起因、性质、影响、责任、教训等问题进行调查评估,确定责任人。个人信息安全事件处置的过程和结果进行备案。
六、监督检查
网络与信息安全工作领导小组负责对执行本预案的情况进行监督、检查。对违反本预案操作导致严重不良后果的部门和负责人,将会同相关部门追究其相应责任。
七、附则
本预案由学院网络与信息安全工作领导小组负责解释,自印发之日起实行