大连软件及信息服务业个人信息保护评价指南前言大连软件及信息服务业个人信息保护评价指南，以下简称“指南”，是依据《大连软件及信息服务业个人信息保护规范》的要求，为大连软件及信息服务单位个人信息保护制度的建立提供的一个参考资料，主要包括单位个人信息保护的策略制定、风险评估、组织机构、规章制度的建立、实施、培训教育、监查、维护及改善的过程，单位可以参考“指南”，根据本单位的性质、业务范围、业务量等实际情况，同时参考国家相关信息安全标准和法规，建立本单位的个人信息保护制度。

目录一组织机构的建立和职能确定二个人信息安全风险评估三策略制定与宣传四基本规章的制定五详细规章制定六运行实施七运行状况的监查八持续改善一、组织机构的建立和职能确定建立单位个人信息保护组织机构和确定单位个人信息保护负责人，并形成文件加以保存，在人员变动时应及时补充，保证单位个人信息保护组织机构的完整。

单位领导者应在资金和资源上给予支持。

1、管理层：任命个人信息保护负责人，负责单位个人信息保护体制的建立和整体规划，负责全单位的个人信息保护工作的开展，组织制定单位个人信息保护策略，组织单位个人信息保护基本规章制度的制定，组织部门个人信息保护责任人共同制定部门管理细则，组织培训教育及监查工作的实施；2、部门负责人1) 单位要明确各部门的个人信息保护权限及职责，并形成文件。

指定各部门的个人信息保护责任人，负责本部门个人信息保护工作的开展和配合单位个人信息保护负责人制定本部门个人信息保护管理规定；2) 指定个人信息保护培训与教育工作负责人，配合制定培训教育规定，制定培训教育计划，并负责教育计划的实施；3、监查责任人监查负责人可以在单位内部指定,也可以在单位外部聘请,监查负责人应该在单位领导者的直接领导下并具有独立性。

负责定期或不定期对单位个人信息保护情况进行监查，负责写出监查报告并提出改进意见。

4、指定客户窗口责任人，负责接受客户和消费者的意见和建议，提出处理意见和促进意见的落实和反馈；在出现问题时负责与客户和消费沟通和讨论补偿措施及损失赔偿二、个人信息安全风险评估个人信息安全风险评估是制定个人信息保护安全措施的基础，单位应指派专人对单位个人信息安全风险进行评估，个人信息安全风险评估要按照单位业务、规模、自身能力和个人信息的使用过程中可能存在的问题进行分析，考虑到获取上的风险、利用上的风险、提供上的风险等，还要考虑到残余风险的存在和对策、考虑工作过程中新发生的个人信息的操作过程和新业务发生时新产生的风险，考虑到技术变化和环境变化可能会产生的风险。

理解风险与规章的关系、风险与教育和监查的关系。

个人信息安全风险评估主要应包括：1、整理单位拥有的所有个人信息，并进行分类；2、明确个人信息的使用过程、保存形式、保管方法、保存位置、接触人员，并做出流程图；3、根据流程图分析可能发生风险的地方；4、随时掌握和跟踪新发生的个人信息的操作过程和新业务；5、对人员管理中可能存在的风险分析；6、对系统管理、网络管理可能出现的风险分析；7、对已经发生的个人信息保护失当事件的原因分析，找到其中的问题和漏洞。

8、制定风险对策，提出措施意见给个人信息保护负责人，帮助个人信息保护负责人制定单位个人信息保护规章制度。

三、策略制定及宣传由个人信息保护管理层制定个人信息保护策略，并向全体员工宣传。

个人信息保护策略应与单位整体策略及文化相一致，融入单位的整个信息管理过程。

个人信息保护策略应包括：1、宣传策略要向全体员工宣传个人信息保护的重要性和必要性，宣传建立个人信息保护体制对单位和个人的好处，使人人自愿做好个人信息保护工作；在单位宣传资料中或网站上增加个人信息保护相关内容；在承接有个人信息保护项目时主动向客户和消费者宣传单位在个人信息保护上的措施和规定。

建立个人信息保护体制的好处主要有：>有利于单位规范信息安全管理，提高单位的信誉>提高客户和消费者对单位的信任度，可以得到更多的业务，从而提高单位经济效益。

>在保护个人信息的同时，也使单位和员工个人的信息得到保护。

2、人员管理策略1) 在雇佣合同中要有关于个人信息保护的条款和违反规定的惩罚2) 每个人都应该明确自己在个人信息保护上所负的责任和应该如何做，建立个人信息保护责任制；3、安全管理策略安全管理策略主要应包括：1) 个人信息标准化、规范化管理策略；2) 整个业务流程全过程跟踪管理策略3) 权限管理策略；4) 文档管理策略。

5) 技术策略主要包括：软件及硬件设备管理、网络管理、系统管理等策略。

5、持续改善的策略。

四、基本规章的制定根据单位业务性质、业务量、自身能力，根据风险评估中存在的风险问题和漏洞，依据《大连软件及信息服务业个人信息保护规范》要求和国家信息安全管理的标准及法规、单位个人信息保护策略，制定符合本单位的个人信息保护基本规章，并文档化。

基本规章主要包括：●个人信息保护组织机构与责任的规定；●个人信息收集、利用、提供、委托、处理等管理规定；●个人信息保护培训教育规定；●个人信息保护监查规定；●违反个人信息保护规章制度的处罚规定。

(一)、有关个人信息保护组织机构与责任的规定个人信息保护管理者、监查者相关权限和责任的基本规定，主要包括：1、个人信息保护责任人的任命及职责规定，2、各部门个人信息保护责任人的任命和职责规定、3、培训教育责任人的确定及职责规定4、客户窗口责任人的确定及职责规定5、监查责任人的指定及职责规定(二)、有关个人信息收集、利用、提供、委托、信息主体权利的规定该规定应包括个人信息获取的目的、方法、途径、保管的方法、形式、期间和废弃的方法，防止个人信息泄漏、丢失、破坏、非法修改的具体规定，主要应包括：1、有关个人信息收集的目的、原则、方法、直接收集和间接收集的措施；禁止收集的特定信息的规定；2、有关个人信息利用与提供的原则和方法；收集目的外个人信息利用与提供的措施的规定；处理结果确认规定；3、有关个人信息正确保管的原则和方法；个人信息保护记录的要求和格式；个人信息的更新与修改的规定；单位有关个人信息保护相关文档的管理规定。

个人信息保护记录参考格式4、个人信息安全管理相对应的管理规定。

从技术、物理和管理角度确保个人信息安全的措施，合理的安全对策，十分有效的方法，深入讨论研究，以达到最好的保护状态。

此外，应将管理规定放在人人可以看到的地方，不断研究技术及措施，提供安全防护水平。

确保安全的措施要有合理的理论依据，根据风险评估结果，针对单位内部安全状况和可能存在的问题采取不同级别的安全措施，对措施实施的场所、对象（每个业务的场合、个人信息业务类型），制定合理的得到执行者认可的最好的安全保护措施。

安全管理规定要根据安全策略的对应点制定，主要应包括：1)权限管理权限管理和限制规定；个人信息处理权限，利用和许可权限的规定；2) 技术性（系统性、物理性）对设备、网络、系统结构安全要求和管理措施；3) 人员管理对人员规范操作的管理和制约，防止人为错误发生的措施；4) 出入管理对个人信息获取场所的进出管理；5) 网络管理包括内网和外网的管理规定；6) 存储的防护措施和规定存储控制、外部联接的自动中断、存取时间的记录、存取时间定期检查及阻止设定、存储设备的管理规定；7) 密码和密钥管理规定对个人信息保管位置的密钥管理，密钥及密钥使用和管理人员的管理规定，设置修改密码的措施等相关规定；8)事故保障措施数据备份和记录的保存规定，发生事故时的处理办法等；9) 有关个人信息安全的记录在线操作记录；个人信息接受和废弃的记录和事故记录的要求和格式规定；10) 电子邮件和网络病毒入侵的防护措施规定；11) 有关个人信息保护文件和文档的管理规定。

5、有关个人信息委托的原则和规定有关委托个人信息相关业务时的规定和合同条款中的要求；再委托时的选定标准。

6、有关保障信息主体权利的措施和规定信息主体对个人信息利用、提供拒绝权的措施，在合同中有关信息主体权限的规定；有关信息主体对个人信息公开、修改、删除的要求规定。

7、与用户保持沟通的措施和规定客户控诉处理原则和措施。

对客户提出的意见及建议，及时做出反馈和采取相应措施.并记录和保存。

(三)、个人信息保护培训教育规定教育计划的制定和有关培训教育的详细规定，主要应包括：培训的目的；培训教育计划；培训时间、期限、对象；培训的内容、方法、教材；负责人及教员；培训效果的确认；教育培训记录的格式。

培训教育记录表参考格式(四)、个人信息监查规定对单位个人信息保护状况要随时进行监查，对相关规章、规定的实施情况进行监查，监查规定主要应包括：监查目的；对象、时间、期限；监查计划的制定；监查实施方法；监查报告书；监查记录的内容及格式。

监查记录表参考格式(五)、违反个人信息保护规章制度的处罚规定有关部门和个人在违反个人信息保护规章制度时的处罚原则，雇佣合同中有关违反个人信息保护规章的惩罚条款。

五、部门详细规则制定部门详细规则由各部门个人信息保护责任人协助制定，部门个人信息保护责任人要明确了解单位个人信息保护策略和基本规章部门个人信息保护规则要与单位基本规章相一致，详细规则必须切实可行，而且要求具体操作人员可以理解和执行。

1、在建立基本规章的基础上，要根据各部门的业务及特点，由个人信息保护组织或机构协助和组织部门个人信息保护责任人建立各部门的切实可行的管理细则，由部门个人信息保护责任人负责实施；2、对特殊业务，要根据业务特点制定特殊的个人信息保护细则。

六、运行实施按照单位个人信息保护策略和规章建立符合《大连软件及信息服务业个人信息保护规范》要求的单位个人信息保护体制是非常重要的，实施的关键点有：1、领导者的重视与支持领导者应在资金的人员上给予支持，以保护个人信息保护工作的开展；2、按照个人信息保护机构与责任规定明确责任及分工；。

明确个人信息管理负责人、各部门责任人、监查人、每一个员工的责任，各施其责，保证自己的责任范围不出问题，从而保护整个单位的个人信息保护工作的严密性；3、全体员工的理解和配合个人信息保护工作需要每一位员工的理解和支持，要让员工知道个人信息保护工作关系到单位的业绩和个人的收入，以保证员工能自觉做好这项工作；4、风险评估风险评估是制定规章的基础，在风险评估中对个人信息业务全过程的跟踪的分析非常重要，找到每一个漏洞和需要防护的点，以可以接受的成本，确认、控制、排除可能造成个人信息安全危险。

5、与单位相适应的规章制度的制定及管理措施规章制度应符合单位实际情况，保证实施，并根据业务及情况的变化进行必要的修改，对每次修改要认真和有记录；6、培训与教育按照教育计划开展个人信息保护培训教育工作，让单位每一个员工都比较深入地了解个人信息保护的原则、策略、方法的措施是保证个人信息保护工作开展的根本，培训教育要注重效果，保证质量。