制定个人信息安全事件应急预案并组织实施

应急预案是指突发事件应急方针、政策，应急组织结构及其职责，应急行动、措施和保障等方面的要求和程序的文件。在个人信息处理活动中，可能会面临系统漏洞、计算机病毒、网络攻击和入侵以及内部人员误操作和故意操作等多种安全风险，导致发生个人信息被篡改、损毁或者泄露等安全事件。为了有效应对、处置个人信息安全事件，保障个人信息的安全，本条要求个人信息处理者制定个人信息安全事件应急预案。个人信息处理者应当结合自身业务的实际，对个人信息安全风险进行系统评估并作出预测，提出应对个人信息安全事件的指导思想、基本策略，组织机构、人员、技术、物资保障，指挥处置程序、应急和支持措施等，制定形成预案，使个人信息安全事件应急处置工作有章可循、有据可依。应急预案通常应当包括有关各方的分工和责任、安全风险的主要场景、各类安全事件的判断方法和流程、应急处置操作流程、应急处置过程中的关键状态以及不同状态的沟通和报告内容及等级、可采取的补救措施及业务恢复步骤程序等。

制定个人信息安全事件应急预案后，个人信息处理者还应切实加强应急预案实施的相关工作，包括对相关人员进行应急预案培训，定期对应急预案进行演练，并根据演练情况或者在业务、处理系统发生变化时及时对原有的应急预案重新评估、修改完善。在发生个人信息安全事件时，个人信息处理者应当立即启动应急预案，根据应急预案采取相应的措施，及时查明影响范围，分析、确定事件原因，提出防止危害扩大的措施和方案并组织实施，将危害造成的损失降低到最小。此外，因个人信息安全事件导致或者可能导致个人信息泄露、篡改、丢失的，个人信息处理者还应当按照本法第五十七条的规定履行向个人和有关主管部门通知的义务。(www.xing528.com)