中国铁路总公司网络信息保护管理试行办
法
第一章总则
第1为加强中国铁路总公司(以下简称总公司)在业务活动中所涉及公
条民个人电子信息保护工作,根据《全国人民代表大会常务委员会关
于加强网络信息保护的决定》、《全国人民代表大会常务委员会关
于维护互联网安全的决定》、《信息安全技术公共及商用服务信息
系统个人信息保护指南》(GB/Z28828-2012)等有关法律法规和国
家标准,制定本办法。
第2总公司依法保护在业务活动中所收集、使用和产生的,能够识别公
条民个人身份和涉及公民个人隐私的电子信息。
任何单位和个人不得窃取或者以其他非法方式获取公民个人电子信
息,不得出售或者非法向他人提供公民个人电子信息。
第3有关单位、部门收集、使用公民个人电子信息应当依法合规,并履
条行审批程序。
第4有关单位、部门及其工作人员对在业务活动中收集、使用和产生的
条公民个人电子信息必须严格保密,不得泄露、篡改、毁损。
第5有关单位、部门应依照国家有关法律、法规、标准,制定公民个人
条电子信息管理制度,落实公民个人电子信息管理责任,并建立严格
的内控机制,定期对信息系统公民个人电子信息安全状况、管理制
度及措施落实情况进行自查或委托独立测评机构进行测评。
第二章工作职责
第6总公司信息化管理部门负责公民个人电子信息保护归口管理及协调
条组织工作,组织制定有关管理办法,检查指导有关单位和部门公民
个人电子信息保护工作。有关业务部门负责本部门所涉及公民个人
电子信息保护工作,制定管理制度,明确管理人员,落实保护管理
责任。
第7有关单位应将公民个人电子信息安全管理纳入本单位安全管理体
条系,制定实施细则,明确管理人员,落实管理责任。并将公民个人
电子信息保护教育工作纳入培训计划。
第8总公司有关业务部门根据需要提出收集、使用公民个人信息需求。
条信息化管理部门负责对收集、使用公民个人电子信息的必要性进行
审核。法律事务管理部门负责对收集、使用公民个人电子信息的正
当性、合法性进行审核。由总公司批准。
总公司其他部门需要使用所收集的公民个人电子信息时,需向信息
化管理部门提出申请,由信息化主管部门和有关业务部门审核后,报总
公司主管领导审批。
第三章保护措施
第9有关单位、部门应采取有效技术措施和其他必要措施,确保公民个
条人电子信息安全,防止在业务活动中收集的公民个人电子信息泄
露、损毁、丢失。
第收集、使用公民个人电子信息时,应遵循以下原则:
10
条
1.必须确保收集行为的合法性、收集目的的正当性、收集内容的
必要性。
2.收集公民个人信息时,应采用个人信息主体易知悉的方式公开
收集、使用规则,采用协议方式征得被收集者同意,并明示收集目的、
方式、手段、具体内容、使用范围和信息留存时限,明确说明对信息的
保护措施,以及投诉渠道和信息管理者的名称、地址、等相关
信息。并对被收集者提供信息后可能存在的风险和不提供信息可能出现
的后果进行说明。不得违反法律法规的规定和双方的约定收集、使用信
息。
3.信息收集者和被收集者双方应在约定范围内,确保提供信息的
完整性和准确性。如发现信息不准确或信息需要变更,应按约定随时更
新。
4.在信息处理过程中除法定事由外,应当采取措施确保所收集、
使用和产生的公民个人电子信息不被任何与处理目的无关的个人、组织
和机构获取。
5.根据收集信息时的协议,及时删除公民个人电子信息。
第有关单位、部门应按照信息安全等级保护相关规定,对涉及公民个
11人电子信息的应用系统进行安全防护,信息安全保护等级应不低于
条三级。强化身份认证、安全审计、入侵防范、安全监控等技术手
段,提高应用系统针对攻击的防范能力、发现能力和应对能力。
第有关单位应定期对本单位公民个人电子信息安全防护工作进行测评
12和风险评估,及时发现和修复安全漏洞。对应用系统或网络进行安
条全检测、扫描,须经信息化管理部门和业务部门批准。委托第三方
测评,应与测评方签署保密协议。所有测评结果不得向外界提供。
第有关单位、部门应严格规范岗位人员工作程序和工作行为,详细界
13定岗位人员对公民个人电子信息收集、传输、查看、修改、删除、
条使用、存储的范围和权限,不得超越职责范围获取、处理和携带公
民个人电子信息。要加强对公民个人电子信息存储设备(含移动存
储设备)的管理,做好数据备份,防止数据损毁、丢失。重要信息
应采取加密方式传输和存储。
第提供互联网服务的信息系统,应至少保留6个月以上的用户访问日志
14记录。
条
第未经电子信息接收者同意或者请求,或者电子信息接收者明确表示
15拒绝的,不得向其固定电话、移动电话或者个人等发送商
条业性电子信息。
第四章管理要求
第按照“谁主管谁负责、谁使用谁负责”的原则,公民个人电子信息
16保护工作应逐级落实有关单位和个人的责任。
条
第信息系统维护单位应建立公民个人电子信息处理流程,明确具体负
17责公民个人电子信息安全管理和安全审计工作人员。按照“权限分
条置”的原则,结合业务特点设置系统管理员、数据库管理员、应用
系统管理员及业务操作人员等岗位。
第有关单位、部门应加强公民个人电子信息处理过程中的风险控制,
18制定相应的应急处置预案。在发生或可能发生信息泄露、丢失、毁
条损、篡改和不当使用等情况时,应当立即采取应对措施,防止事件
影响进一步扩大,必要时应及时告知受影响的个人信息主体。发生
重大事件,应及时向业务部门和信息化管理部门报告。
第有关单位、部门及工作人员发现窃取或者以其他非法方式获取、出
19售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他
条网络信息违法犯罪行为、或者接到有关举报、控告后,应及时向有
关部门报告,并根据各自职责,及时采取有效措施,依法及时处
理。国家有关主管部门依法履行职责时,有关单位、部门应当予以
积极配合,提供技术支持。
第各单位、部门及其工作人员,有违反本办法行为的,有关主管部门
20应责令其改正,情节严重的,按有关规定给予处分;涉嫌犯罪的,
条移送司法机关,依法追究刑事责任。侵害他人民事权益的,依法承
担民事责任。
第五章附则
第21条本办法由总公司运输局负责解释。
第22条本办法自2013年12月1日起施行。
本文发布于:2022-07-30 22:11:17,感谢您对本站的认可!
本文链接:http://www.wtabcd.cn/falv/fa/83/48044.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
