完善的数据合规应急响应预案与充分的应急响应演练,将对提高企业应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,全面提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合法权益具有明显作用。
网络安全应急响应的立法保障体系
2006年,国务院发布《国家突发公共事件总体应急预案》,对突发事件应急预案做出国家层面的规定。
2008年,银行业监督管理委员发布《银行业重要信息系统突发事件应急管理规范(试行)》,首次通过专门文件对信息系统突发事件的应急管理做出规定。
2016年,我国《网络安全法》发布,其第五章规定了网络安全监测预警、信息通报和应急处置制度。
2017年中央网信办正式发布《国家网络安全事件应急预案》,是作为国家层面针对网络安全事件适用的综合应急预案。以《突发事件应对法》、《网络安全法》等为依据,行业领域的相关部门、地方政府等也制定了相应监管范围的网络安全应急预案。
同年,工信部发布《公共互联网网络安全突发事件应急预案》,主要适用于中国移动、中国电信等基础电信企业、域名注册管理和服务机构、以及部分互联网企业。
2021年,人大常委会发布《数据安全法》,国家建立数据安全应急处置机制,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
至此,结合《网络安全法》《个人信息保护法》等法律,网络安全应急响应已经形成一个法律保障基本体系。
安全事件分类分级
1. 事件分类
2017年国务院发布的《国家网络安全事件应急预案》(以下简称《应急预案》)将安全事件分为以下七类:
(1)有害程序事件;
(2)网络攻击事件;
(3)信息破坏事件;
(4)信息内容安全事件;
(5)设备设施故障;
(6)灾害性事件;
(7)其他事件。
值得一提的是,《应急预案》的编制依据之一是《信息安全技术信息安全事件分类分级指南》( GB/Z 20986-2007 ),而2021年1月22日,全国信息安全标准化技术委员会对该指南进行了更新(代替 GB/Z 20986-2007 ),目前处于征求意见阶段,该征求意见稿将安全事件分为八类:
(1)有害程序事件;
(2)网络攻击事件;
(3)数据攻击事件;
(4)有害内容事件;
(5)设备设施故障事件;
(6)违规操作事件;
(7)不可抗力事件;
(8)其他事件;
相对而言,该版本较《应急预案》增加了「(6)违规操作事件」类,包括「权限滥用、权限伪造、行为抵赖、恶意操作、误操作、人员可用性破坏、资源未授权使用、版权违反、其他违规操作」九个子类。
2. 事件分级
《应急预案》指出,安全事件有以下四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。《信息安全技术信息安全事件分类分级指南》(2021征求意见稿),亦将安全事件分为特别重大事件、重大事件、较大事件、一般事件四级。

3. 事件分类和事件分级的关系
《信息安全技术信息安全事件分类分级指南》(2021征求意见稿)指出,信息安全事件类别和严重级别往往是关联的。一个信息安全事件类别可能具有不同的严重级别,这不仅取决于业务,还取决于信息安全事件的性质,例如,故意性、目标性、时机、量级。
同时,指南也提供了具有不同严重级别的信息安全事件类别的示例,为企业在制定内部安全事件的定级提供参考。
突发事件的预案制定与演练
《应急预案》将企业实际的应急预案结构内容分为了以下八个部分:
1. 总则;
2. 组织机构与职责;
3. 监测与预警;
4. 应急处置;
5. 调查与评估;
6. 预防工作;
7. 保障措施;
8. 附则。
在实践中,制定企业的数据安全突发事件预案也可以参考《应急预案》的结构和内容,从以下8个方面考虑:
1. 明确适用范围:事件定义、事件类型、适用的组织和人员;
2. 明晰各部门职责:涉及部门及其职责内容;
3. 完善通报机制:内部通报机制、外部通报机制(监管机构、数据主体);
4. 明晰紧急应变流程:事件分析、制定应急措施、评估措施并执行;
5. 作出事件响应:事件报告、应急响应(处置)、应急结束;
6. 进行事件复盘:检讨及矫正预防作业、应急响应方案升级;
7. 做好预防工作:日常管理、演练、宣传、培训、重要活动期间的预防措施;
8. 完善保障措施:机构和人员、技术支撑队伍、专家队伍、物资经费、责任与制度等。
下文将对部门职责、通报机制、紧急应变流程及预案演练,进行详细阐述。
1. 明晰各部门职责
一起事件发生或可能发生的时候,必然会牵涉到不同的部门,需要提前明晰各部分的职责是什么,才能在事件真实发生的时候,统筹好部门共同应对。
以3个部门的工作职责举例:
事故发生部门,应当负责以下事项:
① 调查事件(故)原因事实及影响程度;
② 采取初步应变措施;
③ 协助汇整相关数据与记录、证据或轨迹;
④ 配合落实紧急应变措施;
⑤ 拟定及落实执行矫正预防措施;
⑥ 填写事件(故)记录单,报负责部门审批。
个人信息保护委员会办公室,应当负责以下事项:
① 监控紧急应变措施,并视情况召集个人信息保护委员会讨论;
② 协助向政府机关(国外机关)通报内容及沟通协调;
③ 协助检视通知数据主体的内容及协调;
④ 协助检视新闻稿的内容;
⑤ 追踪事件(故)及矫正预防进度,并通知体系管理人与个人信息保护委员会成员;
⑥ 召开检讨会议。
客服部门,应当负责以下事项:
① 建立咨询专线或联络途径;
② 通知、沟通、协调与安抚数据主体。
2. 通报机制
通报机制分为内部通报和外部通报,内部通报主要是向上汇报和向下通知,对事件(故)进行响应,外部通报主要是向监管机关、数据主体的通报/通知。
① 内部通报机制
一旦发现安全事件或事故的部门,应尽快通知所属部门代表于【 4 小时内】填写安全事件(故)通报单后,通过电子邮件或其他方式通知日常执行单位。
② 外部通报机制
a 监管机关:
1)知悉事件(故)时及时向监管机关通报。
2)日常执行单位应准备该事件(故)事实情况与相关佐证资料,按与事件(故)发生较密切关联(之监管机关所公告通报途径办理通报事宜。b 数据主体1)告知数据主体方式,应采用书面、电话、电子邮件、传真、电子文件或其他足以使数据主体知悉或可得知悉方式执行。
2)前述情形花费巨大时,需考虑技术可行性及隐私保护,以官网、新闻媒体或其他适当公开方式执行。
c 通报内容
根据《个人信息保护法》:第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
d 通报时间要求
关于通报时间要求,目前《网络安全法》《数据安全法》《个人信息保护法》没有作出明确的规定,可以参考《网络数据安全管理条例(征求意见稿)》和《公共互联网网络安全突发事件应急预案》。
《网络数据安全管理条例(征求意见稿)》:第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
《公共互联网网络安全突发事件应急预案》:公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后 10 个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后 20 个工作日内形成报告,按程序上报。
3. 紧急应变流程及事件处置
① 成立事件处理团队:明确组长,构建业务部门、数据合规、法务、PR共同协作的团队;
② 召开个人信息保护委员会会议、调查事件,制定措施;
③ 汇整事件跟进情形,评估事件风险程度,议定紧急应变措施,评估措施可行性并落实执行;
④ 定期跟进与监控,视情况调整措施;
⑤ 根据事件风险评估程度,通报/告知监管部门、数据主体。
4. 预案演练
在制定安全事件预警方案之后,务必需要进行演练,一方面可以检验预案的有效性,另一方面也训练大家对突发时间响应的敏捷性。关于预案演练,有以下几个要点需要注意:
① 频次可定为一年一次,有需要时可缩短间隔;
② 在进行演练时,要求全体各部门均参与,全流程走一遍。
③ 演练复盘:需对演练的全流程、演练模版、参加演练的人员表现、应对措施有效性均及时进行复盘;
④ 演练内容及时更新:演练内容应当根据法律法规、监管执法、政治因素、社会环境的变化而及时调整;
⑤ 演练培训:演练培训利于提高实战能力;
⑥ 演练人员要求:对于演练人员,建议高层领导务必参加,以此明确对应急演练的重视程度,否则在协调资源等方面,会需要会花很大的力气,以及在真实事件发生,需要领导统筹协调以及对外发言时,也会面临一系列问题。
⑦ 演练保障措施:应急演练需要一定的物资保障,包括机构人员、技术支撑队伍、专家队伍、物资经费、责任与制度。
结语
制定数据安全突发事件紧急预案将利于企业有序应对突发数据安全事件,最大程度减少突发事件及其造成的损害,利于企业对数据安全突发事件及时作出响应和处置,避免突发事件扩大或升级,最大限度地减少突发事件造成的损失,并提高全企业的居安思危、积极防范数据安全风险的意识。
数据合规应急响应预案制定与演练
作者:饶碧霞来源:iLaw合规

完善的数据合规应急响应预案与充分的应急响应演练,将对提高企业应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,全面提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合