《数据安全和个人保护社会责任评价方法、信息保护社会责任实践案例、报告模板.docx》由会员分享,可在线阅读,更多相关《数据安全和个人保护社会责任评价方法、信息保护社会责任实践案例、报告模板.docx(21页珍藏版)》请在优知文库上搜索。
1、附录A(资料性)数据安全和个人信息保炉社会责任评价方法A.1评价指标和评价等级播定通过指标评价方式,可促进组织确定社会责任管理的优先事项,对社会责任绩效进行分娘评价,有助于组织策划和实施提升社会货便的绩效“表A.1给出了数据安全和个人估息保护社会责任评价指玩和绩效评价等级.结合本文件第5章至第9章内容,将社会贡任评价指标设计为5项一级指标,一级指标下设24项:级指标。针时fH项:级指标,分为四个评价级别一星级、二星级、三星级、四星级),每项二级指标分值区间为2-3分,即:一星级:12分,二星级:3-5分,三星级I6-8分,四星级:9T0分.不满足指标描述事项不番分.根掘指标描述事项的落实情况在
2、分值区间中进行评价.根据每项二级指标得分情况,对组织数规安全和个人侑息保护社会员任绩效等级进行综台评价,评价依据S1.下:一星级(基础段:组织遵守法律法规要求,履行了数据安全和个人信息保护社会费任的基本义务.所有二级指标总分大于等干20分(百分制):二星级(计划级1.在达到一星级指标要求的基础上,珞社会说任相关工作纳入了年度工作计划.并进行了考核,要求24项指标(存在不适用指标的,从总数中扣除中至少60%以上达到指标要求,即班以上的二级指标项至少得3分:三星级(系统级):在达到二星级指标要求的基础匕建立良好的社会责任管理体系.并取得更高的社会责任绩效.要求24项指标(存在不适用指标的,从总数中
3、扣除)中至少70%以上达到指标要求.即70%以上的.级指标项至少得6分其中项为必选指标(不适用的情况除外),该项至少得6分:四星级(成熟级):在达到了三星级指标要求的基础上,挣续改进社会贲任管理绩效,主动承担史多社会责任,在多项指标上不断实现更鬲的社会员任缢效.要求24项指标(存在不适用指标的,从总数中扣除至少80%以上达到指标要求,即80%以上的:级指标项至少得9分.数据安全和个人信息保护社会责任绩效总分的计总方式为:社会贲任绩效总分-(所有适用项得分之和/(适用项数*10)*100.注1:鼎分通过四舍五入方式取小数点后f.如因组织规模、业务领域、发展阶段等因素,24个:级指标中适用指标数做
4、不足则(15个的,考虑到评价本身的全面性、公正性等要素,不宜进行评级。如存在不适用指标,则应当充分说明不适用的理由.示例1:1企业当前业务的服务对以不涉及个人消货存的(业务领域原因*可认为汲指标中的,8川户校诟及争议处理”为不幽用.示例2:如企业没有以任何形式答与数据安全和个人信息保护活动或科普宣传工作与i1.1.枳燥模、业务额桢.发展阶段等无关),不宜认为:级折标中的“22活动举办和科笛宣传”为不适用.-指标二AUt标-Wf1.D=A(tM1.)HUKjMMD组双治理1掇心济位观&发展理念1双的骏心价值观及发展整念符合法律法域和Ia策中数粥安全及个人小见相关的保护理念.在成文的核心价也现及发
5、展理念中强调了效据安全和个人信电保护的第要性及相关的曝景、目标.组以配置相应的资源,以持续满足法心价的观及发代理念的忏理要求,并推广其中关于数据安全及个人信息保护相关的理景、U1).能彩持蝮改进和史默核心价仰观及发展理念.组织的检C价值观及发K理念包含了带动并引领与自身过背有实旗性关联的领域在数据安全和个人归患保护方面工作的内容.并对同业伙伴、供应跳匕下游、投货方、客户等产生了实际的枳极委响.2昔理层承诺或泮明跄想的管理层对数据安全和个人伪息保护社会责任有关内看书做出过承诺或声明,I1.相关内容特合相关法律法规、规京IM度、标准等的婆求.组期的管理层通过发布极.刎度文件等文字形式对数据安全和个
6、人年息保护杜仑资任锹出承诺成声明.并Si制制度性文件落实相关内容.组织针对管理层在数据安全和个人信息保护社会责任方面的承诺或点明的实施建立了内部机制,并通过内部培训场合向全体员工传达等.组织设灯对W理层关于敖施安全和个人伯以保护社会费任承诺或声明的跟跪机制,允许内部、外何人员对其进行坪价、Stt.保进管理以能功*粗忏承诺并用责.3社会责任工作方针与目标S1.投了解数据安全和个人信息保护社会费任的主题和相u在制定社会责任工作方针与目标时会为电敷据安全和个人信息保拉相关主限和仪账盘投的数据安全和个人信患保护社会责任工作方计与目标符合相关法招法规、规章制度、除准等的要求,井已纳入到整体的社会市任工作
7、方针与目标中.加税将社会员任工作方针与H标等形成的纲领性文件和内部制度加55.功过向有关部门及人员F发、定期培训等方式,使其能充分的沟通和理解,并在Fi常工作中将以货彻执行.坦投接受相关方的监体,以持城改进社会责任工作方计与目标中有关故据安全和个人伯息保护相关内容.并结介讥织的发展见款优先力攻,逐步充实完善社会而任事项,-a指标二AUt标-ft(Mtf1.D=A(tM)HUKjMMDS1.织治理I实海主体及费源支持蛆织在业务开展过林中.fi的外人力、财力等贵湖的情况下,践行部分社会贵任ba姐双为数据安全和个人信也保护社会员任工作指定了负贵人并明硝其职责.组织为耳履行敬振安至和个人怡总保护社会员
8、任提供必要的对务、人力支持.州织指定/N体的而管担任数则安全和个人信息保护社会资任工作筑施的负汽人并明骗共取贵I配缶了相应的责任部门或人员予以支持.怨枳明确了需定期向社会籁落社会责任履行情况的职费:提供了专门的人力、财务、环境等费源攵持.娘织建立了不断了解利益If1.美方在数据安全和个人信息保护社会,任ras的期里和诉求的机Wt通过增扣预圾人力等方式不断充实社会责任履行的力Sb与利战利关方出问.介井多方资源,扩大社会而任工作的咫响力、步响面.5内部宣梃和培训Jf1.iW在内部管理制度中体现了罚彻落寞数据安全和个人信息保护社会责任的要求.并将IW度下发至相应海门、人员.组双内部定期(每年至少一次
9、)开展数幅安全和个人信息保护社会责任理念、m.知识、案例等的宣传增训工作.SnfRiS立相应平台或人员对实被内部at传和培训的姐双活动进行管理,珞训的专业收、用施面应当有所保证.俎尔建立了数第安全与个人怡息保护社会汽任知识和技能的培养体系.并对泼体系持域或进:同时还能为同业伙伴、供应融、投贸、客户等与自身匿酉讨实质性关联的领域提供协助.6内部IftR和员工激励组织建立了内部的仰机1.接收内部人员反馈的监督意见.并及时处理由见.为相关人员松极学习软据安全和个人佰息保护相关的知识和拉德槌供便利条件果织建立了可考核的内部监机制,明碉歌督意见的处理S11,海程措施;通过融收考核等方式推动员工积例同行数
10、据安全和个人信忍保护社会谢住职费和义务.州织为相关人员参与数据安全和个人信息保护的社会公益活动或机关实践活动、考取数幅安全和个人信息保护相关证书等处供费金、JKiI1.时间等方御的保陵.组圾持线优化和改逗内联监件机刖.以健淘依许机W的效率、效果:H立外部监督机w.在具体有独,川的专业机构僮仰下开展重大数据安全和个人信则保护活动I持牍优化和改进员工酗机M对取得极极社会反响的社会改任相关活动予以奖励.充分调动员工在数粼安全和个人信息保护方面的枳慑性.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD合规性、创新性和价55体现7产丛或眼务的介规性阻投仃数据安仝和个人侵息保护方面的法
11、惊法规、规章、If1.关产品或服务强制性标准等要求的知识储省,并按照其妻求开联业务活动.1现已有数据安全和个人侑思保护方面的合双整改计组织己通过对其产品喊椒务在攻处安仝和个人倡思保护方面的介册性进行评估等形式.确保其满足法律法娱、&章*相共产补或收务强Mtt标准等也:求.俎双自评估时,参考了推荐性的国寡标准、行业标灌、团体标准等.以及业界广泛认可的技术规蕊.加次引入了独立第三方送行浑怙.己取将产&或服务在数据安金和个人信患保护方面的合规认ffi.并接受持条胺督.织汉定期发布散第安全和个人信息保护方面的合规白皮书。组织建立了旦体的数岖安全和个人伯思保护的合规制慢并有深细的介规整改程序,对俎锲层面
12、敷据安全和个人信息保护进行掂续性的认证与监督,参与了同行业/对产Ia及IR务合规性的相关领域也设及介作.俎次能及时发现、响应对数据安全和个人侑息保护相关的安全事件,并已成立身利益相关力、猿许部门的沏通梁道及程序.8技术的创轴性ff1.先进性筑现已在创款方面制定较详细的计划,明确了技术创Jf的理念、先进性、发收方向及可行的方法.组织的声品或服务累取的技术在数据安全和个人信息保拉方而有一定的创新性和先进性.并以专科、专业机构认证等方式都到认可.俎双枳微参加同行业内关F数据安全卬个人信1保护创新性和先进性技术的研讨、交液.机税已构覆并积极买插数JK安全和个人佰息保护创新性和先进性评价标准和指导方针,
13、已建立技术QU斜的长期激励机制.凯汉参与或承担过省邮没散据安生和个人信息保护科班项目.州织参与数掂安仝和个人伯息保护相关技术的创析及先进性的评比、奖项申报等活动,并取得了优异的成绩.加省部级科技奖项等.怨双已采取必察的机制IB视和保护技术的创性和先进性证明成果.姐炽搭建了向行业交泣机制或平台.为技术创新提供学术研究、国际交流等方面的有利条件.加织警与或承担过国双被数第安全和个人佶息保护科Sf项目.组织在致据安全和个人信.也保妒一、涧创新方囱有突出成就.获而了国东战科学技术奖项.生织已具疗自主如以产权、在创新性和先进性上有显在优势的技木.已创在行业知名的品牌在提升行业里体水、提高产业全球竞争力上
14、有显宕贡款.-a指标二AUt标-ft(Mtf1.D=A(IHMI)HUKjMMD介规性新性和价侦休现9用户使用的价Sft体现用户使用相应功能仅需提供提供透功能实现所必要的数鼎.配限的产品或服务格数据安全和个人信息保罗的功能设改为总咄功能的一部分.组投提供必要的价能以保障用户对其数第的控制权.姐织不断优化数据处理的海界、Jii.以M少收集妆据的种美和保留时间.提供必要的措施以保障用户对其数据的控1W权,并优化用户行使权利的路径.包括对数据进行或许、兔制、更正、划除、转移等.机税对Ik据处理活动进忏市it.以支持用户在合理范强内对机识是否超出的定处理攻粼进行过验、核实等。机组通过定期评估投诉、举报
15、的妆V、处理等、处理评价情况.以提升产品或服务的功能和投诉、举报的处理机制.组织通过优化作法等方式进一步挖掘数据价(ft为用户提供更优质的It1.务。组纲通过定期评估投诉、举报的故Iih处理率、处理评价情况.以提升产品或服务的动能和投诉、举报的处理机制J。组织枳极采取推翻引存、推动同业伙伴、供应链、投庚、M户55与自身0化在实质性关联的藻域能够形成注JR用户使阳价值的良好生态.IO社会治理的饰就体现蛆织参与.支撑了有关主管蚁管部门、社会组限等开收的和强致据安全和个人信必保护相关的活动,Si织向社会公众发布过数泰安全和个人伯息保护相关的第见问尽、知双技能科甘等相关的内容.坦织的产品设展务可支撑行关主泞监管部门,社会细细等开展的兹森安全和个人倒息保护If1.关的评议、治理、监管、执法等活动,或对相关活动提供了技术支撑、资源保M1.组织向社会公众发布过数据安全和个人信息保护突发事件便警.优为经94案例等有叁考价值的佰息、内容.巾锹的产从或眩务所提供的功能等旋主动引导用户加强欲施安仝和个人价息保护.大苑用提升故然安全
免费区 