Chính sách phản hồi vi phạm dữ liệu

Lý lịch

Chương trình vi phạm dữ liệu đáng chú ý 2018 yêu cầu Fishing Station thông báo cho các cá nhân bị ảnh hưởng và Ủy viên Thông tin Úc, về bất kỳ vi phạm dữ liệu đủ điều kiện nào có khả năng gây tổn hại nghiêm trọng cho bất kỳ cá nhân nào có liên quan đến thông tin.

Vi phạm dữ liệu đủ điều kiện xảy ra khi đáp ứng ba tiêu chí:

Có sự truy cập trái phép hoặc tiết lộ trái phép thông tin cá nhân hoặc mất thông tin cá nhân mà một thực thể nắm giữ
Điều này có khả năng dẫn đến tổn hại nghiêm trọng cho một hoặc nhiều cá nhân, và
Thực thể đã không thể ngăn chặn nguy cơ có thể xảy ra tổn hại nghiêm trọng bằng hành động khắc phục.

'Tổn hại nghiêm trọng' có thể là tổn hại về tâm lý, tình cảm, thể chất, danh tiếng hoặc các hình thức tổn hại khác, chẳng hạn như đánh cắp danh tính, tổn thất tài chính đáng kể, mất cơ hội việc làm, đe dọa đến sự an toàn.

Mục đích

Chính sách này áp dụng cho tất cả nhân viên tại Fishing Station. Điều này bao gồm các nhà thầu tạm thời, tạm thời và làm việc thay mặt cho công ty.

Nó cung cấp hướng dẫn cho nhân viên để báo cáo một cách hiệu quả và ngăn chặn bất kỳ vi phạm dữ liệu nào (cả nghi ngờ và xác nhận), để giảm thiểu rủi ro liên quan đến vi phạm và xem xét hành động nào là cần thiết để bảo mật dữ liệu và ngăn chặn các vi phạm tiếp theo.

'Vi phạm dữ liệu' là gì?

Ví dụ về vi phạm dữ liệu bao gồm, nhưng không giới hạn ở:

Truy cập trái phép thông tin cá nhân mà thực thể nắm giữ được truy cập bởi người không được phép truy cập. Điều này bao gồm nhân viên của tổ chức, nhà thầu độc lập cũng như các bên thứ ba bên ngoài.
Tiết lộ trái phép xảy ra khi thông tin cá nhân được truy cập hoặc hiển thị cho người khác và tiết lộ thông tin đó khỏi sự kiểm soát hiệu quả của chúng tôi.
Mất mát đề cập đến việc vô tình hoặc vô ý làm mất thông tin cá nhân do thực thể nắm giữ trong các trường hợp có khả năng dẫn đến truy cập hoặc tiết lộ trái phép.

Quy trình phản hồi vi phạm dữ liệu

1. Vi phạm dữ liệu bị nghi ngờ/đã xác định

Vi phạm dữ liệu được xác định/nghi ngờ, ví dụ:

Rò rỉ/mất tài liệu vật lý, ví dụ: tệp dữ liệu, mất máy tính xách tay/điện thoại thông minh
Nhận dạng xâm nhập mạng
Vô tình chia sẻ dữ liệu của khách hàng hoặc Fishing Station

2. Thông báo cho nhóm bảo mật

Thu thập thông tin về vi phạm và thông báo ngay cho Nhóm An ninh của Fishing Station – Chủ sở hữu và Người giám sát để được thông báo ngay lập tức bằng tin nhắn văn bản và cuộc họp ngay khi cửa hàng mở cửa.

3. Phản hồi nhóm bảo mật

Khi nhận được thông tin liên quan đến vi phạm dữ liệu bị nghi ngờ/đã xác nhận, Nhóm bảo mật phải ngay lập tức bắt đầu quá trình phân tích và ngăn chặn.

Phân tích sơ bộ – Tiến hành đánh giá sơ bộ về vi phạm được báo cáo.
Ngăn chặn – Thực hiện các bước để ngăn chặn vi phạm và giảm khả năng gây hại cho các cá nhân bị ảnh hưởng do vi phạm gây ra.
Đánh giá – Xem xét liệu vi phạm có khả năng dẫn đến tổn hại nghiêm trọng cho bất kỳ cá nhân nào có thông tin liên quan hay không.

Nếu Tổn hại Nghiêm trọng được xác định thì vụ việc phải được coi là Vi phạm đủ điều kiện. Nhóm bảo mật phải:

Thông báo cho khách hàng/cá nhân bị ảnh hưởng (vì có nguy cơ bị tổn hại nghiêm trọng)
Thông báo cho Ủy viên Thông tin Úc thông qua Biểu mẫu vi phạm đáng chú ý

https://forms.uat.business.gov.au/smartforms/servlet/SmartForm.html?formCode=OAIC-NDB

Thông báo phải có chi tiết liên hệ của Fishing Station, mô tả về vi phạm, loại/các thông tin liên quan và các bước được đề xuất cho các cá nhân.

4. Đánh giá

Nhóm Bảo mật sẽ xem xét vụ việc và thực hiện hành động để ngăn chặn các vi phạm trong tương lai.

Các hành động có thể bao gồm, nhưng không giới hạn ở:

Kiểm tra an ninh vật chất và kỹ thuật
Xem xét các thực hành đào tạo
Thực hiện quy trình/thủ tục mới
Báo cáo với Cảnh sát, Trung tâm An ninh Mạng Úc và các Tập đoàn Công nghiệp.

Một nhân viên tóm tắt chi tiết về vi phạm và biện pháp khắc phục sẽ được cung cấp để đảm bảo cải tiến liên tục và nhận thức về các quy trình phản hồi vi phạm dữ liệu.