10.1 個人信息安全事件應急處置和報告

對個人信息控制者的要求包括：

a) 應制定個人信息安全事件應急預案；

b) 應定期（至少每年一次）組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程；

c) 發生個人信息安全事件后，個人信息控制者應根據應急響應預案進行以下處置：

1) 記錄事件內容，包括但不限于：發現事件的人員、時間、地點，涉及的個人信息及人數，發生事件的系統名稱，對其他互聯系統的影響，是否已聯系執法機關或有關部門；

2) 評估事件可能造成的影響，并采取必要措施控制事態，消除隱患；

3) 按照《國家網絡安全事件應急預案》等有關規定及時上報，報告內容包括但不限于：涉及個人信息主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯系方式；

4) 個人信息泄露事件可能會給個人信息主體的合法權益帶來嚴重危害的，如個人敏感信息的泄露，照本標準10.2的要求實施安全事件的告知。

d) 根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。