Het Chinese ministerie van Industrie en Informatietechnologie (MIIT) heeft vrijdag ontwerpvoorstellen onthuld waarin zijn plannen worden beschreven om gegevensbeveiligingsgebeurtenissen in het land aan te pakken met behulp van een kleurgecodeerd systeem.
De inspanning is bedoeld om “de alomvattende responscapaciteit voor gegevensbeveiligingsincidenten te verbeteren, om tijdige en effectieve controle, beperking en eliminatie van gevaren en verliezen veroorzaakt door gegevensbeveiligingsincidenten te garanderen, om de wettige rechten en belangen van individuen en organisaties te beschermen, en om de wettige rechten en belangen van individuen en organisaties te beschermen.” bescherm de nationale veiligheid en publieke belangen, aldus het ministerie.
Het 25 pagina’s tellende document omvat alle incidenten waarbij gegevens illegaal zijn geraadpleegd, gelekt, vernietigd of ermee is geknoeid. Deze zijn onderverdeeld in vier hiërarchische niveaus op basis van de omvang en de mate van veroorzaakte schade:
- Rood: Niveau I (“bijzonder significant”), dat van toepassing is op wijdverbreide stilleggingen, aanzienlijk verlies van bedrijfsverwerkingscapaciteit, onderbrekingen als gevolg van ernstige afwijkingen die langer dan 24 uur duren, het optreden van grote radio-interferentie gedurende meer dan 24 uur, economische verliezen 1 miljard yuan , of beïnvloedt de persoonlijke informatie van meer dan 100 miljoen mensen of gevoelige persoonlijke informatie van meer dan 10 miljoen mensen
- Oranje: Niveau II (“significant”), dat van toepassing is op stilleggingen en operationele onderbrekingen die meer dan 12 uur duren, het optreden van grote radio-interferentie gedurende meer dan 12 uur, economische verliezen tussen 100 miljoen yuan en 1 miljard yuan, of die de persoonlijke informatie van meer dan 10 miljoen mensen of gevoelige persoonlijke informatie van meer dan 1 miljoen mensen
- Geel: Niveau III (“groot”), dat van toepassing is op operationele onderbrekingen die meer dan acht uur duren, het optreden van grote radio-interferentie gedurende meer dan acht uur, economische verliezen tussen 50 miljoen yuan en 100 miljoen yuan, of gevolgen heeft voor de persoonlijke informatie van meer dan 1 miljoen mensen of gevoelige persoonlijke informatie van meer dan 100.000 mensen
- Blauw: Niveau IV (“algemeen”), dat van toepassing is op kleine gebeurtenissen die operationele onderbrekingen van minder dan acht uur, economische verliezen van minder dan 50 miljoen yuan veroorzaken, of de persoonlijke informatie van minder dan 1 miljoen mensen of gevoelige persoonlijke informatie van minder dan 1 miljoen mensen aantasten. 100.000 mensen
De nieuwe regels vereisen ook dat getroffen bedrijven een beoordeling maken om de ernst van het incident vast te stellen, en als dit ernstig wordt geacht, dit onmiddellijk te melden aan de lokale afdeling toezicht van de sector, zonder feiten weg te laten of te verbergen, of valse informatie te verstrekken.
“Als de lokale regelgevende afdeling van de sector in eerste instantie vaststelt dat het een bijzonder groot of groot gegevensbeveiligingsincident betreft, moet zij dit na ontdekking van het incident melden aan het Mechanismebureau in overeenstemming met de vereisten van ’10 minuten telefonisch en 30 minuten schriftelijk’. ”, staat in het ontwerpreglement.
Op basis van het geactiveerde responsniveau – Rood of Oranje – wordt van het Mechanismebureau verwacht dat het de zaak rapporteert aan het MIIT. De conceptregels staan tot 15 januari 2024 open voor publiek commentaar.
