डेटा उल्लंघन नीति

 

1.0 उद्देश्य 

नीति का उद्देश्य उल्लंघन प्रतिक्रिया प्रक्रिया के लक्ष्यों और दृष्टि को स्थापित करना है। यह नीति स्पष्ट रूप से परिभाषित करेगी कि यह किस पर और किन परिस्थितियों में लागू होती है, और इसमें उल्लंघन की परिभाषा, कर्मचारियों की भूमिकाएं और जिम्मेदारियां, मानक और मेट्रिक्स (उदाहरण के लिए, घटनाओं की प्राथमिकता को सक्षम करने के लिए), साथ ही रिपोर्टिंग, उपचार, और प्रतिक्रिया तंत्र। नीति का अच्छी तरह से प्रचार किया जाएगा और उन सभी कर्मियों को आसानी से उपलब्ध कराया जाएगा जिनके कर्तव्यों में डेटा गोपनीयता और सुरक्षा सुरक्षा शामिल है।

 

डेटा उल्लंघन प्रतिक्रिया नीति प्रकाशित करने के लिए मेटा परिणाम सूचना सुरक्षा के इरादे डेटा सुरक्षा और डेटा सुरक्षा उल्लंघनों पर महत्वपूर्ण ध्यान केंद्रित करना है और मेटा परिणाम की खुलेपन, विश्वास और अखंडता की स्थापित संस्कृति को इस तरह की गतिविधि का जवाब देना चाहिए। मेटा परिणाम सूचना सुरक्षा मेटा परिणाम के कर्मचारियों, भागीदारों और कंपनी को व्यक्तियों द्वारा जानबूझकर या अनजाने में अवैध या हानिकारक कार्यों से बचाने के लिए प्रतिबद्ध है। 

 

1. 1. पृष्ठभूमि

यह नीति अनिवार्य करती है कि कोई भी व्यक्ति जिसे संदेह है कि मेटा परिणाम संरक्षित डेटा या मेटा परिणाम संवेदनशील डेटा की चोरी, उल्लंघन या जोखिम हुआ है, उसे तुरंत ई-मेल के माध्यम से sheila@metaresults.com पर जो हुआ उसका विवरण प्रदान करना होगा। मेटा परिणाम की सूचना सुरक्षा के लिए इस ई-मेल पते, फोन नंबर और वेब पेज की निगरानी की जाती है। यह टीम चोरी, उल्लंघन या जोखिम होने की पुष्टि करने के लिए सभी रिपोर्ट की गई चोरी, डेटा उल्लंघनों और जोखिमों की जांच करेगी। यदि कोई चोरी, उल्लंघन या जोखिम हुआ है, तो सूचना सुरक्षा प्रशासक उपयुक्त प्रक्रिया का पालन करेगा।

            

2.0 दायरा

यह नीति उन सभी पर लागू होती है जो मेटा परिणाम सदस्यों या इसके प्रशिक्षण ग्राहकों की व्यक्तिगत रूप से पहचान योग्य जानकारी को इकट्ठा, एक्सेस, रखरखाव, वितरण, प्रक्रिया, सुरक्षा, स्टोर, उपयोग, संचारित, निपटान, या अन्यथा संभालते हैं। विक्रेताओं के साथ किसी भी समझौते में समान भाषा होगी जो संगठन की रक्षा करती है। 

              

3.0 नीति की पुष्टि की गई चोरी, डेटा का उल्लंघन या मेटा परिणाम संरक्षित डेटा या मेटा परिणाम संवेदनशील डेटा का जोखिम

 

जैसे ही मेटा परिणाम संरक्षित डेटा या मेटा परिणाम संवेदनशील डेटा की चोरी, डेटा उल्लंघन या जोखिम की पहचान की जाती है, उस संसाधन तक सभी पहुंच को हटाने की प्रक्रिया शुरू हो जाएगी।

 

उल्लंघन या जोखिम को संभालने के लिए सीईओ एक घटना प्रतिक्रिया टीम की अध्यक्षता करेंगे। 

 

टीम में शामिल होंगे सदस्य:

• सूचना प्रौद्योगिकी की आधारभूत संरचना

• वित्त (यदि लागू हो)

• संचार

• सदस्य सेवाएं (यदि सदस्य डेटा प्रभावित होता है)

• प्रभावित इकाई या विभाग जो शामिल सिस्टम या आउटपुट का उपयोग करता है या जिसका डेटा भंग या उजागर हो सकता है

 

मेटा परिणाम या ग्राहक डेटा की चोरी, उल्लंघन या जोखिम की पुष्टि

सीईओ को चोरी, उल्लंघन या जोखिम के बारे में सूचित किया जाएगा। IT, नामित टीम के साथ, मूल कारण का निर्धारण करने के लिए उल्लंघन या जोखिम का विश्लेषण करेगा। 

 

जैसा कि मेटा परिणाम साइबर बीमा द्वारा प्रदान किया गया है, बीमाकर्ता को फोरेंसिक जांचकर्ताओं और विशेषज्ञों तक पहुंच प्रदान करने की आवश्यकता होगी जो यह निर्धारित करेंगे कि उल्लंघन या जोखिम कैसे हुआ; शामिल डेटा के प्रकार; प्रभावित आंतरिक/बाहरी व्यक्तियों और/या संगठनों की संख्या; और मूल कारण निर्धारित करने के लिए उल्लंघन या जोखिम का विश्लेषण करें।  

 

एक संचार योजना विकसित करें।

मेटा परिणाम संचार, कानूनी और मानव संसाधन विभागों के साथ काम करें ताकि यह तय किया जा सके कि उल्लंघन को कैसे संप्रेषित किया जाए: ए) आंतरिक कर्मचारी, बी) जनता, और सी) जो सीधे प्रभावित हुए हैं।

 

3.2 स्वामित्व और उत्तरदायित्व

भूमिकायें और उत्तरदायित्व:

 

• प्रायोजक - प्रायोजक मेटा परिणाम समुदाय के वे सदस्य होते हैं जिनकी किसी विशेष सूचना संसाधन को बनाए रखने की प्राथमिक जिम्मेदारी होती है। प्रायोजकों को किसी भी मेटा परिणाम कार्यकारी द्वारा उनकी प्रशासनिक जिम्मेदारियों के संबंध में, या वास्तविक प्रायोजन, संग्रह, विकास, या सूचना के भंडारण द्वारा नामित किया जा सकता है।

सूचना सुरक्षा प्रशासक सीईओ या निदेशक, सूचना प्रौद्योगिकी (आईटी) इंफ्रास्ट्रक्चर द्वारा नामित मेटा परिणाम समुदाय का वह सदस्य है, जो विशिष्ट सूचना संसाधनों के संबंध में सुरक्षा प्रक्रियाओं और प्रणालियों के कार्यान्वयन, निरीक्षण और समन्वय के लिए प्रशासनिक सहायता प्रदान करता है। संबंधित प्रायोजकों के परामर्श से।

• उपयोगकर्ताओं में मेटा परिणाम समुदाय के लगभग सभी सदस्य उस सीमा तक शामिल होते हैं, जिस सीमा तक उनके पास सूचना संसाधनों तक अधिकृत पहुंच होती है और इसमें कर्मचारी, ट्रस्टी, ठेकेदार, सलाहकार, इंटर्न, अस्थायी कर्मचारी और स्वयंसेवक शामिल हो सकते हैं।

 

4.0 प्रवर्तन 

इस नीति के उल्लंघन में पाया गया कोई भी मेटा परिणाम कर्मी अनुशासनात्मक कार्रवाई के अधीन हो सकता है, जिसमें रोजगार की समाप्ति तक और शामिल है। उल्लंघन करने वाली किसी भी तृतीय पक्ष भागीदार कंपनी का नेटवर्क कनेक्शन समाप्त किया जा सकता है। 

              

5.0 परिभाषाएँ 

एन्क्रिप्शन या एन्क्रिप्टेड डेटा - डेटा सुरक्षा प्राप्त करने का सबसे प्रभावी तरीका। एक एन्क्रिप्टेड फ़ाइल को पढ़ने के लिए, आपके पास एक गुप्त कुंजी या पासवर्ड तक पहुंच होनी चाहिए जो आपको इसे डिक्रिप्ट करने में सक्षम बनाती है। अनएन्क्रिप्टेड डेटा को सादा पाठ कहा जाता है;

सादा पाठ - अनएन्क्रिप्टेड डेटा।

हैकर - एक कंप्यूटर उत्साही के लिए एक कठोर शब्द, यानी, एक व्यक्ति जो प्रोग्रामिंग भाषा और कंप्यूटर सिस्टम सीखने का आनंद लेता है और अक्सर इस विषय पर एक विशेषज्ञ माना जा सकता है।

व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) - कोई भी डेटा जो संभावित रूप से किसी विशिष्ट व्यक्ति की पहचान कर सकता है। कोई भी जानकारी जिसका उपयोग एक व्यक्ति को दूसरे से अलग करने के लिए किया जा सकता है और अज्ञात डेटा को डी-अनाम करने के लिए इस्तेमाल किया जा सकता है, पर विचार किया जा सकता है

संरक्षित डेटा - PII  देखें

सूचना संसाधन - किसी संगठन, विभाग या इकाई का डेटा और सूचना संपत्ति।

रक्षोपाय - भौतिक संपत्ति, सूचना, कंप्यूटर सिस्टम, या अन्य संपत्तियों से बचने, पता लगाने, प्रतिकार करने या सुरक्षा जोखिमों को कम करने के लिए किए गए प्रतिउपाय, नियंत्रण। रक्षोपाय किसी संपत्ति के खिलाफ हमले को रोकने, रोकने या धीमा करने से क्षति या हानि के जोखिम को कम करने में मदद करते हैं।

संवेदनशील डेटा - डेटा जो एन्क्रिप्ट किया गया है या सादे पाठ में है और इसमें PII डेटा है।  ऊपर PII देखें।