Çin Sanayi ve Bilgi Teknolojileri Bakanlığı (MIIT) Cuma günü, renk kodlu bir sistem kullanarak ülkedeki veri güvenliği olaylarını ele alma planlarını detaylandıran taslak teklifleri açıkladı.
Bu çaba, “veri güvenliği olaylarına yönelik kapsamlı müdahale kapasitesinin geliştirilmesi, veri güvenliği olaylarından kaynaklanan tehlikelerin ve kayıpların zamanında ve etkili kontrolünün, azaltılmasının ve ortadan kaldırılmasının sağlanması, kişi ve kuruluşların yasal hak ve çıkarlarının korunması ve Bakanlık, ulusal güvenliğin ve kamu çıkarlarının korunduğunu söyledi.
25 sayfalık belge, verilere yasa dışı olarak erişilen, sızdırılan, yok edilen veya tahrif edilen tüm olayları kapsamakta ve bunları kapsam ve neden olunan zararın derecesine göre dört hiyerarşik katmana ayırmaktadır:
- Kırmızı: Yaygın kapanmalar, iş işleme kapasitesinde önemli kayıplar, 24 saatten uzun süren ciddi anormallikler nedeniyle ortaya çıkan kesintiler, 24 saatten fazla süren büyük radyo paraziti oluşması, 1 milyar yuan ekonomik kayıplar için geçerli olan Seviye I (“özellikle önemli”) veya 100 milyondan fazla kişinin kişisel bilgilerini veya 10 milyondan fazla kişinin hassas kişisel bilgilerini etkiliyor
- Turuncu: Düzey II (“önemli”), 12 saatten uzun süren kapatmalar ve operasyonel kesintiler, 12 saatten uzun süren büyük radyo paraziti, 100 milyon yuan ile 1 milyar yuan arasındaki ekonomik kayıplar veya kişisel bilgileri etkileyen durumlar için geçerlidir. 10 milyondan fazla kişi veya 1 milyondan fazla kişinin hassas kişisel bilgileri
- Sarı: Sekiz saatten uzun süren operasyonel kesintiler, sekiz saatten uzun süren büyük radyo paraziti, 50 milyon yuan ile 100 milyon yuan arasındaki ekonomik kayıplar veya 1 milyondan fazla kişisel bilgiyi etkileyen Seviye III (“büyük”) 100.000’den fazla kişinin hassas kişisel bilgileri
- Mavi: Sekiz saatten kısa süren operasyonel kesintilere, 50 milyon yuan’dan az ekonomik kayba neden olan veya 1 milyondan az kişinin kişisel bilgilerini veya 1 milyonun altında kişinin kişisel bilgilerini etkileyen küçük olaylar için geçerli olan Seviye IV (“genel”) 100.000 kişi
Yeni kurallar aynı zamanda etkilenen şirketlerin olayın ciddiyetini belirlemek için bir değerlendirme yapmasını ve ciddi görülmesi halinde herhangi bir gerçeği atlamadan veya gizlemeden veya herhangi bir yanlış bilgi vermeden olayı derhal yerel endüstri denetim departmanına raporlamasını gerektiriyor.
“Yerel endüstri düzenleme departmanı başlangıçta bunun özellikle büyük veya büyük bir veri güvenliği olayı olduğunu belirlerse, olayı keşfettikten sonra ‘telefonla 10 dakika ve yazılı olarak 30 dakika’ gerekliliklerine uygun olarak bunu Mekanizma Ofisine bildirmelidir. ,” taslak kurallarda belirtiliyor.
Etkinleştirilen yanıt düzeyine (Kırmızı veya Turuncu) bağlı olarak Mekanizma Ofisinin konuyu MIIT’e bildirmesi bekleniyor. Taslak kurallar 15 Ocak 2024’e kadar kamuoyunun yorumuna açık.