O Ministério da Indústria e Tecnologia da Informação da China (MIIT) revelou na sexta-feira propostas de rascunho detalhando seus planos para lidar com eventos de segurança de dados no país usando um sistema de código de cores.
O esforço é projetado para "melhorar a capacidade de resposta abrangente para incidentes de segurança de dados, para garantir o controle, mitigação e eliminação de riscos e perdas causados por incidentes de segurança de dados, para proteger os direitos legais e interesses de indivíduos e organizações, e para proteger a segurança nacional e os interesses públicos", disse o departamento.
O documento de 25 páginas abrange todos os incidentes em que os dados foram acessados ilegalmente, vazados, destruídos ou adulterados, categorizando-os em quatro níveis hierárquicos com base no escopo e no grau de dano causado -
Vermelho: Nível I ("particularmente significativo"), que se aplica a interrupções generalizadas, perda substancial de capacidade de processamento de negócios, interrupções decorrentes de anomalias graves que duram mais de 24 horas, ocorrência de grande interferência de rádio por mais de 24 horas, perdas econômicas 1 bilhão de yuan, ou afeta as informações pessoais de mais de 100 milhões de pessoas ou informações pessoais sensíveis de mais de 10 milhões de pessoas.
Laranja: Nível II ("significativo"), que se aplica a interrupções e interrupções operacionais que duram mais de 12 horas, ocorrência de grande interferência de rádio por mais de 12 horas, perdas econômicas entre 100 milhões e 1 bilhão de yuan, ou afeta as informações pessoais de mais de 10 milhões de pessoas ou informações pessoais sensíveis de mais de 1 milhão de pessoas.
Amarelo: Nível III ("grande"), que se aplica a interrupções operacionais que duram mais de oito horas, ocorrência de grande interferência de rádio por mais de oito horas, perdas econômicas entre 50 milhões e 100 milhões de yuan, ou afeta as informações pessoais de mais de 1 milhão de pessoas ou informações pessoais sensíveis de mais de 100.000 pessoas.
Azul: Nível IV ("geral"), que se aplica a eventos menores que causam interrupções operacionais que duram menos de oito horas, perdas econômicas de menos de 50 milhões de yuan, ou afeta as informações pessoais de menos de 1 milhão de pessoas ou informações pessoais sensíveis de menos de 100.000 pessoas.
As novas regras também exigem que as empresas afetadas façam uma avaliação para determinar a gravidade do incidente e, se considerado grave, relatem imediatamente ao departamento local de supervisão da indústria sem omitir ou esconder qualquer fato, ou fornecer qualquer informação falsa.
"Se o departamento regulador da indústria local determinar inicialmente que é um incidente de segurança de dados particularmente grande ou importante, ele deve reportá-lo ao Escritório do Mecanismo de acordo com os requisitos de '10 minutos por telefone e 30 minutos por escrito' após descobrir o incidente", afirmam as regras de rascunho.
Com base no nível de resposta ativado - Vermelho ou Laranja - o Escritório do Mecanismo deve reportar o assunto ao MIIT.
As regras de rascunho estão abertas para comentários públicos até 15 de janeiro de 2024.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...