Ministerio de Industria y Tecnología de la Información (MIIT) de China el viernes borradores de propuestas presentados detallando sus planes para abordar eventos de seguridad de datos en el país utilizando un sistema codificado por colores.
El esfuerzo está diseñado para “mejorar la capacidad de respuesta integral ante incidentes de seguridad de datos, garantizar el control, la mitigación y la eliminación oportuna y efectiva de los peligros y pérdidas causados por incidentes de seguridad de datos, proteger los derechos e intereses legítimos de individuos y organizaciones, y salvaguardar la seguridad nacional y los intereses públicos, dijo el departamento.
El documento de 25 páginas abarca todos los incidentes en los que se accedió ilegalmente a datos, se filtró, se destruyó o se manipuló, y los clasificó en cuatro niveles jerárquicos según el alcance y el grado de daño causado:
- Rojo: Nivel I (“especialmente significativo”), que se aplica a cierres generalizados, pérdida sustancial de la capacidad de procesamiento comercial, interrupciones que surgen debido a anomalías graves que duran más de 24 horas, aparición de interferencias de radio importantes durante más de 24 horas, pérdidas económicas de 1.000 millones de yuanes. , o afecta la información personal de más de 100 millones de personas o información personal sensible de más de 10 millones de personas
- Naranja: Nivel II (“significativo”), que se aplica a paradas e interrupciones operativas que duran más de 12 horas, aparición de interferencias de radio importantes durante más de 12 horas, pérdidas económicas entre 100 millones de yuanes y 1.000 millones de yuanes, o afecta a la información personal de más de 10 millones de personas o información personal sensible de más de 1 millón de personas
- Amarillo: Nivel III (“grande”), que se aplica a interrupciones operativas que duran más de ocho horas, ocurrencia de interferencias de radio importantes durante más de ocho horas, pérdidas económicas entre 50 millones de yuanes y 100 millones de yuanes, o afecta la información personal de más de 1 millón. personas o información personal sensible de más de 100.000 personas
- Azul: Nivel IV (“general”), que se aplica a eventos menores que causan interrupciones operativas que duran menos de ocho horas, pérdidas económicas de menos de 50 millones de yuanes o afectan la información personal de menos de 1 millón de personas o información personal sensible de menos de 100.000 personas
Las nuevas normas también exigen que las empresas afectadas realicen una evaluación para determinar la gravedad del incidente y, si lo consideran grave, lo informen inmediatamente al departamento de supervisión de la industria local sin omitir ni ocultar ningún hecho, ni proporcionar información falsa.
“Si el departamento regulador de la industria local determina inicialmente que se trata de un incidente de seguridad de datos particularmente importante o importante, debe informarlo a la Oficina del Mecanismo de acuerdo con los requisitos de ’10 minutos por teléfono y 30 minutos por escrito’ después de descubrir el incidente. “, dice el borrador de las reglas.
Según el nivel de respuesta activado (rojo o naranja), se espera que la Oficina del Mecanismo informe el asunto al MIIT. El borrador de las reglas está abierto a comentarios públicos hasta el 15 de enero de 2024.
About the Author
