解讀國標T《信息安全技術(shù)個人信息安全規(guī)范》_第1頁
解讀國標T《信息安全技術(shù)個人信息安全規(guī)范》_第2頁
解讀國標T《信息安全技術(shù)個人信息安全規(guī)范》_第3頁
解讀國標T《信息安全技術(shù)個人信息安全規(guī)范》_第4頁
解讀國標T《信息安全技術(shù)個人信息安全規(guī)范》_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、解讀國標 GBT 35273-2017 信息安全技術(shù)個人信息安全規(guī)范發(fā)布時間: 2018-01-28 瀏覽: 578按照國家標準化管理委員會 2017 年第 32 號中國國家標準公告,全國信息安全標準化技術(shù)委員會組織制定和歸口管理的國家標準 GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范 于 2017 年 12 月 29 日正式發(fā)布, 將于 2018 年 5 月 1 日實施。本文重點提煉個人信息的保存、個人信息安處理以及組織的管理要求等方面內(nèi)容,解讀國家標準GB/T 35273-2017 信息安全技術(shù)個人信息安全規(guī)范 。1、 信息安全技術(shù)個人信息安全規(guī)范 第六點“個人信息的保存

2、”, 對個人信息控制者對個人信息的保存提出具體要求,包括以下內(nèi)容:1.1 個人信息保存時間最小化對個人信息控制者的要求包括:a) 個人信息保存期限應為實現(xiàn)目的 所必需的最短時間 ;b) 超出上述個人信息保存期限后,應對個人信息 進行刪除或匿名化處理。1.2 去標識化處理收集個人信息后,個人信息控制者宜立即進行 去標識化處理, 并采取技術(shù)和管理方面的措施 ,將去標識化后的數(shù)據(jù)與可用于恢復識別個人的信息分開存儲,并確 保在后續(xù)的個人信息處理中不重新識別個人。1.3 個人敏感信息的傳輸和存儲對個人信息控制者的要求包括:a) 傳輸和存儲個人敏感信息時,應采用 加密 等安全措施;b) 存儲個人生物識別信

3、息時,應 采用技術(shù)措施處理后再進行存儲, 例如僅存儲個人生物識別信息的摘要。1.4 個人信息控制者停止運營當個人信息控制者停止運營其產(chǎn)品或服務時,應:a) 及時停止 繼續(xù)收集個人信息的活動 ;b) 將停止運營的通知以逐一送達或公告的形式 通知 個人信息主體;c) 對其所持有的個人信息進行刪除或匿名化處理。2、 信息安全技術(shù)個人信息安全規(guī)范 第九點“個人信息安全事件處置”, 對個人信息控制者處理個人信息安全事件的方式方法提出具體要求,包括以下內(nèi)容:9.1 安全事件應急處置和報告對個人信息控制者的要求包括:a) 應制定個人信息安全事件 應急預案 ;b) 應定期 ( 至少每年一次)組織內(nèi)部相關(guān)人員進

4、行應急響應培訓和應急演練, 使 其掌握崗位職責和應急處置策略和規(guī)程c) 發(fā)生個人信息安全事件后, 個人信息控制者應根據(jù)應急響應預案進行以下處置:1) 記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時間、地點,涉及的個人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱,對其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機關(guān)或有關(guān)部門 ;2) 評估事件可能造成的影響,并采取必要措施控制事態(tài),消除隱患 ;3) 按國家網(wǎng)絡安全事件應急預案的有關(guān)規(guī)定及時上報,報告內(nèi)容包括但不限于:涉及個人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響,已采取或?qū)⒁扇〉奶幹么胧?,事件處置相關(guān)人員的聯(lián)系方式 ;4) 按照本標準9.2 的要

5、求實施安全事件的告知。d) 根據(jù)相關(guān)法律法規(guī)變化情況,以及事件處置情況,及時更新應急預案。9.2 安全事件告知對個人信息控制者的要求包括:a) 應及時將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息;b) 告知內(nèi)容應包括但不限于:1) 安全事件的內(nèi)容和影響2) 已采取或?qū)⒁扇〉奶幹么胧?3) 個人信息主體自主防范和降低風險的建議;4) 針對個人信息主體提供的補救措施;5) 個人信息保護負責人和個人信息保護工作機構(gòu)的聯(lián)系方式。三、 信息安全技術(shù)個人信息安全規(guī)范 第十點“組織的管理要求”, 對個人

6、信息控制者組織管理提出具體要求,包括以下內(nèi)容:10.1 明確責任部門與人員對個人信息控制者的要求包括:a) 應明確其法定代表人或主要負責人對個人信息安全 負全面領導責任 , 包括為個人信息安全工作提供人力、財力、物力保障等;b) 應任命個人信息保護負責人和個人信息保護工作機構(gòu) ;c) 滿足以下條件之一的組織, 應設立專職的個人信息保護負責人和個人信息保護工作機構(gòu),負責個人信息安全工作:1) 主要業(yè)務 涉及個人信息處理 ,且從業(yè)人員規(guī)模大于 200 人 ;2) 處理超過 50 萬人的個人信息 ,或在 12 個月內(nèi)預計處理超過50 萬人的個人信息。d) 個人信息保護負責人和個人信息保護工作機構(gòu)應履

7、行的職責包括但不限于:1) 全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作,對個人信息安全負直接責任2) 制定、簽發(fā)、實施、定期更新隱私政策和相關(guān)規(guī)程;3) 應建立、維護和更新組織所持有的個人信息清單( 包括個人信息的類型、數(shù)量、來源、接收方等) 和授權(quán)訪問策略;4) 開展個人信息安全影響評估;5) 組織開展個人信息安全培訓;6) 在產(chǎn)品或服務上線發(fā)布前進行檢測,避免未知的個人信息收集、使用、共享等處理行為 ;7) 進行安全審計。10.3 數(shù)據(jù)安全能力個人信息控制者應根據(jù)有關(guān)國家標準的要求,建立適當?shù)臄?shù)據(jù)安全能力,落實必要的管理和技術(shù)措施,防止個人信息的泄漏、損毀、丟失。10.5 安全審計對個人信息控制者的要求包括:a) 應對隱私政策和相關(guān)規(guī)程,以及安全措施的有效性進行審計;b) 應 建立自動

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論