2024電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范

電信和互聯(lián)網(wǎng)個人信息保護保障能力評估電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范目次前言 II引言 III1范圍 1目次前言 II引言 III1范圍 12規(guī)性用件 13術(shù)和義 14縮語 2±個信保保能評估本求 2±.1估則 2±.2估構(gòu) 26個信保保能評估標 36.1人息理動 36.2人息理的務(wù) ±F個信保保能評估法 8F.1估架 8F.2評流程 9F.3評方法 10F.4查估 11附錄A（料）人息保保能認要求 13I電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范1 范圍本文件適用于個人信息處理者自評估及第三方評估機構(gòu)開展評估工作。2 （電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范1 范圍本文件適用于個人信息處理者自評估及第三方評估機構(gòu)開展評估工作。2 （GB/T3±2F3–2020 3 下列術(shù)語和定義適用于本文件。3.1個人息 per?onalinformation[來源：個人信息保護法]3.2敏感人息 per?onal?en?itiveinformation蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下含）兒童的個人信息等。[來源：GB/T35273—2020，3.2，有修改]3.3個人息體 per?onalinformation?ubje×t個人信息已識別或者可識別的自然人。[來源：GB/T35273—2020，3.3，有修改]3.41收集 ×olle×t獲得個人信息的控制權(quán)的行為。[來源：GB/T35273—2020，3.5，有修改]3.‘第三應(yīng)用 thirdpartyappli×ation收集 ×olle×t獲得個人信息的控制權(quán)的行為。[來源：GB/T35273—2020，3.5，有修改]3.‘第三應(yīng)用 thirdpartyappli×ation（SDK）3.6刪除 delete在實現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為，使其保持不可被檢索、訪問的狀態(tài)。3.7匿名化 anonymi?ation[來源：GB/T35273—2020，3.14]4 縮略語下列縮略語適用于本文件。SI用身模（SugribeIdntiyWdul）HTTP：文傳安議（HperTe×Trn?￡P(guān)rotgoloveSeureogketLayr‘ ‘.1 開展個人信息保護保障能力評估應(yīng)遵循以下原則：a)b)g)d)目的性原則：評估目的應(yīng)明確具體，評估范圍應(yīng)與評估目的相適應(yīng)；可調(diào)性原則：評估方應(yīng)確保能夠根據(jù)評估對象及應(yīng)用場景不同進行調(diào)整，以適應(yīng)多種情況的評估?！?2 個人信息保護保障能力評估內(nèi)容是電信和互聯(lián)網(wǎng)行業(yè)個人信息處理者在處理個人信息時應(yīng)具備的相關(guān)保障能力，包含個人信息處理活動，個人信息處理者的義務(wù)等方面。評估架構(gòu)如圖1所示。2個人信息處理者的義務(wù)個人信息處理活動圖1 個信保保力評架圖6 6.1 6.1.1 收集其提供的服務(wù)無直接或無合理關(guān)聯(lián)的個人信息，且應(yīng)符合以下要求：a)GB/T3±2F3–2020以取得個人同意為合法基礎(chǔ)收集個人信息的，應(yīng)在收集個人信息前明示個人信息保護政策，并征得個人信息主體同意；改變處理個人信息的目的、類型、范圍、用途的，應(yīng)及時告知個人信息主體，修改個人信息保護政策，并重新征得個人信息主體同意，涉及個人信息保護政策變動的應(yīng)修改個人信息保護政策；明示所提供產(chǎn)品和服務(wù)類型，以及該類產(chǎn)品和服務(wù)所必需的個人信息，不應(yīng)因用戶拒絕提供該類產(chǎn)品和服務(wù)所必需的個人信息以外的信息，而拒絕提供該核心業(yè)務(wù)功能服務(wù)；不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為目的，強制要求、誤導用戶同意收集個人信息；不應(yīng)存在強制授權(quán)、過度授權(quán)、超范圍收集個人信息等行為；收集敏感個人信息前，應(yīng)征得個人信息主體的單獨同意，確保同意是在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；收集不滿14周歲未成年人個人信息前，應(yīng)征得其監(jiān)護人的單獨同意；從個人信息主體以外的其他途徑獲得個人信息的，應(yīng)了解個人信息來源、個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍，并按照本文件的要求履行安全保護義務(wù)。數(shù)據(jù)提供方應(yīng)在確保其個人信息安全的基礎(chǔ)上提供數(shù)據(jù)。b)g)d)e)￡)g)h)個人信息處理者的義務(wù)個人信息處理活動圖1 個信保保力評架圖6 6.1 6.1.1 收集其提供的服務(wù)無直接或無合理關(guān)聯(lián)的個人信息，且應(yīng)符合以下要求：a)GB/T3±2F3–2020以取得個人同意為合法基礎(chǔ)收集個人信息的，應(yīng)在收集個人信息前明示個人信息保護政策，并征得個人信息主體同意；改變處理個人信息的目的、類型、范圍、用途的，應(yīng)及時告知個人信息主體，修改個人信息保護政策，并重新征得個人信息主體同意，涉及個人信息保護政策變動的應(yīng)修改個人信息保護政策；明示所提供產(chǎn)品和服務(wù)類型，以及該類產(chǎn)品和服務(wù)所必需的個人信息，不應(yīng)因用戶拒絕提供該類產(chǎn)品和服務(wù)所必需的個人信息以外的信息，而拒絕提供該核心業(yè)務(wù)功能服務(wù)；不應(yīng)僅以改善服務(wù)質(zhì)量、提升用戶體驗、定向推送信息、研發(fā)新產(chǎn)品等為目的，強制要求、誤導用戶同意收集個人信息；不應(yīng)存在強制授權(quán)、過度授權(quán)、超范圍收集個人信息等行為；收集敏感個人信息前，應(yīng)征得個人信息主體的單獨同意，確保同意是在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；收集不滿14周歲未成年人個人信息前，應(yīng)征得其監(jiān)護人的單獨同意；從個人信息主體以外的其他途徑獲得個人信息的，應(yīng)了解個人信息來源、個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍，并按照本文件的要求履行安全保護義務(wù)。數(shù)據(jù)提供方應(yīng)在確保其個人信息安全的基礎(chǔ)上提供數(shù)據(jù)。b)g)d)e)￡)g)h)6.1.2存儲存儲個人信息應(yīng)滿足以下要求：3刪除提供傳輸事件應(yīng)急處置三方管理組織、制度與人員管理 評估內(nèi)容信息推送訪問控制與審計加工存儲收集投訴、舉報受理處置查閱、復制、更正、刪除g)存儲個人信息時，不應(yīng)超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意有效期，法律法規(guī)另有規(guī)定的除外；存儲人物別息應(yīng)滿GBT32F32026.3）和）要g)存儲個人信息時，不應(yīng)超過與重要數(shù)據(jù)和個人信息主體約定的存儲期限或個人信息主體授權(quán)同意有效期，法律法規(guī)另有規(guī)定的除外；存儲人物別息應(yīng)滿GBT32F32026.3）和）要數(shù)據(jù)接收方存儲個人信息時，應(yīng)按合同約定要求采取安全措施。d)e)6.1.3加工加工個人信息應(yīng)滿足以下要求：a)在使用未明確分類分級的個人信息時，應(yīng)在處理前確定個人信息級別，如無法確認則按照最高等級進行保護；應(yīng)僅在具有特定目的和充分必要性，并采取嚴格保護措施情形下處理敏感個人信息，處理敏感個人信息應(yīng)取得個人的單獨同意；應(yīng)確保個人信息處理應(yīng)用系統(tǒng)、中間件、服務(wù)器等基礎(chǔ)設(shè)施滿足企業(yè)信息安全基線要求，并持續(xù)評估安全風險。b)g)6.1.4信息推送個人信息推送應(yīng)滿足以下要求：a)利用個人信息進行自動化決策，應(yīng)保證決策的透明度和結(jié)果公平合理；b)g)6.1.‘傳輸傳輸個人信息應(yīng)滿足以下要求：a)個人信息的傳輸應(yīng)按照約定目的和用途進行，傳輸前應(yīng)對雙方進行身份認證和授權(quán)，如設(shè)計敏感個人信息應(yīng)明確跨安全域之間數(shù)據(jù)傳輸控制策略；若通過公共網(wǎng)絡(luò)傳輸賬戶設(shè)置、傳感采集、金融支付等服務(wù)相關(guān)的敏感個人信息時，應(yīng)采用數(shù)字簽名等技術(shù)手段保證數(shù)據(jù)的完整性和抗抵賴性，同時應(yīng)采用密文方式傳輸。宜先對個人信息進行匿名化，消除能夠識別特定個體的所有數(shù)據(jù)字段后再進行轉(zhuǎn)移；傳輸敏感個人信息時，應(yīng)采用加密等安全措施，如使用安全的HTTPS傳輸協(xié)議。b)g)6.1.6提供提供個人信息應(yīng)滿足以下要求：a)向其他個人信息處理者提供其處理的個人信息的，應(yīng)告知向他人提供的目的、類型、方式、范圍、用途、存儲期限，并征得個人信息主體同意；向其他個人信息處理者提供其處理的個人信息的，應(yīng)與數(shù)據(jù)接收方通過合同等形式明確雙方的個人信息安全保護責任和義務(wù)，采取加密、脫敏等措施保障重要個人信息安全；個人信息處理者對嵌入的第三方自動化工具，如軟件開發(fā)工具包（SDK）、第三方代碼、組件、腳本、接口、算法模型等，宜開展技術(shù)檢測確保其個人信息處理行為符合雙方約定要求，對審計發(fā)現(xiàn)超出雙方約定的行為及時停止接入；b)g)4d)應(yīng)督促和監(jiān)督第三方應(yīng)用運營者加強個人信息安全管理，發(fā)現(xiàn)第三方應(yīng)用沒有落實安全管理要求和責任的，應(yīng)及時督促整改，必要時停止接入；個人信息處理者知道或者應(yīng)知道第三方應(yīng)用利用其平臺侵害用戶權(quán)益的，應(yīng)采取必要措施保障用戶權(quán)益免受侵害；發(fā)生兼并、重組、破產(chǎn)時，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)個人信息安全保護義務(wù)；沒有數(shù)據(jù)接收方的，應(yīng)對數(shù)據(jù)作刪除處理。e)￡)6.1.7刪除刪除個人信息應(yīng)滿足以下要求：a)在開發(fā)測試等生產(chǎn)活動完成后，應(yīng)及時清除相關(guān)存儲空間個人信息；b)g)6.2 6.2.1 個人信息處理者應(yīng)滿足以下基本要求：a)d)應(yīng)督促和監(jiān)督第三方應(yīng)用運營者加強個人信息安全管理，發(fā)現(xiàn)第三方應(yīng)用沒有落實安全管理要求和責任的，應(yīng)及時督促整改，必要時停止接入；個人信息處理者知道或者應(yīng)知道第三方應(yīng)用利用其平臺侵害用戶權(quán)益的，應(yīng)采取必要措施保障用戶權(quán)益免受侵害；發(fā)生兼并、重組、破產(chǎn)時，數(shù)據(jù)接收方應(yīng)繼續(xù)履行相關(guān)個人信息安全保護義務(wù)；沒有數(shù)據(jù)接收方的，應(yīng)對數(shù)據(jù)作刪除處理。e)￡)6.1.7刪除刪除個人信息應(yīng)滿足以下要求：a)在開發(fā)測試等生產(chǎn)活動完成后，應(yīng)及時清除相關(guān)存儲空間個人信息；b)g)6.2 6.2.1 個人信息處理者應(yīng)滿足以下基本要求：a)b)應(yīng)全面識別組織涉及的個人信息；應(yīng)對個人信息實行分類分級管理：分類分級維度包括但不限于法律法規(guī)要求、自身業(yè)務(wù)特性、行業(yè)要求；g)d)6.2.2訪問控制與審計應(yīng)滿足以下訪問控制與審計要求：a)個人信息處理者開展個人信息處理活動時，應(yīng)基于分類分級采取安全管理措施，明確相關(guān)人員的訪問權(quán)限，防止非授權(quán)訪問；應(yīng)保證個人信息處理過程中的安全性，在整個過程中個人信息不應(yīng)被第三方無關(guān)人員或組織獲知，過程數(shù)據(jù)和結(jié)果數(shù)據(jù)都應(yīng)進行保護；對個人信息進行分析處理時，應(yīng)保證處理系統(tǒng)穩(wěn)定安全運行，不造成個人信息的損毀、泄露和丟失等。b)g)d)e)￡)6.2.3查閱、復制、更正、刪除應(yīng)滿足以下查閱、復制、更正、刪除的要求：±a)應(yīng)滿足GB/T3±2F38.F有關(guān)響應(yīng)個人信息主體請求的要求。b)6.2.4投訴、舉報受理處置取停止傳輸、消除等處置措施。6.2.‘ 組織應(yīng)滿足以下組織要求：a)處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)任命專門的個人信息保護負責人，負責人應(yīng)具備以下要求：1)2)3)應(yīng)具有相關(guān)管理工作經(jīng)歷和專業(yè)知識；具有較強獨立性，負責人不宜兼任有利益沖突的職位；應(yīng)參與個人信息處理活動的重要決策，并直接向公司主要負責人報告。b)應(yīng)明確企業(yè)個人信息保護責任人，負責有關(guān)個人信息處理活動的重要決策，履行相關(guān)職責，并提供資源保障，包括但不限于人力、財力、物力保障。個人信息保護機構(gòu)主要負責統(tǒng)籌個人信息安全工作，具體職責可包括：a)應(yīng)滿足GB/T3±2F38.F有關(guān)響應(yīng)個人信息主體請求的要求。b)6.2.4投訴、舉報受理處置取停止傳輸、消除等處置措施。6.2.‘ 組織應(yīng)滿足以下組織要求：a)處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)任命專門的個人信息保護負責人，負責人應(yīng)具備以下要求：1)2)3)應(yīng)具有相關(guān)管理工作經(jīng)歷和專業(yè)知識；具有較強獨立性，負責人不宜兼任有利益沖突的職位；應(yīng)參與個人信息處理活動的重要決策，并直接向公司主要負責人報告。b)應(yīng)明確企業(yè)個人信息保護責任人，負責有關(guān)個人信息處理活動的重要決策，履行相關(guān)職責，并提供資源保障，包括但不限于人力、財力、物力保障。個人信息保護機構(gòu)主要負責統(tǒng)籌個人信息安全工作，具體職責可包括：g)d)1)2)3)4)±)6)F)8)9)制訂工作計劃并督促落實；制訂、簽發(fā)、實施、更新個人信息保護政策和規(guī)程；建立、維護、更新個人信息清單和授權(quán)訪問策略；組織開展個人信息保護影響分析和風險評估，督促整改；組織開展個人信息安全培訓；組織產(chǎn)品上線前個人信息安全檢測；組織個人信息安全審計；處理、通報、報告?zhèn)€人信息保護相關(guān)工作或事件情況；組織受理和處置個人信息保護相關(guān)投訴、舉報。6.2.6制度應(yīng)滿足以下制度要求：a)b)應(yīng)制訂個人信息管理規(guī)范等制度文件，明確對于個人信息保護的指引和要求，突出個人信息接觸崗對個人信息日常管理的操作規(guī)程和要求；個人信息對外披露或共享時，應(yīng)按照企業(yè)個人信息保護機構(gòu)制訂的流程進行審批，審批通過后才可執(zhí)行。g)d)e)￡)6.2.7人員管理與考核6應(yīng)滿足以下人員管理與考核要求：a)b)應(yīng)與個人信息處理崗員工簽訂保密協(xié)議，明確保密要求；應(yīng)定期進行安全培訓、考核，確保人員掌握個人信息安全管理相關(guān)流程；對于超權(quán)限操作應(yīng)經(jīng)個人信息保護負責人或機構(gòu)授權(quán)并存檔記錄；人員工作變動時，應(yīng)及時調(diào)整相應(yīng)信息訪問和使用權(quán)限；應(yīng)與個人信息接觸外部人員或外部組織簽訂保密協(xié)議，明確保密要求；g)d)e)￡)g)h)6.2.8第三方管理應(yīng)滿足以下第三方管理要求：a)b)應(yīng)滿足以下人員管理與考核要求：a)b)應(yīng)與個人信息處理崗員工簽訂保密協(xié)議，明確保密要求；應(yīng)定期進行安全培訓、考核，確保人員掌握個人信息安全管理相關(guān)流程；對于超權(quán)限操作應(yīng)經(jīng)個人信息保護負責人或機構(gòu)授權(quán)并存檔記錄；人員工作變動時，應(yīng)及時調(diào)整相應(yīng)信息訪問和使用權(quán)限；應(yīng)與個人信息接觸外部人員或外部組織簽訂保密協(xié)議，明確保密要求；g)d)e)￡)g)h)6.2.8第三方管理應(yīng)滿足以下第三方管理要求：a)b)g)宜對于第三方接入工具，如代碼、腳本、SDK、小程序等開展技術(shù)檢測，確保其個人信息收集使用行為符合要求；應(yīng)對第三方個人信息處理活動進行審計，發(fā)現(xiàn)違約行為及時切斷接入。d)6.2.9影響評估應(yīng)滿足以下影響評估要求：a)b)應(yīng)建立個人信息保護影響評估制度，并定期進行評估。錄：c)1)2)3)4)±)處理敏感個人信息；利用個人信息進行自動化決策；其他對個人權(quán)益有重大影響的個人信息處理活動。d)應(yīng)在適當?shù)膱鼍昂蜁r機進行評估，包括但不限于以下場景：1)2)3)4)±)新產(chǎn)品/服務(wù)設(shè)計階段、初次上線評估；新功能/業(yè)務(wù)發(fā)生重大變化時；法律法規(guī)、政策、標準有重大變化時重新評估；企業(yè)內(nèi)外部環(huán)境發(fā)生重大變化時重新評估；IT基礎(chǔ)設(shè)施發(fā)生重大變化；e)應(yīng)形成個人信息保護影響評估報告并妥善留存，報告內(nèi)容包括但不限于：1)個人信息的處理目的、處理方式等是否合法、正當、必要；2)對個人權(quán)益的影響及安全風險；F3)4)±)6)F)8)9)所采取的保護措施是否合法、有效并與風險程度相適應(yīng)；適用范圍；6.2.10 應(yīng)滿足以下安全審計要求：a)應(yīng)監(jiān)測記錄組織的個人信息處理活動，宜建立自動化審計系統(tǒng)，審計過程記錄應(yīng)能對安全事件處置、應(yīng)急響應(yīng)和事后調(diào)差提供支撐；應(yīng)防止非授權(quán)訪問、篡改或刪除審計記錄；應(yīng)及時處理審計過程中發(fā)現(xiàn)的違規(guī)使用、濫用等情況。b)g)6.2.11保護技術(shù)應(yīng)滿足以下保護技術(shù)要求：a)應(yīng)具備足夠的技術(shù)措施確保個人信息的保密性、完整性，防止篡改、損毀、竊取、丟失、泄露等情況；3)4)±)6)F)8)9)所采取的保護措施是否合法、有效并與風險程度相適應(yīng)；適用范圍；6.2.10 應(yīng)滿足以下安全審計要求：a)應(yīng)監(jiān)測記錄組織的個人信息處理活動，宜建立自動化審計系統(tǒng)，審計過程記錄應(yīng)能對安全事件處置、應(yīng)急響應(yīng)和事后調(diào)差提供支撐；應(yīng)防止非授權(quán)訪問、篡改或刪除審計記錄；應(yīng)及時處理審計過程中發(fā)現(xiàn)的違規(guī)使用、濫用等情況。b)g)6.2.11保護技術(shù)應(yīng)滿足以下保護技術(shù)要求：a)應(yīng)具備足夠的技術(shù)措施確保個人信息的保密性、完整性，防止篡改、損毀、竊取、丟失、泄露等情況；宜部署個人信息或數(shù)據(jù)安全監(jiān)測系統(tǒng)，針對個人信息處理過程安全風險進行分析，并采取不同處置策略；應(yīng)確保技術(shù)措施有效性、并根據(jù)合規(guī)情況持續(xù)改進。b)g)6.2.12事件應(yīng)急處置應(yīng)滿足以下事件應(yīng)急處置要求：a)b)應(yīng)制訂個人信息安全事件應(yīng)急預案，包括應(yīng)急處理流程、事件上報流程等。應(yīng)建立個人信息安全事件應(yīng)急響應(yīng)機制，并根據(jù)個人信息安全計劃的變化而及時調(diào)整，確保個人信息安全事件得到及時有效處置，應(yīng)急響應(yīng)機制應(yīng)包括：1)2)3)4)個人信息安全事件分級；啟動條件；啟動所需的資源，如人員、設(shè)備、場所、工具、資金等；流程、人員安排和操作手冊。g)d)e)應(yīng)制定應(yīng)急演練計劃，按計劃或者在應(yīng)急響應(yīng)機制發(fā)生變化后，組織開展應(yīng)急演練，檢驗和完善應(yīng)急響應(yīng)機制，提高實戰(zhàn)能力。發(fā)生個人信息安全事件時，個人信息處理者應(yīng)立即啟動應(yīng)急響應(yīng)機制，采取相應(yīng)的補救和防范措施，可能造成危害的，應(yīng)及時以電話、短信、郵件或者信函等方式告知個人信息主體，同時對可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的應(yīng)按相關(guān)要求向有關(guān)部門報告?！?7 7.1 8圖2 個信保保力評框架和出具評估結(jié)論三個部分，如圖2所示。評估準備階段應(yīng)實施以下步驟：a)確定評估對象：評估對象可以是被評估方的一種或多種產(chǎn)品或服務(wù)，可以是被評估方的某個或多個關(guān)鍵信息系統(tǒng)和關(guān)鍵業(yè)務(wù)流程，也可以是被評估方的部分或全部系統(tǒng)、部門等；調(diào)研評估對象：評估方應(yīng)組建相應(yīng)的評估團隊，對評估對象進行充分調(diào)研，了解評估對象相關(guān)信息，準備相應(yīng)輔助評估工具等；制定評估計劃：評估方應(yīng)根據(jù)評估對象調(diào)研結(jié)果制定合理的評估計劃安排。b)g)出具評估結(jié)論階段應(yīng)包括評估報告和結(jié)論，根據(jù)評估實施內(nèi)容和具體評估指標相符合情況給出說明。7.2 7.2.1 9出具評估結(jié)論出具評估報告綜合判定評估結(jié)果指標符合性情況判定評估實施階段當前安全措施情況確認管理要求個人信息處理者的義務(wù)個人信息處理活動評估準備階段圖2 個信保保力評框架和出具評估結(jié)論三個部分，如圖2所示。評估準備階段應(yīng)實施以下步驟：a)確定評估對象：評估對象可以是被評估方的一種或多種產(chǎn)品或服務(wù)，可以是被評估方的某個或多個關(guān)鍵信息系統(tǒng)和關(guān)鍵業(yè)務(wù)流程，也可以是被評估方的部分或全部系統(tǒng)、部門等；調(diào)研評估對象：評估方應(yīng)組建相應(yīng)的評估團隊，對評估對象進行充分調(diào)研，了解評估對象相關(guān)信息，準備相應(yīng)輔助評估工具等；制定評估計劃：評估方應(yīng)根據(jù)評估對象調(diào)研結(jié)果制定合理的評估計劃安排。b)g)出具評估結(jié)論階段應(yīng)包括評估報告和結(jié)論，根據(jù)評估實施內(nèi)容和具體評估指標相符合情況給出說明。7.2 7.2.1 9出具評估結(jié)論出具評估報告綜合判定評估結(jié)果指標符合性情況判定評估實施階段當前安全措施情況確認管理要求個人信息處理者的義務(wù)個人信息處理活動評估準備階段制定評估計劃調(diào)研評估對象確定評估對象合評估方或評估方委托的第三方確認評估對象。7.2.2 評估對象確認后，應(yīng)對其相關(guān)的個人信息處理活動和個人信息處理者的義務(wù)分別進行調(diào)研。個人信息處理調(diào)研應(yīng)至少包括以下方面：a)b)g)d)e)主要的業(yè)務(wù)功能和個人信息處理活動規(guī)模；相關(guān)個人信息處理系統(tǒng)；相關(guān)個人信息類型和敏感程度；相關(guān)組織結(jié)構(gòu)和人員；相關(guān)制度和流程。個人信息處理者的義務(wù)調(diào)研應(yīng)至少包括以下方面：保障管理要求調(diào)研應(yīng)至少包括以下方面：a)b)合評估方或評估方委托的第三方確認評估對象。7.2.2 評估對象確認后，應(yīng)對其相關(guān)的個人信息處理活動和個人信息處理者的義務(wù)分別進行調(diào)研。個人信息處理調(diào)研應(yīng)至少包括以下方面：a)b)g)d)e)主要的業(yè)務(wù)功能和個人信息處理活動規(guī)模；相關(guān)個人信息處理系統(tǒng)；相關(guān)個人信息類型和敏感程度；相關(guān)組織結(jié)構(gòu)和人員；相關(guān)制度和流程。個人信息處理者的義務(wù)調(diào)研應(yīng)至少包括以下方面：保障管理要求調(diào)研應(yīng)至少包括以下方面：a)b)7.2.3制定評估計劃評估方應(yīng)合理預估評估工作復雜度和工作量，合理制定評估計劃。評估計劃中應(yīng)包括以下內(nèi)容：a)b)g)d)評估對象和范圍、評估依據(jù)、評估環(huán)境、評估工具；評估團隊人員角色分工等；評估工作計劃，包括工作內(nèi)容、輸出結(jié)果等；時間進度安排。7.2.4實施評估應(yīng)考慮以下方面，實施評估工作：a)b)g)依據(jù)對應(yīng)的評估規(guī)范標準開展實施評估活動；各部分實施評估工作可順序開展也可并行開展，無完整的順序關(guān)系；評估過程中均需輸出評估過程文檔，其內(nèi)容至少應(yīng)包括評估對象、評估所選擇的評估指標及針對評估指標的評估結(jié)果。7.2.‘出具評估結(jié)論應(yīng)考慮以下方面，給出評估結(jié)論：a)在評估報告中，應(yīng)包含評估的環(huán)境、評估基本要素和每一項評估的結(jié)果，同時還應(yīng)具體描述評估過程中的步驟，如包含未通過項則評估報告中應(yīng)包含未通過原因的具體描述；根據(jù)評估對象情況給出整改意見和建議；若有需要，宜提供整改后復查環(huán)節(jié)；自評估方法。b)g)d)7.3 107.3.1 如被評估產(chǎn)品或服務(wù)尚未發(fā)布或已停止服務(wù)，應(yīng)按照產(chǎn)品和服務(wù)所處的不同生命周期階段進行評估，并覆蓋之前階段的評估內(nèi)容。各個階段評估的主要內(nèi)容可包括：需求分析階段：a)采用的技術(shù)路線和算法等對需求分析中的個人信息進行了充分保護，并滿足個人信息保護影響評估要求；個人信息保護政策設(shè)計、個人信息保護功能設(shè)計、個人信息主體權(quán)益保護設(shè)計滿足相應(yīng)指標要求；第三方SDK通過安全檢測，符合個人信息處理活動指標要求，第三方SDK提供者滿足個人信息處理者的義務(wù)和相應(yīng)管理要求；進行個人信息保護評審。b)g)d)開發(fā)階段：a)b)g)與設(shè)計文檔中的個人信息保護要求相符合；滿足業(yè)界公認的安全編碼規(guī)范要求；7.3.1 如被評估產(chǎn)品或服務(wù)尚未發(fā)布或已停止服務(wù)，應(yīng)按照產(chǎn)品和服務(wù)所處的不同生命周期階段進行評估，并覆蓋之前階段的評估內(nèi)容。各個階段評估的主要內(nèi)容可包括：需求分析階段：a)采用的技術(shù)路線和算法等對需求分析中的個人信息進行了充分保護，并滿足個人信息保護影響評估要求；個人信息保護政策設(shè)計、個人信息保護功能設(shè)計、個人信息主體權(quán)益保護設(shè)計滿足相應(yīng)指標要求；第三方SDK通過安全檢測，符合個人信息處理活動指標要求，第三方SDK提供者滿足個人信息處理者的義務(wù)和相應(yīng)管理要求；進行個人信息保護評審。b)g)d)開發(fā)階段：a)b)g)與設(shè)計文檔中的個人信息保護要求相符合；滿足業(yè)界公認的安全編碼規(guī)范要求；避免將個人信息直接硬編碼寫入程序。測試審核階段：a)b)g)業(yè)務(wù)團隊進行整改后需再次進行測試，如整改涉及到設(shè)計文檔中的個人信息保護方案設(shè)計的更改，需重新組織相關(guān)方案的評審；測試環(huán)境與生產(chǎn)環(huán)境隔離。d)發(fā)布部署階段：停止服務(wù)階段：a)及時通知用戶并預留充分處理時間，提供個人信息處理的合理選項，包括數(shù)據(jù)復制、刪除等，協(xié)助用戶完成個人信息處理；在通知截止日期后及時刪除用戶個人信息。b)7.3.2個人信息處理者的義務(wù)進行評估確認。7.4 11檢查評估的流程參考本文件F.2，評估方法參考本文件F.3。個人信息處理者滿足本標準及附錄A所有要求時，有關(guān)符合本標準的第三方認證結(jié)果才可被出具。檢查評估的流程參考本文件F.2，評估方法參考本文件F.3。個人信息處理者滿足本標準及附錄A所有要求時，有關(guān)符合本標準的第三方認證結(jié)果才可被出具。12附錄A（資料性）個人信息保護保障能力認證要求A.1總則了IS0/IEC導則第1部分IS0補充規(guī)定的附件SL中給出的高層結(jié)構(gòu)。A.22（GB/T1900–2016質(zhì)量管理體系基礎(chǔ)和術(shù)語（IS09000:201±,IDT）附錄A（資料性）個人信息保護保障能力認證要求A.1總則了IS0/IEC導則第1部分IS0補充規(guī)定的附件SL中給出的高層結(jié)構(gòu)。A.22（GB/T1900–2016質(zhì)量管理體系基礎(chǔ)和術(shù)語（IS09000:201±,IDT）A.3術(shù)語和定義除了第3章給出的術(shù)語和定義外，GB/T1900–2016界定的術(shù)語和定義適用于本附錄。A.4組織環(huán)境A.4.1理解個人信息處理者及其環(huán)境個人信息處理者應(yīng)確定影響其實現(xiàn)個人信息保護預期結(jié)果能力的各種外部和內(nèi)部因素。A.4.2理解相關(guān)方需求和期望個人信息處理者應(yīng)確定：注：相關(guān)方的要求可包括法律、法規(guī)要求和合同要求，應(yīng)至少包括6.2.1內(nèi)容。A.4.3確定個人信息保障能力范圍A.4.1A.4.2g)個信處者施動之的其其組實施活之的口依賴系個人信息處理者應(yīng)保留關(guān)于能力范圍的成文信息。A.4.4個人信息保護保障能力范圍13A.A.‘.1領(lǐng)導作用和承諾參照6.2.±b）A.‘.2參照6.2.6b）。A.‘.3個人信息保護崗位、職責和權(quán)限參62.±、gA.A.‘.1領(lǐng)導作用和承諾參照6.2.±b）A.‘.2參照6.2.6b）。A.‘.3個人信息保護崗位、職責和權(quán)限參62.±、g、）A.6策劃A.6.1策劃輸入在策劃個人信息保障能力所需實現(xiàn)的預期水平時，個人信息處理者應(yīng)考慮A.4.1所描述的因素、A.4.2所提及的要求，以及6.2.9所獲得評估結(jié)果。A.6.2護方針一致，可測量，予以溝通，適時更新。個人信息處理者應(yīng)保留具體目標成文信息。A.7支持A.7.1