移動應(yīng)用分發(fā)平臺 個人信息保護保障能力評估規(guī)范

Mobileapplicationdistributionp電信終端產(chǎn)業(yè)協(xié)會發(fā)布I II III 1 1 1 2 2 2 2 2 2 5 5 5 6 6 6 6 6本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定本文件起草單位：中國信息通信研究院、維沃移動通信有限公司、泰爾認證中心有限公司、OPPO訊技術(shù)有限公司、北京奇虎科技有限公司、系統(tǒng)性的保障能力建設(shè)、規(guī)程建設(shè)、技術(shù)建設(shè)，落實個人信息保移動應(yīng)用分發(fā)平臺個人信息保護保障能力評估規(guī)范本文件適用于第三方評估機構(gòu)開展評估工作，同時也適用于個人信息處理者進行自評移動應(yīng)用分發(fā)平臺applicationsoftwaredistributionp移動應(yīng)用軟件mobileappl移動智能終端系統(tǒng)之上安裝、運行的，向用戶提供服務(wù)功能的應(yīng)用軟件，包括集成的SDK等第三移動應(yīng)用軟件開發(fā)者mobileapplicationsoftwarede以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然24縮略語APP：移動應(yīng)用軟件（Application）H5：第五代超文本標記語言（HTML5）5個人信息保護保障能力評估概述5.1評估原則開展移動應(yīng)用分發(fā)平臺個人信息保護保障能力評估應(yīng)遵循以a)目的性原則：評估目的應(yīng)明確具體，評估范圍應(yīng)與評估c)全面性原則：評估應(yīng)當貫穿個人信息全周期，實現(xiàn)對個人信息保護c)應(yīng)按照審批流程授權(quán)個人信息接觸崗人員，不應(yīng)出現(xiàn)未授權(quán)的d)訪問控制應(yīng)做到職責權(quán)限分離、最小化授權(quán)3a)處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)任命專門的個人信息保護負責2)具有較強獨立性，負責人不宜兼任首席運營官、首席執(zhí)行官等可能有利益沖突的3)應(yīng)參與個人信息處理活動的重要決策，并直接向公司主要提供資源保障，包括但不限于提供人力、財力、物3)建立、維護、更新個人信息清單和4)組織開展個人信息安全影響分析與風險評估，督促整改；d)個人信息管理制度應(yīng)由個人信息保護負責人或機構(gòu)制訂，明確制訂程序e)應(yīng)對相關(guān)制度執(zhí)行情況進行記錄，確保實際工b)應(yīng)對應(yīng)用軟件進行審核和檢測，對違法違規(guī)軟件進行處置；e)對于違法違規(guī)應(yīng)用軟件，以及在通信主管部門監(jiān)督檢查中發(fā)現(xiàn)的惡意應(yīng)用軟件4b)不應(yīng)抗拒、不配合監(jiān)督檢查工作；e)不應(yīng)阻撓開發(fā)者或運營者積極整改，例如c)應(yīng)定期進行安全培訓、考核，確保人員掌握個人信息安全人信息安全事件得到及時有效處置，應(yīng)急響應(yīng)機3)啟動所需的資源，如人員、設(shè)備、場所、工d)應(yīng)配備應(yīng)急響應(yīng)所需的資源，確保應(yīng)急響對可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的應(yīng)按相關(guān)要求向有關(guān)部門報告。調(diào)研評估對象制定評估計劃調(diào)研評估對象制定評估計劃確定評估對象個人信息處理活動個人信息處理者的義務(wù)個人信息處理活動個人信息處理者的義務(wù)管理要求當前安全措施情況確認指標符合性情況判定綜合判定評估結(jié)果出具評估報告多個關(guān)鍵信息系統(tǒng)和關(guān)鍵業(yè)務(wù)流程，也可以是被評估方的部談等方法確認評估內(nèi)容的實際保護措施或要求落實情況出具評估結(jié)論階段應(yīng)包括評估報告和結(jié)論，根據(jù)評估實施內(nèi)容和具體評估指標相符合情況給出說6b)主