返回
GBT 35273-2017-信息安全技术-个人信息安全规范.doc

GBT 35273-2017-信息安全技术-个人信息安全规范.doc

ID:20468288

大小:32.50 KB

页数:2页

时间:2018-10-10

GBT 35273-2017-信息安全技术-个人信息安全规范.doc_第1页
GBT 35273-2017-信息安全技术-个人信息安全规范.doc_第2页
资源描述:

《GBT 35273-2017-信息安全技术-个人信息安全规范.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1个人信息保存时间最小化对个人信息控制者的要求包括:a)个人信息保存期限应为实现目的所必需的最短时间;b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。6.2去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。6.3个人敏感信息的传输和存储对个人信息控制者的要

2、求包括:a)传输和存储个人敏感信息时,应采用加密等安全措施;b)存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。6.4个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c)对其所持有的个人信息进行删除或匿名化处理。《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1安全事件应急处置和报告对

3、个人信息控制者的要求包括:a)应制定个人信息安全事件应急预案;b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3)按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉

4、及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4)按照本标准9.2的要求实施安全事件的告知。d)根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。9.2安全事件告知对个人信息控制者的要求包括:a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;b)告知内容应包括但不限于:1)安全事件的内容和影响;2)已采取或将要采取的处置措施;3)个人

5、信息主体自主防范和降低风险的建议;4)针对个人信息主体提供的补救措施;5)个人信息保护负责人和个人信息保护工作机构的联系方式。《信息安全技术个人信息安全规范》第十点“组织的管理要求”,对个人信息控制者组织管理提出具体要求,包括以下内容:10.1明确责任部门与人员对个人信息控制者的要求包括:a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;b)应任命个人信息保护负责人和个人信息保护工作机构;c)满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,

6、负责个人信息安全工作:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;2)制定、签发、实施、定期更新隐私政策和相关规程;3)应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;4)开展个人信息安全影响评估;5)组织开展个人信息安全培训;6)在产品或服务上线发

7、布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;7)进行安全审计。10.3数据安全能力个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。10.5安全审计对个人信息控制者的要求包括:a)应对隐私政策和相关规程,以及安全措施的有效性进行审计;b)应建立自动化审计系统,监测记录个人信息处理活动;c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d) 应防止非授权访问、篡改或删除审计记录;e) 应及时处理审计过程中发现的个人信息违规使用

8、、滥用等情况。昂楷数据库审计系统采用数据库深度报文协议解析DPI及动态流检测DFI等技术,等将数据库的各种访问操作,解析还原为数据库级的操作语句,通过预置的安全规则匹配,即可智能分析和监控访问者的各种操作,进行实时威胁预警,并对事件进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。