返回
解读国标gbt 35273-2017《信息安全技术个人信息安全规范》

解读国标gbt 35273-2017《信息安全技术个人信息安全规范》

ID:26643031

大小:58.26 KB

页数:3页

时间:2018-11-28

解读国标gbt 35273-2017《信息安全技术个人信息安全规范》_第1页
解读国标gbt 35273-2017《信息安全技术个人信息安全规范》_第2页
解读国标gbt 35273-2017《信息安全技术个人信息安全规范》_第3页
资源描述:

《解读国标gbt 35273-2017《信息安全技术个人信息安全规范》》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、解读国标GBT35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578  按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T35273-2017《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。  本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T35273-2017《信息安全技术个人信息安全规范》。一、《信息安全技术个人信息安全规范》第六点“个人信息的保

2、存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1个人信息保存时间最小化  对个人信息控制者的要求包括:  a)个人信息保存期限应为实现目的所必需的最短时间;  b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。6.2去标识化处理  收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。6.3个人敏感信息的传输和存储  对个人信息控制者的要求包括:  a)传输和存储个人敏感信息时,应采用加

3、密等安全措施;  b)存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。 6.4个人信息控制者停止运营  当个人信息控制者停止运营其产品或服务时,应:  a)及时停止继续收集个人信息的活动;  b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;  c)对其所持有的个人信息进行删除或匿名化处理。二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1安全事件应急处置和报告  对个人信息控制者的要求包括:  a)应

4、制定个人信息安全事件应急预案;  b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;  c)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;  2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;  3)按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容

5、、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;  4)按照本标准9.2的要求实施安全事件的告知。  d)根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。9.2安全事件告知  对个人信息控制者的要求包括:  a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;  b)告知内容应包括但不限于:  1)安全事件的内容和影响;  2)已采取或将要采取的处置措施;  3)个人信息主体自主防范和

6、降低风险的建议;  4)针对个人信息主体提供的补救措施;  5)个人信息保护负责人和个人信息保护工作机构的联系方式。三、《信息安全技术个人信息安全规范》第十点“组织的管理要求”,对个人信息控制者组织管理提出具体要求,包括以下内容:10.1明确责任部门与人员  对个人信息控制者的要求包括:  a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;  b)应任命个人信息保护负责人和个人信息保护工作机构;c)满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息

7、安全工作:  1)主要业务涉及个人信息处理,且从业人员规模大于200人;  2)处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:  1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;  2)制定、签发、实施、定期更新隐私政策和相关规程;  3)应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;  4)开展个人信息安全影响评估;  5)组织开展个人信息安全培训;  6)在产品或服务上线发

8、布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;  7)进行安全审计。 10.3数据安全能力  

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。