欢迎来到天天文库
浏览记录
ID:28261840
大小:83.50 KB
页数:9页
时间:2018-12-09
《信息安全技术-个人信息安全影响评估指南-编制说明》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、家标准《信息安全技术个人信息安全影响评估指南》《征求意见稿》编制说明一、任务来源2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。本标准为自主制定标准,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统奋限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研宄院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心、国家金融1C卡检测中心等参与编制,归门单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC26
2、0)。二、编制背景随着社会的进步和科技的发展,用户个人信息安全问题日渐凸显。过度收集个人信息、对个人信息进行二次幵发利用以及个人信息交易等严重侵犯用户隐私的现象时有发生,诉诸法律诉讼的案件和官司缠身的网络公司不胜枚举。如何保护用户信息,采用何种方式保护,己经成为维护用户个人信息安全需要首先考虑的问题。根据屮国互联网协会发布的《2016屮国网民权益保护调查报告》,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响。从2015年下半年到今年上半年的一年间,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。近年来,警方查获曝光的大量案件显示,公民个
3、人信息的泄露、收集、转卖,己经形成了完整的黑色产业链。然而,数掘、信息己经成为我国实现经济转型升级的基础性资源。“十三五”规划纲要明确提出要“牢牢把握信总技术变革趋势,实施网络强国战略,加快建设数字中国,推动信息技术与经济社会发展深度融合,加快推动信息经济发展壮大”。在实施国家大数据战略这一章中,“十三五”规划纲要指出要“把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。”习近平主席指出,“网络安全和信息化是一体之两翼、驱动之双轮”。数据安全是信息化持续推进的基本前提。对此,“十三五”规划纲要提出
4、要“建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用。实施人数据安全保障工程,加强数据资源在采集、存储、应用和开放等环节的安全保护,加强各类公共数据资源在公开共享等环节的安全评估与保护,建立互联网企业数据资源资产化和利用授信机制。加强个人信息保护,严厉打击非法池露和出卖个人数据行为。”因此面向未来,具备科学性、有效性、可操作性的个人信息保护框架和模式成为落实“十三五”规划纲要要求的重要保障。《网络安全法》的发布,对个人信息保护也做出专门规定:网络产品、服务只有收集用户信息功能的,其提供者应当向用户明示并取得同意;网络运营者不得池露、篡改、毁损其收集
5、的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定了相应法律责任。在落实国家政策和法律要求,切实有效地降低个人信息处理过程中的安全风险,推动数字经济K:促发展的大背景下,制定和完善个人信息安全标准体系是有力的抓手,其中规范有效地实施个人信息安全风险评估更是个人信息安全要求落地的关键。(2)项i必要性分析个人信息安全及开展个人信息安全风险评估的重要性在前面有充分的阐述,在此节不予重复介绍,针对项目木身的必要性进行分析如下:本标准是《个人信息安全规范》标准落地的有力抓手,是完善我W个人信息安全保护标准体系的关键环
6、节。在2016年制定的重点标准《个人信息安全规范》(征求意见稿)中,“5.2节开展安全风险评估”中对个人信总安全风险评估冇具体的要求,包括建立个人信息安全风险管理制度,评估个人信息处理活动对个人信息主体的影响,评估的主体内容,定期(至少每年一次)开展个人信息安全风险评估,出具个人信息安全风险评估报告等要求。《个人信息安全规范》通篇有20多处提及开展个人信息安全风险评估工作,其重要程度可见一斑。《个人信息安全规范》为了加快促进标准落地应用,于附件D中提供了个人信总安全风险评估的简单框架,但评估桐架在指导实施个人信息安全风险评估中的作用有限,迫切需要对该方面以标准形式给予更
7、科学、更专业、一致性的指导,促进个人信息安全风险评估取得实效,便于监管机构用于检查和监督《个人信息安全规范》的落地,从而支撑我国《网络安全法》的实施工作。此外,《个人信息安全规范》可以看作我国个人信息安全领域的基础标准,与1S0/1EC29100隐私保护系列标准相比,我国对于该领域的标淮研究和制定仅仅算是刚刚开始,从急需急用的原则分析,个人信息安全风险评估工作最易成为有效抓手,因此,加快制定《个人信息安全风险评估指南》工作,既照顾了实际需求,又为我国个人信息安全标准体系的完善向前推进了一大步。个人信息安全风险评估与传统信息安全风险评估方法
此文档下载收益归作者所有