GBT 35273-2017-信息安全技术-个人信息安全规范
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
国家标准 信息安全技术 个人信息安全规范
个人信息安全规范标准
3.2
个人敏感信息 pemonal sensitive information 一 旦泄露 、非法提供 或滥用 可能危害人 身和财产 安全 ,极 易导致个 人名誉 、身心健康受 到损 害 或歧视性待遇等 的个人信息 。 注1:个 人敏感信 息包 括身份证 件号码 、个 人生物识 别信息 、银 行账号 、通信记录和内容 、财产信息 、征信
36.
该标 准的 四个资料性附录 中分别列 出了:个人信息示例 (附录A),个人敏感信息判定 (附 录B),保 障 个 人信息主体选择 同意权 的方法 (附录C),以及隐私政策模板 (附录D)。
该标 准适用于规范各类组织个人 信息处理活动 ,也适用 于主管监管部 门、第三方评估 机构等组织对个人 信息处来自活动进行监督 、管理和评估 。
2017年 12月29 Et,质 检总局 、国家标准委发 布了2017年第32号 国家标 准公告 ,批准发布 了GB/T 35273— 2017《信息安全技术 个人信息安全规范 》,该标准将于2018年5月1日正式实施 。
该标准针对个人信息 面临的安全问题 ,规范个人信 息控 制者在收集 、保存 、使用 、共 享 、转 让 、公开披 露等信息处理环节 中的相 关行为 ,旨在遏制个人信 息非法收集 、滥用 、泄露等乱象 ,最 大程度地保障个人 的 合法权益和社会公共利益 。对标准 中的具体事项 ,法律法规另有规定 的,需遵照其规定执行 。
该 标 准 还规 定 了 :个 人信 息 的 收集 (第 5章 ),个 人 信 息 的保存 (第6章 ),个 人 信息 的使 用 (第 7 章 ),个人信息 的委托处 理 、共 享 、转让 、公开披露 (第 8章 ),个人信息安全事件处置 (第 9章 ),以及组 织的管理要求 (第 10章 )。
个人信息保护 国标
个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题,国家标准对
于个人信息保护起着至关重要的作用。
在中国,个人信息保护的国
家标准是《信息安全技术个人信息安全规范》(GB/T 35273-2020)。
该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。
从范围来看,国家标准明确了个人信息的范围,包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。
这些信息在使用、存储和传输过程中需要受到严格的保护。
在基本原则方面,国家标准强调了个人信息处理应当遵循合法、正当、必要的原则,明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则,保障个人信息不被非法获取和滥用。
此外,国家标准还规定了个人信息处理的规范,包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施,
确保个人信息的安全。
个人信息保护国家标准的制定和实施,对于企业和组织来说,
意味着需要建立健全的个人信息保护制度和技术措施,保障个人信
息的安全。
对于个人来说,也提醒我们应当增强个人信息保护意识,合理、谨慎地对待自己的个人信息,避免个人信息被泄露和滥用。
总的来说,个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义,需要各方共同遵守
和落实。
脱敏技术国标
脱敏技术国标脱敏技术国标是我国为了保护数据安全和隐私而制定的一系列标准。
在国内外法律法规的推动下,我国对数据保护的要求越来越高。
以下是一些与脱敏技术相关的国标:1. 《GB/T 22081-2016 信息安全技术信息安全风险评估规范》:该标准规定了信息安全风险评估的基本原则、方法和要求,其中包括数据脱敏技术的应用。
2. 《GB/T 35273-2017 信息安全技术个人信息安全规范》:该标准明确了个人信息安全的基本要求,包括数据脱敏、加密等技术的应用。
3. 《GB/T 39786-2020 信息安全技术云计算服务安全指南》:该标准针对云计算服务的安全问题,提出了数据脱敏、数据隔离等技术要求。
4. 《GB/T 37988-2019 信息安全技术信息安全事件管理规范》:该标准规定了信息安全事件的分类、报告、处理和评估等要求,其中涉及到数据脱敏技术的应用。
5. 《GB/T 25069-2010 信息安全技术术语》:该标准对信息安全领域的术语进行了规范,包括数据脱敏、加密、解密等技术的定义。
6. 《GB/T 20984-2007 信息安全技术信息安全风险评估实施指南》:该标准提供了信息安全风险评估的实施方法,包括数据脱敏技术的应用。
7. 《GB/T 19668.1-2017 信息技术安全技术信息安全保障工程总体规划与设计》:该标准规定了信息安全保障工程的总体规划与设计方法,涉及到数据脱敏、数据加密等技术的应用。
8. 《GB/T 19668.2-2017 信息技术安全技术信息安全保障工程实施指南》:该标准提供了信息安全保障工程的实施指南,包括数据脱敏、数据加密等技术的应用。
这些国标为我国企业和个人在数据保护方面提供了指导,要求企业采取相应的技术手段,如数据脱敏、加密等,以确保数据安全和合规。
在实际应用中,企业需根据自身情况和需求,参照相关国标,制定合适的数据保护策略。
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
GBT 35273-2017-信息安全技术-个人信息安全规范
《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
国家标准GB/T35273—2017《信息安全技术个人信息安全规范》发布
《信 息技 术 与 网络 安 全 》2018年 第 2期
107
业 大 学 ,20l4. [3]wu J,LI F,ZHANG C,et a1.An asynchronous SAR ADC
with gate—controlled ring oscillator for m ulti—phase clock genera·
tor[C].Solid·State and Integrated Circuit Technology (IC— SICT),2014:1·3. [4]杨 秀丽 .基 于 CMOS工 艺 的 10位 SAR ADC 的 研 究 与 设 计 [D].合 肥 :合 肥 工 业 大 学 ,2007. [5]郝 乐 .基 于 低 电 压 高 精 度 12一bit SARADC设 计 [D].北 京 : 北 京 交 通 大 学 ,2008. [6]Han Xue,Qi Wei,Yang Huazhong,et a1.A single channel 6-bit 230-MS/s asynchronous SAR ADC based Oil 2 bits/stage[J]. Journal of Semiconductors,20 14,35(7):075005.
参 考 文 献 [1] ALLEN P E,HOLBERG D R.COMS analog circuit design,
Second Edition[M].北 京 :电子 工 业 出版 社 ,2002. [2]章 大 伟 .一 种 SAR ADC 的 设 计 与 研 究 [D].合 肥 :合 肥 工
作 者 简 介 : 徐 韦 佳 (1989一),女 ,硕 士 研 究 生 ,助 教 ,主 要 研 究 方 向 :集
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:
6.1 个人信息保存时间最小化
对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告
对个人信息控制者的要求包括:
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
4) 按照本标准9.2的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
9.2 安全事件告知
对个人信息控制者的要求包括:
a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。
难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b) 告知内容应包括但不限于:
1) 安全事件的内容和影响;
2) 已采取或将要采取的处置措施;
3) 个人信息主体自主防范和降低风险的建议;
4) 针对个人信息主体提供的补救措施;
5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
《信息安全技术个人信息安全规范》第十点“组织的管理要求”,对个人信息控制者组织管理提出具体要求,包括以下内容:
10.1 明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 制定、签发、实施、定期更新隐私政策和相关规程;
3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
4) 开展个人信息安全影响评估;
5) 组织开展个人信息安全培训;
6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
7) 进行安全审计。
10.3 数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
10.5 安全审计
对个人信息控制者的要求包括:
a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。
昂楷数据库审计系统采用数据库深度报文协议解析DPI及动态流检测DFI等技术,等将数据库的各种访问操作,解析还原为数据库级的操作语句,通过预置的安全规则匹配,即可智能分析和监控访问者的各种操作,进行实时威胁预警,并对事件进行统计分析记录,多重身份定位,有效支持电子取证。
支持对主流数据库的监测,更率先研发出Hadoop架构下HBase数据库以及对工控实时数据库的审计,提供的无插件或轻量级插件的云数据库安全解决方案。