ISO IEC29151-2017个人身份信息保护实践指南
移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南说明书
II
GB/T XXXXX—XXXX
信息安全技术 移动智能终端的移动互联网应用程序(App)个人信 息处理活动管理指南
1 范围
本文件针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增 强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。
5 总则
移动智能终端对App个人信息处理活动的管理宜遵循以下原则: a) 公开透明:以合理方式记录、提示 App 处理个人信息情况,确保用户对 App 个人信息处理行为
6 移动智能终端上的 App 个人信息处理活动安全风险 ........................................ 3
7 移动智能终端管理措施 ................................................................ 4 7.1 透明化展示个人信息处理活动 ...................................................... 4 7.1.1 App 使用个人信息提示 ......................................................... 4 7.1.2 App 调用个人信息行为记录 ..................................................... 4 7.1.3 用户个人信息集中展示 ........................................................ 5 7.2 App 个人信息处理行为管理......................................................... 5 7.2.1 唯一设备识别码访问控制 ...................................................... 5 7.2.2 敏感数据访问提示和控制 ...................................................... 5 7.2.3 存储空间使用 ................................................................ 6 7.2.4 App 安装风险管理............................................................. 6 7.2.5 App 更新风险管理............................................................. 6 7.2.6 App 退出/停用及卸载风险管理 .................................................. 6 7.3 用户控制 App 收集个人信息行为 .................................................... 6 7.3.1 系统权限能力增强 ............................................................ 6 7.3.2 App 自启动与关联启动管理 ..................................................... 7 7.4 预置应用软件处理个人信息行为管理 ................................................ 7
解读国标GBT《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
CNAS-CC15:2013 (MD5)《管理体系审核时间_QMS、EMS、OHSMS_》
1.0.1 本部分为认证机构制定用于确定对不同规模、不同复杂程度、从事各类活动 的客户实施审核所需时间的程序文件提供了要求和指南。本部分旨在促进认证机构之 间在审核时间上的一致性,以及同一认证机构在相似客户的审核时间上的一致性。 1.0.2 认证机构应确定对每个申请方和获证客户实施第一阶段和第二阶段初次审 核、监督审核和再认证审核所需的审核时间。 1.0.3 本部分没有规定审核时间的最小值和最大值,但提供了认证机构程序文件中 应采用的根据拟审核客户具体情况确定适宜审核时间的框架。 1.0.4 宜注意,在认可评审中发现个别不符合本部分(包括本部分的附表)的情况, 并不自动导致对 CNAS-CC01 的不符合。但是,这种情况可能导致对审核完整性的 进一步调查。此时,宜特别注意调查偏离本部分的原因。 1.0.5 如果发现认证机构频繁地出现与本部分不一致的情况,则认证机构可能因不 能合理地确保为审核组提供充足的时间,以在认证过程中实施足够完整的审核,而构 成不符合 CNAS-CC01。
CNቤተ መጻሕፍቲ ባይዱS-CC15
管理体系审核时间(QMS、EMS、OHSMS)
Duration of Management System Audit (QMS, EMS, OHSMS)
中国合格评定国家认可委员会
2013 年 10 月 10 日 发布
2014 年 01 月 01 日 实施
CNAS-CC15:2013
2013 年 10 月 10 日 发布
2014 年 01 月 01 日 实施
CNAS-CC15:2013
第 2 页 共 31 页
前言
CNAS 作为国际认可论坛(IAF)成员,等同采用 IAF 发布的强制性文件 IAF MD5:2013《强制性文件 QMS 和 EMS 审核时间》作为本文件第 1 部分,适用于质 量管理体系(QMS)认证机构和环境管理体系(EMS)认证机构;并参考 IAF MD5:2013 制定本文件第 2 部分,适用于职业健康安全管理体系(OHSMS)认证机构。
ISO17025-2017实验室数据控制与信息管理程序
XXXXXXXX有限公司数据控制和信息管理程序文件编号:版本:编制:审核:批准:XXXXX有限公司发布数据控制和信息管理程序1.0目的为保证检测数据和信息的采集、计算、处理、记录、报告、存储、传输的准确、可靠、有效和保密,特编制本程序。
2.0范围2.1检测数据和信息的采集;2.2临界数据和信息的处理;2.3检测数据和信息的计算和处理;2.4数据和信息的修约;2.5数据和信息的判定;2.6数据和信息的转移;2.7错误数据和信息的更正;2.8可疑数据和信息的处理;2.9计算机以及数据和信息的管理。
3.0职责3.1 技术负责人:a)组织编制、修订和批准自动化测量程序软件;b)组织对自动测量软件的验证;c)检测室负责人:d)定本部门检测原始数据和信息的采集方法;e)组织制定自动化设备的操作规程。
3.2 监督员:a)校核检测数据和信息和判定结果;b)对可疑数据和信息进行验证。
3.3 检测员:a)认真采集和记录原始数据和信息;b)按规范计算和处理数据和信息。
3.4 技术负责人应当维护本程序的有效性。
4.0程序4.1数据和信息的采集4.1.1检测室负责人应按照本部门承检标准和检测细则的要求,规定出每一类承检产品或项目的检测原始数据和信息的采集方式和格式。
4.1.2如采用自动采集或打印原始数据和信息,检测室负责人应对采集数据和信息所用的测量系统实施验证和控制,控制方法参见本程序第4.4.4条。
4.1.3采集的原始数据和信息应进行修约或截尾,遵循先修约后运算的原则,最终报出数据和信息的有效位数应当遵循标准的规定或多出标准规定一位。
4.2临界数据和信息的处理4.2.1当测得值接近临界控制值时,检测人员应当增加测量次数,以观察测量结果的发散趋势。
如果连续观测到的测量值趋于平稳或收敛,则可以按照数据和信息处理的规定或程序进行数据和信息处理。
4.2.2如果连续观测到的测量值趋于发散,应查找发散原因,以判断是测量仪器还是被测物品的问题。
保护客户机密信息和所有权程序(ISO17025-2017)
文件制修订记录1.0目的保护客户机密信息和所有权不受侵犯,使客户的正当利益不受侵害,维护实验室的诚实性和公正性。
2.0范围:2.1本程序文件包括以下领域涉及的机密:2.2.1客户提供的物品及其技术资料;2.2.2客户的专利权;2.2.3客户送检物品检测结果的所有权;2.2.4对参加能力验证和比对实验室检测结果的保密。
3.0职责:3.1最高管理者:3.1.1落实保护客户机密信息和所有权的各项措施实施所需的资源和责任人,对员工进行保密和保护所有权的教育。
3.2质量主管:3.2.1对各项保密和保护所有权措施的实施进行监督检查;3.2.2对监督检查中发现的问题及时向最高管理者报告;3.2.3批准借阅保密资料;3.3资料管理员:3.3.1按照本程序的要求做好技术文件和资料的保密管理;3.4物品管理员:3.4.1认真做好与客户的物品交接,记录客户对物品及资料的保密要求;3.4.2做好物品和资料在实验室内的传递交接记录,并对在检过程中物品及资料的保密进行监督检查;3.4.3对违反保密和侵权的行为进行制止,直至向最高管理者进行汇报。
3.5检测和/或校准人员:3.5.1对检测和/或校准过程、原始记录、证书和报告内容做好保密工作。
3.6质量主管应当维护本程序的有效性。
4.0工作程序4.1物品和技术资料的交接4.1.1物品管理员在接受客户委托的检测任务时,应向客户了解被测物品及其技术资料的保密要求,按其要求安全存放。
4.1.2物品管理员在与客户完成物品和技术资料的登记和交接后,双方应在交接文件上签名确认,对有保密要求的,应在该文件上加注“保密”标记。
4.1.3对需要保密的物品和资料,物品管理员应采取隔离保管措施,直至客户取回全部样品和技术资料。
物品管理员承担在此期间的保密责任,防止在交接中出现丢失和泄密。
4.1.4对需要在实验室内进行传递检测的物品及资料,物品管理员和检测和/或校准人员应做好交接记录,检测和/或校准人员应按保密要求和实验室的规定做好物品及其技术资料在检测过程中的管理,承担在此期间的保密责任。
等保2.0之大数据层面测评(大数据安全测评)
大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、 管理和处理的数据集合。
略,重要数字资产的范围确定和相关使用流程,数据类 别和级别评审和变更的要求
第四级:与第三级要求相同
大数据等级保护对 象 大数据的定级 大数据的安全保 护 大数据基本要 求 大数据测评
32
大数据测评
测评类型 时间 对象 范围 切入点
粒度
系统测评
大数据测评
业务系统测评
业务系统测评通过之后
业务系统
大数据
8
大数据的安全保护等 级
大数据的定级
数据资源可单独定级 当安全责任主体相同,大数据、大数据平台和应
用可作为一个整体对象定级
10
大数据的定级
组件
大数据 大数据应用 大数据平台
基础设施
责任主体
数据所有者
大数据应用服务提供 者 大数据平台服务提供 者
基础设施提供者
11
定级对象
大数据 大数据系统
4
大数据等级保护对象
多样性(variety)
价值性(Value)
……
速度(velocity)
体量(volume)
真实性(veracity)
多变性(variability)
5
大数据等级保护对 象
数据拥有者和管理者 的 分离; 单一系统对数据的保
护 不足;
保护措施的如何延续
; 数据价值的提升与
不确 定性;
数据生命期超出原生
关于人脸采集细则
● 02
第2章 人脸采集细节
人脸采集场所要求
充足的光线条 件
保证画面清晰明亮
适宜的环境温 度
保证设备正常运作 和用户舒适度
合适的采集角 度
保证人脸特征清晰 可见
人脸采集设备要求
像素和分辨率 的要求
保证采集图像清晰 度和数据质量
设备的维护和 保养
保证设备长期正常 运作和数据稳定采
集
设备的安装和 调试
人脸采集设备的安装和调试
安装设备的位置
- 选取合适的位置,避免光线 和人流干扰 - 考虑周围环境和设备的安全 因素
设备的调试
- 确认设备是否正常运作,设 备连接及信息输出是否正常 - 确认采集设备的正确分辨率 和参数设置 - 确认采集数据的格式和存储 位置
设备的维护和保养
- 定期清理设备外观和内部元件, 保证设备正常运作 - 定期检查设备的连接及信息输 出,保证数据正常采集 - 定期备份和清理数据,保证数 据的质量和安全
人脸采集数据格 式和存储
人脸采集中,常见的数据 格式有JPEG、BMP、 PNG三种。JPEG格式具 有高压缩比和较高的图像 质量,适用于图像传输和 共享;BMP格式具有无损 压缩和快速读取特点,适 用于需要快速读取图像数 据的场景;PNG格式具有 透明、无损压缩和无版权 等优势,适用于需要保留 图像背景的场景。
人脸采集数据的应用 和推广
01 人脸识别在公安系统的应用
人脸识别在公安系统中有广泛的应用,包括视频监 控、刑侦技术、出入境管理等方面,可以辅助警察 进行犯罪嫌疑人的追踪和抓捕,提高破案效率和解
02 决人案脸件能识力别。 在金融系统的应用
人脸识别在金融系统中有广泛的应用,包括身份认 证、支付认证、风险控制等方面,可以提高金融业 务的安全性和操作便捷性,降低经营成本和运营风
CNAS-CC170:2015 信息安全管理体系认证机构要求 (1)
2015 年 12 月 30 日 发布
2016 年 04 月 01 日 实施
CNAS-CC170:2015
第 3 页 共 37 页
前 言
本文件等同采用国际标准ISO/IEC 27006:2015《信息技术 安全技术 信息安全管理 体系审核认证机构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准 则,与管理体系认证机构基本认可准则CNAS-CC01:2015《管理体系认证机构要求》共同 构成CNAS对信息安全管理体系认证机构的认可准则。 本文件的附录A、C和D是资料性附录,附录B是规范性附录。 为了便于使用,对ISO/IEC 27006:2015做了下列编辑性修改: 1) 针对认证机构的管理时,用词汇“程序”表示“procedure”;针对客户的管理 时,用词汇“规程”表示“procedure”; 2) 针对认证机构的管理时,用词汇“政策”表示“policy”;针对客户的信息安 全方面的管理时,用词汇“策略”表示“policy”,针对客户的管理体系方面 的管理时,用“方针”表示“policy”; 本文件代替了 CNAS-CC17:2012。
CNAS-CC170:2015
第 1 页 共 37 页
目 次
目 次 ..................................................................... 1 前 言 ..................................................................... 3 引 言 ..................................................................... 4 1 范围 .................................................................... 5 2 规范性引用文件 .......................................................... 5 3 术语和定义 .............................................................. 5 4 原则 .................................................................... 5 5 通用要求 ................................................................ 5 5.1 法律与合同事宜 ........................................................ 5 5.2 公正性的管理 .......................................................... 5 5.3 责任和财力 ............................................................ 6 6 结构要求 ................................................................ 6 7 资源要求 ................................................................ 6 7.1 人员能力 .............................................................. 6 7.2 参与认证活动的人员 .................................................... 9 7.3 外部审核员和外部技术专家的使用 ....................................... 10 7.4 人员记录 ............................................................. 10 7.5 外包 ................................................................. 10 8 信息要求 ............................................................... 10 8.1 公开信息 ............................................................. 10 8.2 认证文件 ............................................................. 11 8.3 认证的引用和标志的使用 ............................................... 11 8.4 保密 ................................................................. 11 8.5 认证机构与其客户间的信息交换 ......................................... 11 9 过程要求 ............................................................... 11 9.1 认证前的活动 ........................................................ 11 9.2 策划审核 ............................................................ 14 9.3 初次认证 ............................................................ 15 9.4 实施审核 ............................................................ 16 9.5 认证决定 ............................................................ 17 9.6 保持认证 ............................................................ 17 9.7 申诉 ................................................................ 18