解读国标T信息安全技术个人信息安全规范
国家标准 信息安全技术 个人信息安全规范
个人信息安全规范标准
3.2
个人敏感信息 pemonal sensitive information 一 旦泄露 、非法提供 或滥用 可能危害人 身和财产 安全 ,极 易导致个 人名誉 、身心健康受 到损 害 或歧视性待遇等 的个人信息 。 注1:个 人敏感信 息包 括身份证 件号码 、个 人生物识 别信息 、银 行账号 、通信记录和内容 、财产信息 、征信
36.
该标 准的 四个资料性附录 中分别列 出了:个人信息示例 (附录A),个人敏感信息判定 (附 录B),保 障 个 人信息主体选择 同意权 的方法 (附录C),以及隐私政策模板 (附录D)。
该标 准适用于规范各类组织个人 信息处理活动 ,也适用 于主管监管部 门、第三方评估 机构等组织对个人 信息处来自活动进行监督 、管理和评估 。
2017年 12月29 Et,质 检总局 、国家标准委发 布了2017年第32号 国家标 准公告 ,批准发布 了GB/T 35273— 2017《信息安全技术 个人信息安全规范 》,该标准将于2018年5月1日正式实施 。
该标准针对个人信息 面临的安全问题 ,规范个人信 息控 制者在收集 、保存 、使用 、共 享 、转 让 、公开披 露等信息处理环节 中的相 关行为 ,旨在遏制个人信 息非法收集 、滥用 、泄露等乱象 ,最 大程度地保障个人 的 合法权益和社会公共利益 。对标准 中的具体事项 ,法律法规另有规定 的,需遵照其规定执行 。
该 标 准 还规 定 了 :个 人信 息 的 收集 (第 5章 ),个 人 信 息 的保存 (第6章 ),个 人 信息 的使 用 (第 7 章 ),个人信息 的委托处 理 、共 享 、转让 、公开披露 (第 8章 ),个人信息安全事件处置 (第 9章 ),以及组 织的管理要求 (第 10章 )。
个人信息保护 国标
个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题,国家标准对
于个人信息保护起着至关重要的作用。
在中国,个人信息保护的国
家标准是《信息安全技术个人信息安全规范》(GB/T 35273-2020)。
该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。
从范围来看,国家标准明确了个人信息的范围,包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。
这些信息在使用、存储和传输过程中需要受到严格的保护。
在基本原则方面,国家标准强调了个人信息处理应当遵循合法、正当、必要的原则,明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则,保障个人信息不被非法获取和滥用。
此外,国家标准还规定了个人信息处理的规范,包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施,
确保个人信息的安全。
个人信息保护国家标准的制定和实施,对于企业和组织来说,
意味着需要建立健全的个人信息保护制度和技术措施,保障个人信
息的安全。
对于个人来说,也提醒我们应当增强个人信息保护意识,合理、谨慎地对待自己的个人信息,避免个人信息被泄露和滥用。
总的来说,个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义,需要各方共同遵守
和落实。
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间:2018-01-28浏览:578按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。
国家标准 信息安全技术 信息系统安全等级保护定级指南
De 3ICS 35.040L 80信息安全技术信息系统安全等级保护定级指南Information security technology-Classification guide for classified protection of information system中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布GB/T 22240—2008目次目次 (I)前言...................................................................................................................................................................... I I 引言.. (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 定级原理 (1)4.1 信息系统安全保护等级 (1)4.2 信息系统安全保护等级的定级要素 (2)4.2.1 受侵害的客体 (2)4.2.2 对客体的侵害程度 (2)4.3 定级要素与等级的关系 (2)5 定级方法 (3)5.1 定级的一般流程 (3)5.2 确定定级对象 (4)5.3 确定受侵害的客体 (5)5.4 确定对客体的侵害程度 (5)5.4.1 侵害的客观方面 (6)5.4.2 综合判定侵害程度 (6)5.5 确定定级对象的安全保护等级 (7)6 等级变更 (8)IGB/T 22240—2008II 前言(略)GB/T 22240—2008引言依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T 22239—2008《信息系统安全等级保护基本要求》;——国家标准《信息系统安全等级保护实施指南》;——国家标准《信息系统安全等级保护测评准则》。
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
解读《个人金融信息保护技术规范》之信息分级管理
解读《个人金融信息保护技术规范》之信息分级管理詹昊、宋迎、韦飞2020年2月20日,全国金融标准化技术委员会公布了《个人金融信息保护技术规范》(JR/T 0171——2020)(以下简称“《规范》”)。
《规范》是中国人民银行发布的金融行业推荐性标准(并非强制性标准),是在《信息安全技术个人信息安全规范》(GB/T 35273——2017,以下简称“《个人信息安全规范》”)等国家标准基础上对个人金融信息的保护作出的细化规定,基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。
《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式,本文主要就此进行研讨。
一、个人金融信息的范围根据《规范》第4.1条,个人金融信息具体指以下信息:二、个人金融信息分级管理机制《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,即采用了分级管理机制:三、个人金融信息全生命周期中分级管理的特别规定《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度,对个人金融信息提出了具体合规性要求,其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。
四、《规范》与其他标准性文件信息分级管理的衔接数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。
实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。
目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外,没有进一步分级的细化要求。
2018年底金融标准化技术委员会公布的《支付信息保护技术规范》(送审稿)则采取了与本《规范》类似的信息分级机制。
《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别,具体指:•C4类别主要为于金融交易的用户鉴别与授权信息。
国标t26760-2011
国标t26760-2011
国标t26760-2011是指“信息技术网络安全个人信息安全规范”。
该规范是为了规范个人信息在网络上的安全保护而制定的规范。
下面将从规范的内容和意义等方面进行阐述和介绍。
该规范主要包括以下几个方面:
1. 适用范围:规范适用于管理、获取、使用、存储、传输、处理和维护涉及个人信息的各类组织和个人。
2. 术语和定义:规范规定了个人信息、个人敏感信息、个人信息主体等相关术语和定义,为规范实施提供了基础。
3. 个人信息安全保护原则:规范强调了信息保密原则、信息收集原则、信息使用原则、信息安全原则等,对保护个人信息提供了指导和保障。
4. 个人信息安全保护体系要求:规范建立了个人信息安全保护体系,包括组织管理、安全技术措施、安全事件管理、安全应急管理等多个环节。
5. 个人信息安全保护措施:规范列举了个人信息安全保护措施,包括信息安全管理制度、网络安全设备、密码措施、备份管理、存储设施安全等,以减少安全风险。
6. 个人信息安全风险评估和大数据应用安全评估:规范对组织和个人开展风险评估提供了指导,同时,也对大数据应用安全
评估提出了要求。
该规范的实施对于保障个人信息安全具有重要作用,决定着个人信息在互联网时代的安全和保障。
规范的制定使得个人信息安全保护可以更加规范和科学,全面提高个人信息安全保护意识和能力。
总的来说,国标t26760-2011的出台和实施,为加强互联网时代下的个人信息保护,保障公民的权利,促进经济的健康有序发展提供了重要依据和基础。
在实际生活和工作中,组织和个人应严格执行相关规则,在信息技术应用中更注重个人信息的保护,同时也为此做出必要的投资和措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
解读国标T信息安全技
术个人信息安全规范 Coca-cola standardization office【ZZ5AB-ZZSYT-ZZ2C-ZZ682T-ZZT18】
解读国标GBT 35273-2017《信息安全技术个人信息安全规范》
发布时间:2018-01-28浏览:578
按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。
本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。
一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”,对个人信息控制者对个人信息的保存提出具体要求,包括以下内容:
个人信息保存时间最小化
对个人信息控制者的要求包括:
a) 个人信息保存期限应为实现目的所必需的最短时间;
b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。
个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a) 传输和存储个人敏感信息时,应采用加密等安全措施;
b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。
个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理。
二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:安全事件应急处置和报告
对个人信息控制者的要求包括:
a) 应制定个人信息安全事件应急预案;
b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3) 按《国家网络安全事件应急预案》的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
4) 按照本标准的要求实施安全事件的告知。
d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
安全事件告知
对个人信息控制者的要求包括:
a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。
难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b) 告知内容应包括但不限于:
1) 安全事件的内容和影响;
2) 已采取或将要采取的处置措施;
3) 个人信息主体自主防范和降低风险的建议;
4) 针对个人信息主体提供的补救措施;
5) 个人信息保护负责人和个人信息保护工作机构的联系方式。
三、《信息安全技术个人信息安全规范》第十点“组织的管理要求”,对个人信息控制者组织管理提出具体要求,包括以下内容:
明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 制定、签发、实施、定期更新隐私政策和相关规程;
3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
4) 开展个人信息安全影响评估;
5) 组织开展个人信息安全培训;
6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
7) 进行安全审计。
数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
安全审计
对个人信息控制者的要求包括:
a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b) 应建立自动化审计系统,监测记录个人信息处理活动;
c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d) 应防止非授权访问、篡改或删除审计记录;
e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。