20190702互联网个人信息安全保护指南
互联网安全指南如何保护个人信息
互联网安全指南如何保护个人信息随着互联网的快速发展,个人信息的安全问题越来越受到关注。
保护个人信息不仅是个人的责任,也是社会的需要。
本文将为您介绍一些互联网安全指南,帮助您有效地保护个人信息。
一、密码安全1. 设置强密码:选择一组密码时,应包括大写字母、小写字母、数字和特殊字符,长度至少为8位以上。
2. 避免相同密码:不同网站或应用推荐使用不同的密码,避免密码一致性导致多平台信息泄漏。
3. 定期更换密码:定期更改密码,以防止密码被破解或泄露。
二、隐私设置1. 了解隐私政策:在注册应用或网站之前,务必详细阅读隐私政策,了解个人信息如何被使用和保护。
2. 限制个人信息的公开程度:通过设置隐私设置,限制他人对您个人信息的访问权限。
3. 谨慎添加好友或关注:只添加认识的人为好友或关注对象,避免将个人信息暴露给陌生人。
三、网络购物安全1. 选择可靠的购物网站:购物时选择正规有信誉的网站,避免在不可靠的平台上泄露个人信息。
2. 先核实再支付:在下单之前,确保网站的安全性,并核对订单信息,以防止信息被篡改。
3. 优先使用安全支付方式:选择使用安全的第三方支付平台,如支付宝、微信支付等,增加支付过程的安全性。
四、社交媒体安全1. 设置个人隐私:通过社交媒体平台提供的设置,限制他人对您帐号和个人信息的访问。
2. 谨慎发布个人信息:避免过多地发布个人敏感信息,如家庭住址、电话号码等。
3. 注意社交陷阱:提高警惕,避免因点击不明链接、下载附件或回复钓鱼邮件而导致个人信息泄漏。
五、防止网络诈骗1. 提高识别能力:了解常见的网络诈骗手段,例如钓鱼邮件、虚假网站等,以便能够及时识别和防范。
2. 谨慎对待陌生信息或链接:对于来历不明的信息或链接,不要随意点击或下载其中的内容,以防遭受病毒攻击或个人信息泄露。
3. 验证发送者身份:对于索要个人信息的邮件或电话,务必先验证发送者的身份,避免受到诈骗。
六、使用可靠的安全软件和防护工具1. 安装杀毒软件:选择知名的杀毒软件,并及时更新病毒库,以及时发现并清除计算机中的恶意软件。
网络安全知识:保护个人信息的七项要点
网络安全知识:保护个人信息的七项要点在这个数字化时代,保护个人信息已经变得尤为重要。
随着互联网的普及和技术的进步,我们越来越容易暴露自己的私密信息给不法分子。
因此,了解并采取相应措施来保护个人信息是至关重要的。
本文将提供关于如何保护个人信息的七项要点。
遵循以下建议可以最大程度地降低个人信息泄露和受到网络攻击的风险。
1. 强密码一个强壮的密码是保护您个人信息安全的第一道防线。
确保您选择一个独特且难以猜测的密码,并定期更改密码以增加安全性。
避免使用常见密码或者与个人身份有关的信息作为密码。
2. 多因素身份验证多因素身份验证(MFA)是一种更强大的身份验证方式,它需要多于一个形式(例如密码、手机短信验证码等)来确认用户身份。
启用MFA可以大幅降低黑客攻击成功率。
3. 注意社交媒体隐私设置社交媒体平台成为许多人公开个人信息的主要渠道。
了解并设置正确的隐私设置可以限制他人访问您的个人资料和信息。
最小化提供个人信息,只与信任的朋友共享。
4. 警惕网络钓鱼网络钓鱼是通过伪装成可信来源以获得个人信息的欺诈行为。
要保护个人信息免受网络钓鱼攻击,永远不要点击可疑链接或下载来路不明的附件。
5. 更新软件和操作系统软件和操作系统经常会发布安全补丁以修复已知漏洞。
确保及时更新您的设备上的软件和操作系统,以防止黑客利用这些漏洞入侵您的设备。
6. 加密通信在互联网上传输敏感信息时,应该使用加密通信工具,例如虚拟专用网络(VPN)或加密聊天应用程序。
这样可以确保您的通信内容不被第三方窃取。
7. 审查应用权限当下载移动应用程序时,务必仔细审查所需权限,并授予权限前考虑一下是否有必要提供相关权限。
一些应用可能会请求过多的权限,这可能导致您个人信息泄露风险增加。
总结起来,保护个人信息需要综合考虑密码安全、身份验证、隐私设置、防范网络钓鱼、软件和系统更新、加密通信以及应用权限审查等要点。
通过遵循这些准则,您可以更好地保护个人信息免受黑客和数据泄露的威胁。
互联网安全实战指南保护个人信息的关键措施
互联网安全实战指南保护个人信息的关键措施随着互联网的普及和发展,个人信息的安全越来越受到广大网民的关注。
在网络世界中,我们的个人信息不断被泄露、利用,给我们的生活和工作带来了巨大的威胁。
因此,保护个人信息的安全成为了每个人都应该重视的问题。
本文将介绍一些关键措施,以帮助您更好地保护个人信息。
一、强化账号和密码安全1. 设立强密码:在创建账号或者更改密码时,应选择复杂的密码,包括数字、字母和特殊字符,并且尽量不使用与个人信息相关的内容。
2. 多因素认证:开启多因素认证可以增加账号的安全性,例如使用指纹识别、验证码或动态口令等方式进行身份验证。
3. 定期更换密码:定期更换密码是非常必要的,建议每三个月更换一次密码,避免密码遭到破解。
二、保护个人信息1. 谨慎对待个人信息:不要随意将个人信息泄露给任何人或机构,尤其是银行卡号、身份证号、电话号码等敏感信息。
2. 谨慎使用公共网络:在使用公共网络时,不要登录银行账号或其他敏感网站,以防个人信息被黑客窃取。
3. 避免点击可疑链接和附件:避免点击来自陌生人的链接和附件,以免遭受恶意软件和病毒的攻击。
4. 隐私设置:合理设置手机和社交媒体的隐私设置,限制他人查看个人信息的范围。
三、加强网络安全防护1. 安装杀毒软件和防火墙:定期更新杀毒软件和防火墙,及时发现和清除电脑中的病毒和恶意软件。
2. 及时更新操作系统和应用程序:定期更新操作系统和应用程序的补丁,以修复漏洞,增强系统的安全性。
3. 尽量避免使用不安全的Wi-Fi:避免使用无密码或者不明来源的Wi-Fi,以免个人信息被窃取。
4. 加密存储和传输:对重要的个人信息进行加密存储和传输,以防止信息在传输和存储过程中被拦截或泄露。
四、防范网络诈骗和网络钓鱼1. 警惕钓鱼网站和钓鱼邮件:避免点击不明来源的链接,尤其是来自陌生人的电子邮件,以防上当受骗。
2. 谨慎对待索要个人信息的电话和短信:不随意回复索要个人信息的电话和短信,提高警惕,以防诈骗。
网络安全必备个人数据保护指南
网络安全必备个人数据保护指南在当今数字化时代,个人数据安全愈发重要。
随着大量个人信息在互联网上的流动和存储,我们面临着越来越多的数据泄露和身份盗窃的风险。
为了保护个人隐私和数据安全,我们需要采取一系列措施来保护自己。
本指南将为您提供一些建议,帮助您确保个人数据在网络中的安全。
一、使用强密码和多因素身份验证首先,确保您使用足够强大的密码来保护您的在线账户。
强密码应包含字母、数字和特殊字符,长度至少为8个字符。
避免使用常见的密码,如生日、姓名或123456等。
另外,不要在多个网站上使用相同的密码,以防止一个账户的泄露导致其他账户的风险。
另外,在可能的情况下,启用多因素身份验证。
多因素身份验证要求除密码之外的额外验证步骤,例如短信验证码或指纹识别。
这样即使密码被盗,黑客也无法直接访问您的账户。
二、定期备份数据无论是个人电脑还是移动设备,定期备份是保护个人数据的关键。
硬盘故障、病毒感染或其他意外事件可能导致数据丢失。
通过定期备份数据,您可以确保即使发生意外,您的个人数据仍然安全。
您可以使用云存储服务、外部硬盘或其他备份解决方案来存储和保护数据。
三、保护您的网络连接在使用公共Wi-Fi网络时要格外小心。
公共网络通常不够安全,黑客可能通过这些网络窃取您的个人信息。
为了保护自己,确保您连接到的网络是受密码保护的,并尽量避免在公共网络上进行敏感信息的传输,比如银行账户信息或登录密码。
使用虚拟私人网络(VPN)可以加密您的网络连接,提供更高的安全性和隐私保护。
另外,确保您的家庭网络和路由器设置是安全的。
设置一个强密码来保护您的Wi-Fi网络,并定期更改密码。
关闭无线网络身份识别(SSID)广播功能,以减少别人发现您的网络的可能性。
四、时刻保持软件和系统的更新及时更新您的操作系统、浏览器和其他软件是保护个人数据安全的重要步骤。
这些更新通常包含修复安全漏洞和强化系统的新功能。
许多黑客利用已知漏洞来入侵系统,因此保持软件和系统的更新至关重要。
互联网安全防范指南,保护个人信息
互联网安全防范指南,保护个人信息1. 引言1.1 概述随着互联网的普及和应用,人们在日常生活中越来越依赖网络进行各种活动,如社交、购物、银行交易等。
然而,随之而来的是互联网安全问题的不断增多,个人信息泄露事件也层出不穷。
保护个人信息的安全已经成为我们每个人都需要关注和重视的重要问题。
1.2 文章结构本文旨在提供一份互联网安全防范指南,以帮助读者确保个人信息的保密性和完整性。
文章将从以下几个方面展开介绍:首先,我们将概述互联网安全的重要性以及日常生活中可能面临的各种威胁;其次,我们将对个人信息泄露风险进行分析,并探讨泄露后果与影响;接下来,我们将提出一些加强个人信息保护的措施,并强调其重要性;最后,我们将总结并给出建议,并对未来发展方向进行展望。
1.3 目的本篇文章的目的是通过提供详细而清晰的指导方法来帮助读者更好地了解互联网安全问题,并学习采取措施保护个人信息的方法。
通过引起读者对互联网安全的重视,我们希望能够形成广泛的安全意识,并推动社会整体加强互联网安全防范的措施,从而保护个人和社会的利益。
2. 互联网安全概述2.1 互联网安全重要性在当代社会,互联网已经成为人们生活中不可或缺的一部分。
然而,随着互联网的普及和使用频率的增加,互联网安全问题也变得日益严重。
互联网安全的重要性无法被忽视,因为我们越来越多地将个人信息存储在在线平台上,并进行在线交流和交易。
未能保护好个人信息可能导致身份盗窃、金融欺诈、网络钓鱼等各种威胁。
2.2 常见网络安全威胁互联网上存在各种各样的网络安全威胁,这些威胁包括但不限于:a) 病毒和恶意软件:通过电子邮件附件、下载文件、访问感染的网站等方式,病毒和恶意软件可以侵入计算机系统并破坏数据或窃取个人信息。
b) 黑客攻击:黑客可以利用技术手段侵入他人电脑系统,并非法获取他人信息、攻击关键基础设施或进行勒索行为。
c) 骗局和网络钓鱼:通过虚假的网站或电子邮件,骗取个人信息如用户名、密码和信用卡信息,进而进行欺诈行为。
新法规保护网络个人信息安全(网络安全法对个人信息保护要点)
新法规保护网络个人信息安全1. 近年来,随着互联网的快速发展和普及,网络个人信息安全问题日益凸显,各种数据泄露、隐私侵犯事件频频发生,引起了社会广泛关注。
2. 针对这一现状,我国政府不断加强网络个人信息保护的立法工作,出台了一系列新法规,旨在更好地保护广大网民的个人信息安全。
3. 2017年,《中华人民共和国网络安全法》正式实施,明确规定网络运营者应当加强个人信息保护,不得泄露、篡改或者毁损用户个人信息。
4. 此外,2019年颁布的《个人信息保护法》更是进一步加强了对个人信息的保护,规定个人信息处理应当遵循合法、正当、必要的原则。
5. 新法规要求网络企业必须明示收集个人信息的目的、方式和范围,经过用户同意后方可进行数据收集和处理,杜绝了擅自获取个人信息的行为。
6. 同时,个人信息保护法还规定了个人信息安全评估、数据安全管理等具体措施,推动企业建立健全数据安全管理制度,有效防范数据泄露风险。
7. 为了提高个人信息保护的有效性,新法规还规定了对违反个人信息保护法的行为进行处罚,包括罚款、暂停服务、关闭网站等严厉制裁措施。
8. 除了政府部门的监管和执法外,新法规也鼓励广大网民积极参与个人信息保护,倡导“个人隐私、公共安全、商业合法”的理念,共同守护网络空间的安全。
9. 随着新法规的出台和实施,我国网络个人信息安全保护工作取得了显著成效,用户的个人信息得到更好的保护,网络空间的安全环境逐渐得到改善。
10. 然而,个人信息安全仍然面临着挑战,网络黑产、数据泄露等问题依然存在,需要政府、企业和个人共同努力,形成合力,构建更加安全的网络环境。
11. 总的来看,新法规的出台是我国网络个人信息保护工作的重要举措,为促进互联网健康发展、维护网络安全稳定起到了积极的推动作用。
12. 未来,我们期待在政府、企业和个人共同努力下,网络个人信息安全能够得到更加全面、深入的保护,让每个网络用户都能享受到安全、便捷的网络服务。
互联网安全指南保护个人隐私与数据安全
互联网安全指南保护个人隐私与数据安全互联网安全指南:保护个人隐私与数据安全在当今数字化时代,互联网的普及和发展给我们的生活带来了诸多便利,但同时也增加了个人隐私和数据安全的风险。
在网络空间,我们需要采取一系列措施来保护个人隐私和数据安全,以确保我们的在线活动和个人信息不受到侵犯。
本文将为大家提供一份互联网安全指南,帮助大家加强个人隐私和数据安全的保护。
第一部分:个人隐私保护一、使用强密码为了保护我们的个人隐私,第一步是设置一个强密码。
强密码应包括字母、数字和特殊字符,并且长度应超过8个字符。
避免使用常见的生日、姓名等与个人信息相关的密码,同时定期更改密码以增加安全性。
二、谨慎公开个人信息在互联网上,我们要谨慎公开个人信息。
避免在社交媒体等公开平台上透露过多的个人信息,尤其是电话号码、身份证号码等敏感信息。
此外,我们也要警惕来自陌生人的信息和邀请,以免陷入信息泄露的陷阱。
三、保护个人电子邮件个人电子邮件是我们在线交流的重要工具,因此需要做好保护。
使用加密的电子邮件服务和端到端加密是保护个人电子邮件的有效方法。
此外,对于未知或可疑的邮件,我们应当避免打开附件或点击其中的链接,以免受到恶意软件的攻击。
四、使用隐私保护工具在互联网上,有许多隐私保护工具可供我们使用,例如虚拟专用网络(VPN)和隐私保护浏览器插件等。
利用这些工具可以隐藏我们的真实IP地址和浏览轨迹,从而提高个人隐私保护的安全性。
第二部分:数据安全保护一、备份重要数据为了防止数据丢失或被黑客攻击,我们应当定期备份重要的个人数据,包括照片、文档、联系人等。
备份数据可以选择云存储或外部存储设备,确保即使意外情况发生,我们的数据也能够得到保护和恢复。
二、更新操作系统和软件及时更新操作系统和软件是保护数据安全的重要措施之一。
操作系统和软件的更新通常包括安全补丁和修复程序,能够弥补已知的安全漏洞,防止黑客利用这些漏洞进行攻击。
三、使用防病毒软件安装和定期更新防病毒软件是保护个人电脑和移动设备免受恶意软件和病毒攻击的有效方法。
互联网安全攻略保护个人信息的十大方法
互联网安全攻略保护个人信息的十大方法互联网安全攻略:保护个人信息的十大方法随着互联网的快速发展,我们已经进入了一个数字化时代,个人信息的保护变得尤为重要。
在这个信息泛滥的时代,我们必须采取措施来保护自己的个人信息,以免遭受网络攻击和数据泄露的风险。
本文将向您介绍保护个人信息的十大方法。
1. 加强密码安全首先,确保您使用的所有账户都有强密码。
一个强密码应该是以字母、数字和特殊字符组成的,长度至少为8位。
不要使用常见的个人信息作为密码,例如生日、家人名字等,而是选择一些难以猜测的组合。
此外,定期更换密码,并避免在多个账户间共享相同的密码。
2. 采用双重认证启用双重认证可以提供额外的安全保障。
当您登录账户时,除了输入密码,系统还会向您发送一条包含验证码的短信或电子邮件。
这样,即使密码被盗,黑客仍无法登录您的账户。
3. 谨慎使用社交媒体社交媒体是信息泄露的主要来源之一。
避免在社交媒体上分享私密的个人信息,如家庭住址、手机号码和银行账户信息。
同时,不要随意接受陌生人的好友请求,并定期检查并限制您的隐私设置。
4. 注意网络购物安全在进行网络购物时,确保您只在安全的网站购物。
检查网站是否使用安全的加密连接,如HTTPS。
此外,及时更新您的操作系统、浏览器和防病毒软件以确保您的设备安全。
5. 谨慎对待邮件和短信永远不要点击自称来自银行或其他机构的可疑邮件或短信中的链接。
这可能是钓鱼邮件的一种形式,旨在欺骗您泄露个人信息。
相反,直接在浏览器中输入机构的官方网址,并从那里登录以完成任何操作。
6. 保护移动设备移动设备是个人信息泄露的重要来源。
请务必设置密码或指纹锁来保护您的手机、平板电脑等设备。
如果设备遗失或被盗,请尽快通知您的运营商和相应的服务提供商。
7. 注意公共Wi-Fi公共Wi-Fi网络是黑客获取个人信息的理想场所。
避免在公共Wi-Fi网络上访问或传输敏感信息,如银行账户信息和密码。
如果必须使用公共Wi-Fi,可以考虑使用虚拟专用网络(VPN)来加密您的通信。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》(来源:全国互联网安全管理服务平台,2019-04-28)为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定了《互联网个人信息安全保护指南》。
现正式发布,供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。
目次引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 个人信息 (1)3.2 个人信息主体 (2)3.3 个人信息持有 (2)3.4 个人信息持有者 (2)3.5 个人信息收集 (2)3.6 个人信息使用 (2)3.7 个人信息删除 (2)3.8 个人信息生命周期 (3)3.9 个人信息处理系统 (3)4 管理机制 (3)4.1 基本要求 (3)4.2 管理制度 (3)4.3 管理机构 (4)4.4 管理人员 (5)5 技术措施 (8)5.1 基本要求 (8)5.2 通用要求 (8)5.3 扩展要求 (15)6 业务流程 (16)6.1 收集 (16)6.2 保存 (17)6.3 应用 (17)6.4 删除 (19)6.5 第三方委托处理 (19)6.6 共享和转让 (20)6.7 公开披露 (21)7 应急处置 (21)7.1 应急机制和预案 (21)7.2 处置和响应 (22)引言为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。
互联网个人信息安全保护指南1 范围本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。
适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。
本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2010 信息安全技术术语GB/T 35273—2017 信息安全技术个人信息安全规范GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等级保护基本要求)3 术语和定义3.1 个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
[中华人民共和国网络安全法,第七十六条(五)]注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
3.2 个人信息主体个人信息所标识的自然人。
[GB/T 35273-2017,定义3.3]3.3 个人信息持有对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。
3.4 个人信息持有者对个人信息进行控制和处理的组织或个人。
3.5 个人信息收集获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
[GB/T 35273-2017,定义3.5]3.6 个人信息使用通过自动或非自动方式对个人信息进行操作,例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。
3.7 个人信息删除在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
[GB/T 35273-2017,定义3.9]3.8 个人信息生命周期包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
3.9 个人信息处理系统处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。
4 管理机制4.1 基本要求个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。
4.2 管理制度4.2.1 管理制度内容a)应制定个人信息保护的总体方针和安全策略等相关规章制度和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;b)应制定工作人员对个人信息日常管理的操作规程;c)应建立个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;d)应制定个人信息安全事件应急预案。
4.2.2 管理制度制定发布a)应指定专门的部门或人员负责安全管理制度的制定;b)应明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;c)应明确管理制度的发布范围,并对发文及确认情况进行登记记录。
4.2.3 管理制度执行落实a)应对相关制度执行情况进行审批登记;b)应保存记录文件,确保实际工作流程与相关的管理制度内容相同;c)应定期汇报总结管理制度执行情况。
4.2.4 管理制度评审改进a)应定期对安全管理制度进行评审,存在不足或需要改进的予以修订;b)安全管理制度评审应形成记录,如果对制度做过修订,应更新所有下发的相关安全管理制度。
4.3 管理机构4.3.1 管理机构的岗位设置a)应设置指导和管理个人信息保护的工作机构,明确定义机构的职责;b)应由最高管理者或授权专人负责个人信息保护的工作;c)应明确设置安全主管、安全管理各个方面的负责人,设立审计管理员和安全管理员等岗位,清晰、明确定义其职责范围。
4.3.2 管理机构的人员配置a)应明确安全管理岗位人员的配备,包括数量、专职还是兼职情况等;配备负责数据保护的专门人员;b)应建立安全管理岗位人员信息表,登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息,审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。
4.4 管理人员4.4.1 管理人员的录用a)应设立专门的部门或人员负责人员的录用工作;b)应明确人员录用时对人员的条件要求,对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核;c)录用后应签署相应的针对个人信息的保密协议;d)应建立管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);e)应记录录用人身份、背景和专业资格等,记录审查内容和审查结果等;f)应记录录用人录用时的技能考核文档或记录,记录考核内容和考核结果等;g)应签订保密协议,其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
4.4.2 管理人员的离岗a)人员离岗时应办理调离手续,签署调离后个人信息保密义务的承诺书,防范内部员工、管理员因工作原因非法持有、披露和使用个人信息;b)应对即将离岗人员具有控制方法,及时终止离岗人员的所有访问权限,取回其身份认证的配件,诸如身份证件、钥匙、徽章以及机构提供的软硬件设备;采用生理特征进行访问控制的,需要及时删除生理特征录入的相关信息;c)应形成对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录);d)应具有按照离职程序办理调离手续的记录。
4.4.3 管理人员的考核a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核;b)应按照考核周期形成考核文档,被考核人员应包括各个岗位的人员;c)应对违反违背制定的安全策略和规定的人员进行惩戒;d)应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度,并对考核记录进行记录存档。
4.4.4 管理人员的教育培训a)应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训;b)应制定安全教育和培训计划文档,明确培训方式、培训对象、培训内容、培训时间和地点等,培训内容包含信息安全基础知识、岗位操作规程等;c)应形成安全教育和培训记录,记录包含培训人员、培训内容、培训结果等。
4.4.5 外部人员访问a)应建立关于物理环境的外部人员访问的安全措施:1)制定外部人员允许访问的设备、区域和信息的规定;2)外部人员访问前需要提出书面申请并获得批准;3)外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;4)外部人员访问情况应登记备案。
b)应建立关于网络通道的外部人员访问的安全措施:1)制定外部人员允许接入受控网络访问系统的规定;2)外部人员访问前需要提出书面申请并获得批准;3)外部人员访问时应进行身份认证;4)应根据外部访问人员的身份划分不同的访问权限和访问内容;5)应对外部访问人员的访问时间进行限制;6)对外部访问人员对个人信息的操作进行记录。
5 技术措施5.1 基本要求个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求,按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
5.2 通用要求5.2.1 通信网络安全5.2.1.1 网络架构a)应为个人信息处理系统所处网络划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;b)个人信息处理系统应作为重点区域部署,并设有边界防护措施。
5.2.1.2 通信传输a)应采用校验技术或密码技术保证通信过程中个人信息的完整性;b)应采用密码技术保证通信过程中个人信息字段或整个报文的保密性。
5.2.2 区域边界安全5.2.2.1 边界防护a)应对跨越边界访问通信信息进行有效防护;b)应对非授权设备跨越边界行为进行检查或限制。
5.2.2.2 访问控制应在个人信息处理系统边界根据访问控制策略设置访问控制规则。
5.2.2.3 入侵防范应在个人信息处理系统边界部署入侵防护措施,检测、防止或限制从外部、内部发起的网络攻击行为。
5.2.2.4 恶意代码防范应在个人信息处理系统的网络边界处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
5.2.2.5 安全审计a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户、用户行为和安全事件;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功,以及个人信息的范围、类型、操作方式、操作人、流转双方及其他与审计相关的信息;c)应对审计记录进行保护,定期备份并避免受到未预期的删除、修改或覆盖等;d)审计记录的留存时间应符合法律法规的要求;e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。