111.png

112

  引  言

  為指導(dǎo)互聯(lián)網(wǎng)企業(yè)建立健全公民個人信息安全保護(hù)管理制度和技術(shù)措施, 有效防范侵犯公民個人

  信息違法行為, 保障網(wǎng)絡(luò)數(shù)據(jù)安全和公民合法權(quán)益, 公安機(jī)關(guān)結(jié)合偵辦侵犯公民個人信息網(wǎng)絡(luò)犯罪案

  件和安全監(jiān)督管理工作中掌握的情況, 組織北京市網(wǎng)絡(luò)行業(yè)協(xié)會、 北京郵電大學(xué)和公安部第三研究所

  相關(guān)專家, 研究起草了《互聯(lián)網(wǎng)個人信息安全保護(hù)指引( 征求意見稿)》。

  對指引中的具體事項(xiàng), 法律法規(guī)另有規(guī)定的, 需遵照其規(guī)定執(zhí)行。

  個人信息安全保護(hù)指引

  1 范圍

  本指引規(guī)定了個人信息安全保護(hù)的安全管理機(jī)制、 安全技術(shù)措施和業(yè)務(wù)流程的安全。

  本指引適用于指導(dǎo)個人信息持有者在個人信息生命周期處理過程中開展安全保護(hù)工作, 也適用于網(wǎng)

  絡(luò)安全監(jiān)管職能部門依法進(jìn)行個人信息保護(hù)監(jiān)督檢查時參考使用。

  2 規(guī)范性引用文件

  下列文件對于本文件的應(yīng)用是必不可少的。 凡是注日期的引用文件, 僅注日期的版本適用于本文件。

  凡是不注日期的引用文件, 其最新版本( 包括所有的修改單) 適用于本文件。

  GB/T 22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求

  GB/T 25069—2010 信息安全技術(shù) 術(shù)語

  GB/T 35273—2017 信息安全技術(shù) 個人信息安全規(guī)范

  3 術(shù)語和定義

  3.1

  個人信息 personal information

  以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

  注: 個人信息包括姓名、 出生日期、 身份證件號碼、 個人生物識別信息、 住址、 通信通訊聯(lián)系方式、 通信記錄和內(nèi)容、 賬號密碼、 財產(chǎn)信息、 征信信息、 行蹤軌跡、 住宿信息、 健康生理信息、 交易信息等。

  [GB/T 35273-2017, 定義 3.1]

  3.2

  個人信息主體 personal data subject

  個人信息所標(biāo)識的自然人。

  [GB/T 35273-2017, 定義 3.3]

  3.3

  個人信息生命周期 personal information life cycle

  包括個人信息主體收集、 保存、 使用、 委托處理、 共享、 轉(zhuǎn)讓和公開披露、 銷毀個人信息在內(nèi)的全部生命歷程。

  3.4

  個人信息持有者 personal information holder

  對個人信息進(jìn)行控制和處理的組織或個人。

  3.5

  個人信息持有 personal information hold

  對個人信息及相關(guān)資源、 環(huán)境、 管理體系等進(jìn)行計劃、 組織、 協(xié)調(diào)、 控制的相關(guān)活動或行為。

  3.6

  個人信息收集 collection of personal information

  個人信息持有者獲取個人信息的行為

  3.7

  個人信息使用 usage of personal information

  通過自動或非自動方式對個人信息進(jìn)行操作, 例如收集、 記錄、 組織、 排列、 存儲、 改編或變更、 檢索、 咨詢、 使用、 披露、 傳播、 保護(hù)或以其他方式提供、 調(diào)整或組合、 限制、 刪除或銷毀等。

  3.8

  個人信息刪除 removal of personal information

  在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為, 使其保持不可被檢索、 訪問的狀態(tài)。

  [GB/T 35273-2017, 定義 3.9]

  4 管理機(jī)制

  4.1 管理制度

  4.1.1 管理制度內(nèi)容

  a) 應(yīng)制定個人信息保護(hù)的總體方針和安全策略等相關(guān)規(guī)章制度和文件, 其中包括本機(jī)構(gòu)的個人信息保護(hù)工作的目標(biāo)、 范圍、 原則和安全框架等相關(guān)說明;

  a) 應(yīng)制定個人信息的保護(hù)管理制度, 其中包括個人信息生命周期的工作內(nèi)容;

  b) 應(yīng)制定工作人員對個人信息日常管理的操作規(guī)程;

  c) 應(yīng)建立個人信息管理制度體系, 其中包括安全策略、 管理制度、 操作規(guī)程和記錄表單;

  d) 應(yīng)制定個人信息安全事件應(yīng)急預(yù)案。

  4.1.2 管理制度制定發(fā)布

  a) 應(yīng)指定專門的部門或人員負(fù)責(zé)安全管理制度的制定;

  b) 應(yīng)明確安全管理制度的制定程序和發(fā)布方式, 對制定的安全管理制度進(jìn)行論證和審定, 并形成論證和評審記錄;

  c) 應(yīng)明確管理制度的發(fā)布范圍, 并對發(fā)文及確認(rèn)情況進(jìn)行登記記錄。

  4.1.3 管理制度執(zhí)行落實(shí)

  a) 應(yīng)對相關(guān)制度執(zhí)行情況進(jìn)行審批登記;

  b) 應(yīng)保存記錄文件, 確保實(shí)際工作流程與相關(guān)的管理制度內(nèi)容相同;

  c) 應(yīng)定期匯報總結(jié)管理制度執(zhí)行情況。

  4.1.4 管理制度評審改進(jìn)

  a) 應(yīng)定期對安全管理制度進(jìn)行評審, 存在不足或需要改進(jìn)的予以修訂; 應(yīng)定期對安全管理制度進(jìn)行評審, 發(fā)現(xiàn)存在不足或需要改進(jìn)應(yīng)及時進(jìn)行修訂;

  b) 安全管理制度評審應(yīng)形成記錄, 如果對制度做過修訂, 應(yīng)更新所有下發(fā)的相關(guān)安全管理制度。

  4.2 管理機(jī)構(gòu)

  4.2.1 管理機(jī)構(gòu)的崗位設(shè)置

  a) 應(yīng)設(shè)置指導(dǎo)和管理個人信息保護(hù)工作機(jī)構(gòu), 明確定義各個機(jī)構(gòu)的職責(zé);

  b) 最高管理者或最高管理者應(yīng)設(shè)置專門崗位從事個人信息保護(hù)的工作;

  c) 應(yīng)明確設(shè)置安全主管、 安全管理各個方面的負(fù)責(zé)人、 機(jī)房管理員、 系統(tǒng)管理員、 網(wǎng)絡(luò)管理員和安全管理員等各個崗位, 清晰、 明確定義其職責(zé)范圍。

  4.2.2 管理機(jī)構(gòu)的人員配置

  a) 應(yīng)明確安全管理崗位人員的配備, 包括數(shù)量、 專職還是兼職情況等; 配備負(fù)責(zé)數(shù)據(jù)保護(hù)的專門人員;

  b) 應(yīng)建立安全管理崗位人員信息表, 登記機(jī)房管理員、 系統(tǒng)管理員、 數(shù)據(jù)庫管理員、 網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息, 安全管理員不應(yīng)兼任網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、 數(shù)據(jù)庫管理員等崗位。

  4.3 管理人員

  4.3.1 管理人員的錄用

  a) 應(yīng)設(shè)立專門的部門或人員負(fù)責(zé)人員的錄用工作;

  b) 應(yīng)明確人員錄用時對人員的條件要求, 對被錄用人的身份、 背景和專業(yè)資格進(jìn)行審查, 對技術(shù)人員的技術(shù)技能進(jìn)行考核;

  c) 錄用后應(yīng)簽署相應(yīng)的針對個人信息的保密協(xié)議。

  d) 應(yīng)建立管理文檔, 說明錄用人員應(yīng)具備的條件( 如學(xué)歷、 學(xué)位要求, 技術(shù)人員應(yīng)具備的專業(yè)技術(shù)水平, 管理人員應(yīng)具備的安全管理知識等) ;

  e) 應(yīng)記錄錄用人身份、 背景和專業(yè)資格等, 記錄審查內(nèi)容和審查結(jié)果等;

  f) 應(yīng)記錄錄用人錄用時的技能考核文檔或記錄, 記錄考核內(nèi)容和考核結(jié)果等;

  g) 應(yīng)簽訂保密協(xié)議, 其中包括保密范圍、 保密責(zé)任、 違約責(zé)任、 協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。

  4.3.2 管理人員的離崗

  a) 人員離崗時應(yīng)辦理調(diào)離手續(xù), 簽署調(diào)離后個人信息保密義務(wù)的承諾書;

  b) 應(yīng)對即將離崗人員具有控制方法, 及時終止離崗人員的所有訪問權(quán)限, 取回其身份認(rèn)證的配件,諸如身份證件、 鑰匙、 徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備;

  c) 應(yīng)形成對離崗人員的安全處理記錄( 如交還身份證件、 設(shè)備等的登記記錄);

  d) 應(yīng)具有按照離職程序辦理調(diào)離手續(xù)的記錄。

  4.3.3 管理人員的考核

  a) 應(yīng)設(shè)立專人負(fù)責(zé)定期對接觸個人信息數(shù)據(jù)工作的工作人員進(jìn)行全面、 嚴(yán)格的安全審查、 意識考核和技能考核;

  b) 應(yīng)按照考核周期形成考核文檔, 考核人員應(yīng)包括各個崗位的人員。

  4.3.4 管理人員的教育培訓(xùn)

  a) 應(yīng)制定培訓(xùn)計劃并按計劃對各崗位員工進(jìn)行基本的安全意識教育培訓(xùn)和崗位技能培訓(xùn);

  b) 應(yīng)對違反違背制定的安全策略和規(guī)定的人員進(jìn)行懲戒;

  c) 應(yīng)定期考查安全管理員、 系統(tǒng)管理員和網(wǎng)絡(luò)管理員其對工作相關(guān)的信息安全基礎(chǔ)知識、 安全責(zé)任和懲戒措施等的理解程度;

  d) 應(yīng)制定安全教育和培訓(xùn)計劃文檔, 明確培訓(xùn)方式、 培訓(xùn)對象、 培訓(xùn)內(nèi)容、 培訓(xùn)時間和地點(diǎn)等,培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識、 崗位操作規(guī)程等;

  e) 應(yīng)形成安全教育和培訓(xùn)記錄, 記錄包含培訓(xùn)人員、 培訓(xùn)內(nèi)容、 培訓(xùn)結(jié)果等。

  4.3.5 外部人員訪問

  a) 應(yīng)建立關(guān)于物理環(huán)境的外部人員訪問的安全措施:

  1) 制定外部人員允許訪問的設(shè)備、 區(qū)域和信息的規(guī)定;

  2) 外部人員訪問前需要提出書面申請;

  3) 外部人員訪問被批準(zhǔn)后應(yīng)有專人全程陪同或監(jiān)督;

  4) 外部人員訪問情況應(yīng)登記備案。

  b) 應(yīng)建立關(guān)于網(wǎng)絡(luò)通道的外部人員訪問的安全措施:

  1) 外部人員訪問時應(yīng)進(jìn)行身份認(rèn)證;

  2) 應(yīng)根據(jù)外部訪問人員的身份劃分不同的訪問權(quán)限和訪問內(nèi)容;

  3) 應(yīng)對外部訪問人員的訪問時間進(jìn)行限制;

  4) 對外部訪問人員對個人信息的操作進(jìn)行記錄。

  5 技術(shù)措施

  5.1 基本要求

  應(yīng)按照GB/T 22239—2008 7.1第三級的物理安全、 網(wǎng)絡(luò)安全、 主機(jī)安全、 應(yīng)用安全、 數(shù)據(jù)安全及備份恢復(fù)要求進(jìn)行安全保護(hù), 并滿足以下要求:

  5.1.1 網(wǎng)絡(luò)和通信安全

  5.1.1.1 網(wǎng)絡(luò)架構(gòu)

  a) 應(yīng)為個人信息處理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域, 并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址;

  b) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)作為重點(diǎn)區(qū)域部署, 并設(shè)有邊界防護(hù)措施。

  5.1.1.2 通信傳輸

  a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中個人信息的完整性;

  b) 應(yīng)采用密碼技術(shù)保證通信過程中個人信息字段或整個報文的保密性。

  5.1.1.3 邊界防護(hù)

  應(yīng)確??缭竭吔绲脑L問和個人信息流通過邊界設(shè)備提供的受控接口進(jìn)行通信。

  5.1.1.4 訪問控制

  應(yīng)在個人信息處理系統(tǒng)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則。

  5.1.1.5 入侵防范

  應(yīng)在個人信息處理系統(tǒng)邊界部署入侵防護(hù)設(shè)備, 檢測、 防止或限制從外部、 內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

  5.1.1.6 惡意代碼和垃圾郵件防范

  應(yīng)在個人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除, 并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。

  5.1.1.7 安全審計

  a) 應(yīng)在個人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界、 重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計, 審計應(yīng)覆蓋到每個用戶, 應(yīng)對重要的用戶行為和重要安全事件進(jìn)行審計;

  b) 審計記錄應(yīng)包括事件的日期和時間、 用戶、 事件類型、 事件是否成功及其他與審計相關(guān)的信息;

  c) 應(yīng)對審計記錄進(jìn)行保護(hù), 定期備份并避免受到未預(yù)期的刪除、 修改或覆蓋等;

  d) 審計記錄的留存時間應(yīng)符合法律法規(guī)的要求;

  e) 應(yīng)能夠?qū)h(yuǎn)程訪問的用戶行為、 訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。

  5.1.2 設(shè)備和計算

  5.1.2.1 身份鑒別

  a) 應(yīng)對登陸個人信息處理系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別;

  b) 應(yīng)確保身份鑒別標(biāo)識不易被冒用;

  c) 身份鑒別信息應(yīng)定期更換并有一定的復(fù)雜度;

  d) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)啟用登陸失敗處理功能, 采取諸如結(jié)束會話、 限制非法登錄次數(shù)和自動退出等措施;

  e) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備進(jìn)行遠(yuǎn)程管理時, 應(yīng)采取措施防止身份鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽;

  f) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)采用口令、 密碼技術(shù)、 生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別, 且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

  5.1.2.2 訪問控制

  a) 應(yīng)對登陸個人信息處理系統(tǒng)和存儲個人信息的設(shè)備的用戶分配賬戶和權(quán)限;

  b) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)重命名或刪除默認(rèn)賬戶, 修改默認(rèn)賬戶的默認(rèn)口令;

  c) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)及時刪除或停用多余的、 過期的賬戶, 避免共享賬戶的存在;

  d) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)進(jìn)行角色劃分, 并授予管理用戶所需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離;

  e) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)由授權(quán)主體配置訪問控制策略, 訪問控制策略應(yīng)規(guī)定主體對客體的訪問規(guī)則;

  f) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備的訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級, 客體為文件、 數(shù)據(jù)庫表級;

  g) 個人信息處理系統(tǒng)和存儲個人信息的設(shè)備應(yīng)對個人信息設(shè)置安全標(biāo)記, 并控制主體對有安全標(biāo)記資源的訪問。

  5.1.2.3 安全審計

  a) 個人信息處理和存儲設(shè)備應(yīng)啟用安全審計功能, 并且審計覆蓋到每個用戶, 應(yīng)對重要的用戶行為和重要的安全事件進(jìn)行審計;

  b) 審計記錄應(yīng)包括事件的日期和時間、 用戶、 事件類型、 事件是否成功及其他與審計相關(guān)的信息;

  c) 應(yīng)對審計記錄進(jìn)行保護(hù), 進(jìn)行定期備份并避免受到未預(yù)期的刪除、 修改或覆蓋等;

  d) 審計記錄的留存時間應(yīng)符合法律法規(guī)的要求;

  e) 應(yīng)對審計進(jìn)程進(jìn)行保護(hù), 防止未經(jīng)授權(quán)的中斷。

  5.1.2.4 入侵防范

  a) 個人信息處理和存儲設(shè)備應(yīng)遵循最小安裝的原則, 只安裝需要的組件和應(yīng)用程序;

  b) 個人信息處理和存儲設(shè)備應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、 默認(rèn)共享和高危端口;

  c) 個人信息處理和存儲設(shè)備應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制;

  d) 個人信息處理和存儲設(shè)備應(yīng)能夠發(fā)現(xiàn)存在的已知漏洞, 并在經(jīng)過充分測試評估后, 及時修補(bǔ)漏洞;

  e) 個人信息處理和存儲設(shè)備應(yīng)能夠檢測到對重要節(jié)點(diǎn)的入侵行為, 并在發(fā)生嚴(yán)重入侵事件時提供報警。

  5.1.2.5 惡意代碼防范和程序可信執(zhí)行

  應(yīng)采取免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制對系統(tǒng)程序、 應(yīng)用程序和重要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證, 并在檢測到其完整性受到破壞時采取恢復(fù)措施。

  5.1.2.6 資源控制

  a) 應(yīng)限制單個用戶或進(jìn)程對個人信息處理和存儲設(shè)備系統(tǒng)資源的最大使用限度;

  b) 應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余, 保證系統(tǒng)的可用性;

  c) 應(yīng)對重要節(jié)點(diǎn)進(jìn)行監(jiān)視, 包括監(jiān)視 CPU、 硬盤、 內(nèi)存等資源的使用情況;

  d) 應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。

  5.1.3 應(yīng)用和數(shù)據(jù)

  5.1.3.1 身份鑒別

  a) 個人信息處理應(yīng)用應(yīng)對登陸的用戶進(jìn)行身份標(biāo)識和鑒別, 該身份標(biāo)識應(yīng)具有唯一性, 鑒別信息應(yīng)具有復(fù)雜度并要求定期更換;

  b) 個人信息處理應(yīng)用應(yīng)提供并啟用登陸失敗處理功能, 并在多次登陸后采取必要的保護(hù)措施;

  c) 個人信息處理應(yīng)用應(yīng)強(qiáng)制用戶首次登陸時修改初始口令;

  d) 用戶身份鑒別信息丟失或失效時, 應(yīng)采取技術(shù)措施保證鑒別信息重置過程的安全;

  e) 應(yīng)采取口令、 密碼技術(shù)、 生物技術(shù)等兩種或兩種以上的組合鑒別技術(shù)對用戶進(jìn)行身份鑒別, 且其中一種鑒別技術(shù)使用密碼技術(shù)來實(shí)現(xiàn);

  5.1.3.2 訪問控制

  a) 個人信息處理應(yīng)用應(yīng)提供訪問控制功能, 并對登陸的用戶分配賬戶和權(quán)限;

  b) 應(yīng)重命名或刪除默認(rèn)賬戶, 修改默認(rèn)賬戶的默認(rèn)口令;

  c) 應(yīng)及時刪除或停用多余的、 過期的賬戶, 避免共享賬戶的存在;

  d) 應(yīng)授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限, 在它們之間形成相互制約的關(guān)系;

  e) 應(yīng)由授權(quán)主體配置訪問控制策略, 訪問控制策略規(guī)定主體對客體的訪問規(guī)則;

  f) 訪問控制的粒度應(yīng)達(dá)到主體為用戶級, 客體為文件、 數(shù)據(jù)庫表級、 記錄或字段級;

  g) 個人信息應(yīng)設(shè)置安全標(biāo)記, 控制主體對有安全標(biāo)記資源的訪問;

  5.1.3.3 安全審計

  a) 個人信息處理應(yīng)用應(yīng)提供安全審計功能, 審計應(yīng)覆蓋到每個用戶, 應(yīng)對重要的用戶行為和重要的安全事件進(jìn)行審計;

  b) 審計記錄應(yīng)包括事件的日期和時間、 用戶、 事件類型、 事件是否成功及其他與審計相關(guān)的信息;

  c) 應(yīng)對審計記錄進(jìn)行保護(hù), 定期備份, 并避免受到未預(yù)期的刪除、 修改或覆蓋等;

  d) 審計記錄的留存時間應(yīng)符合法律法規(guī)的要求;

  e) 應(yīng)對審計進(jìn)程進(jìn)行保護(hù), 防止未經(jīng)授權(quán)的中斷。

  5.1.3.4 軟件容錯

  a) 應(yīng)提供個人信息的有效性校驗(yàn)功能, 保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合個人信息處理應(yīng)用設(shè)定要求;

  b) 應(yīng)能夠發(fā)現(xiàn)個人信息處理應(yīng)用軟件組件可能存在的已知漏洞, 并能夠在充分測試評估后及時修補(bǔ)漏洞;

  c) 應(yīng)能夠在故障發(fā)生時, 繼續(xù)提供一部分功能, 并能夠?qū)嵤┍匾拇胧?/p>

  5.1.3.5 資源控制

  a) 在通信雙方中的一方在一段時間內(nèi)未做任何響應(yīng)時, 另一方應(yīng)能夠自動結(jié)束會話;

  b) 應(yīng)對個人信息處理系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制;

  c) 應(yīng)能夠?qū)蝹€用戶的多重并發(fā)會話進(jìn)行限制。

  5.1.3.6 數(shù)據(jù)完整性

  a) 應(yīng)采取校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性, 包括但不限于鑒別數(shù)據(jù)和個人信息;

  b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性, 包括但不限于鑒別數(shù)據(jù)和個人信息;

  5.1.3.7 數(shù)據(jù)保密性

  a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性, 包括但不限于鑒別數(shù)據(jù)和個人信息;

  b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性, 包括但不限于鑒別數(shù)據(jù)和個人信息;

  5.1.3.8 數(shù)據(jù)備份恢復(fù)

  a) 應(yīng)提供個人信息的本地數(shù)據(jù)備份與恢復(fù)功能;

  b) 應(yīng)提供異地實(shí)時備份功能, 利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時備份至備份場地;

  c) 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余, 保證系統(tǒng)的高可用性。

  5.1.3.9 剩余信息保護(hù)

  a) 應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除;

  b) 應(yīng)保證存有個人信息的存儲空間被釋放或重新分配前得到完全清除。

  5.2 增強(qiáng)要求

  5.2.1 云計算安全增強(qiáng)要求

  a) 應(yīng)使用校驗(yàn)技術(shù)或密碼技術(shù)保證虛擬機(jī)遷移過程中, 個人信息的完整性, 并在檢測到完整性受到破壞時采取必要的恢復(fù)措施;

  b) 應(yīng)使用密碼技術(shù)保證虛擬機(jī)遷移過程中, 個人信息的保密性, 防止在遷移過程中的個人信息泄露;

  5.2.2 物聯(lián)網(wǎng)安全擴(kuò)展增強(qiáng)要求

  物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備采集信息回傳應(yīng)采用密碼技術(shù)保證通信過程中個人信息的保密性。

  6 業(yè)務(wù)流程

  6.1 收集

  個人信息的收集行為應(yīng)滿足以下要求:

  a) 個人信息收集前, 應(yīng)向被收集的個人信息主體公示本機(jī)構(gòu)收集的目的、 范圍、 方法和手段、 處理方式等信息;

  b) 個人信息收集應(yīng)獲得個人信息主體的同意和授權(quán);

  c) 個人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議, 不應(yīng)有超范圍收集的現(xiàn)象;

  d) 應(yīng)確保收集個人信息過程的安全性:

  1) 收集個人信息之前, 應(yīng)有對被收集人進(jìn)行身份認(rèn)證的機(jī)制, 該身份認(rèn)證機(jī)制應(yīng)具有相應(yīng)安全性;

  2) 收集個人信息時, 信息在傳輸過程中應(yīng)進(jìn)行加密等保護(hù)處理;

  3) 收集個人信息的系統(tǒng)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級保護(hù)要求;

  4) 收集個人信息時應(yīng)有對收集內(nèi)容進(jìn)行安全檢測和過濾的機(jī)制, 防止非法內(nèi)容提交。

  6.2 保存

  個人信息的保存行為應(yīng)滿足以下要求:

  a) 收集到的個人信息應(yīng)采取相應(yīng)的安全加密存儲等安全措施進(jìn)行處理;

  b) 應(yīng)對保存的個人信息根據(jù)收集、 使用目的、 被收集人授權(quán)設(shè)置相應(yīng)的保存時限;

  c) 應(yīng)對保存的個人信息在超出設(shè)置的時限后予以刪除;

  d) 保存信息的主要設(shè)備, 應(yīng)對個人信息數(shù)據(jù)提供備份和恢復(fù)功能, 確保數(shù)據(jù)備份的頻率和時間間隔, 并使用不少于以下一種備份手段:

  1) 具有本地數(shù)據(jù)備份功能;

  2) 將備份介質(zhì)進(jìn)行場外存放;

  3) 具有異地數(shù)據(jù)備份功能。

  6.3 應(yīng)用

  個人信息的應(yīng)用應(yīng)滿足以下要求:

  a) 對個人信息的應(yīng)用, 應(yīng)符合與個人信息主體簽署的相關(guān)協(xié)議和規(guī)定, 不應(yīng)超范圍應(yīng)用個人信息;

  注: 經(jīng)過匿名化或脫敏的方式處理的個人信息數(shù)據(jù)可用于歷史、 統(tǒng)計或科學(xué)目的, 可以超出與信息主體簽署的相關(guān)使用協(xié)議和約定, 但應(yīng)提供適當(dāng)?shù)谋Wo(hù)措施進(jìn)行保護(hù)。

  b) 個人信息主體應(yīng)擁有控制本人信息的權(quán)限, 包括:

  1) 允許對本人信息的訪問;

  2) 允許對本人信息的修改, 包括糾正不準(zhǔn)確和不完整的數(shù)據(jù);

  c) 應(yīng)對個人信息的接觸者設(shè)置相應(yīng)的訪問控制措施, 包括:

  1) 對被授權(quán)訪問個人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則, 只能訪問最少夠用的信息,只具有完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限;

  2) 對個人信息的重要操作設(shè)置內(nèi)部審批流程, 如批量修改、 拷貝、 下載等;

  3) 對特定人員超限制處理個人信息時配置相應(yīng)的責(zé)任人或負(fù)責(zé)機(jī)構(gòu)進(jìn)行審批, 并對這種行為進(jìn)行記錄。

  d) 應(yīng)對必須要通過界面展示的個人信息進(jìn)行去標(biāo)識化的處理。

  6.4 刪除

  a) 個人信息相關(guān)存儲設(shè)備, 應(yīng)在個人信息超過保存時限之后進(jìn)行刪除;

  b) 個人信息相關(guān)存儲設(shè)備, 將存儲的個人信息數(shù)據(jù)進(jìn)行刪除之后應(yīng)采取措施防止通過技術(shù)手段恢復(fù);

  c) 對存儲過個人信息的設(shè)備在進(jìn)行新信息的存儲時, 應(yīng)將之前的內(nèi)容全部進(jìn)行刪除;

  d) 廢棄存儲設(shè)備, 應(yīng)在進(jìn)行刪除后再進(jìn)行處理。

  6.5 第三方委托處理

  a) 在對個人信息委托處理時, 不應(yīng)超出該信息主體授權(quán)同意的范圍;

  b) 在對個人信息的相關(guān)處理進(jìn)行委托時, 應(yīng)對受托方的數(shù)據(jù)安全能力進(jìn)行評估;

  c) 對個人信息進(jìn)行委托處理時, 應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本規(guī)范;

  d) 應(yīng)向受托方進(jìn)行對個人信息數(shù)據(jù)的使用和訪問的授權(quán);

  e) 受托方對個人信息的相關(guān)數(shù)據(jù)進(jìn)行處理完成之后, 應(yīng)對存儲的個人信息數(shù)據(jù)的內(nèi)容進(jìn)行刪除。

  6.6 共享和轉(zhuǎn)讓

  如存在個人信息共享和轉(zhuǎn)讓行為時, 應(yīng)滿足以下要求:

  a) 共享和轉(zhuǎn)讓行為應(yīng)經(jīng)過合法性、 必要性評估;

  b) 在對個人信息進(jìn)行共享和轉(zhuǎn)讓時應(yīng)進(jìn)行安全影響評估, 應(yīng)對受讓方的數(shù)據(jù)安全能力進(jìn)行評估,并按照評估結(jié)果采取有效的保護(hù)個人信息主體的措施;

  c) 在共享、 轉(zhuǎn)讓前應(yīng)向個人信息主體告知轉(zhuǎn)讓該信息的目的、 數(shù)據(jù)接收方的類型等信息;

  d) 在共享、 轉(zhuǎn)讓前應(yīng)得到個人信息主體的授權(quán)同意;

  e) 應(yīng)記錄共享、 轉(zhuǎn)讓信息內(nèi)容, 將共享、 轉(zhuǎn)讓情況中包括共享、 轉(zhuǎn)讓的日期、 數(shù)據(jù)量、 目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行登記;

  f) 在共享、 轉(zhuǎn)讓后應(yīng)了解接收方對個人信息的保存、 使用情況和個人信息主體的權(quán)利, 例如訪問、更正、 刪除、 注銷等。

  6.7 公開披露

  個人信息原則上不得公開披露。 如存在該行為, 應(yīng)滿足以下要求:

  a) 公開披露行為應(yīng)經(jīng)過合法性、 必要性評估;

  b) 應(yīng)對該行為進(jìn)行安全影響評估, 并按照評估結(jié)果采取有效的保護(hù)個人信息主體的措施;

  c) 在披露前應(yīng)向個人信息主體告知披露的目的、 類型等;

  d) 在公開披露前應(yīng)得到個人信息主體的明示同意;

  e) 應(yīng)記錄公開披露的信息內(nèi)容, 將公開披露情況中包括公開披露的日期、 數(shù)據(jù)量、 目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行記錄。

  6.8 應(yīng)急處置

  a) 應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機(jī)制;

  b) 應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案;

  c) 應(yīng)定期組織相關(guān)個人信息事件安全事件演練;

  d) 應(yīng)制定相關(guān)制度信息, 在個人信息處理過程中發(fā)生應(yīng)急事件時具有上報有關(guān)主管部門的機(jī)制;

  e) 應(yīng)對進(jìn)行個人信息處理的相關(guān)內(nèi)部人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練;

  f) 應(yīng)了解知曉應(yīng)急處置策略和規(guī)程;

  g) 應(yīng)記錄信息安全事件信息, 在應(yīng)急事件發(fā)生后對事件內(nèi)容進(jìn)行記錄, 包括發(fā)現(xiàn)事件的人員、 事件、 涉及的個人信息和人數(shù)、 發(fā)生事件的系統(tǒng)名稱等;

  h) 應(yīng)對事件造成的影響進(jìn)行評估, 并采取必要的措施對事態(tài)進(jìn)行控制;

  i) 應(yīng)將事件的情況告知受影響的個人信息主體。