ImageVerifierCode 换一换
格式:DOC , 页数:3 ,大小:21.78KB ,
资源ID:3411465      下载积分:15 文币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenkunet.com/d-3411465.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(解读国标GBT 35273-2017《信息安全技术个人信息安全规范》.doc)为本站会员(小李)主动上传,文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文库网(发送邮件至13560552955@163.com或直接QQ联系客服),我们立即给予删除!

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》.doc

1、.解读国标GBT 35273-2017信息安全技术个人信息安全规范 发布时间:2018-01-28浏览:578 按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 信息安全技术 个人信息安全规范于2017年12月29日正式发布,将于2018年5月1日实施。本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T 35273-2017 信息安全技术个人信息安全规范。一、信息安全技术 个人信息安全规范第六点“个人信息的保存 ”,对个人信息控制者对个人信息的保存提出具体

2、要求,包括以下内容:6.1 个人信息保存时间最小化对个人信息控制者的要求包括:a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。6.2 去标识化处理收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;b) 存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息

3、的摘要。6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。二、信息安全技术 个人信息安全规范第九点“个人信息安全事件处置 ”,对个人信息控制者处理个人信息安全事件的方式方法提出具体要求,包括以下内容:9.1 安全事件应急处置和报告对个人信息控制者的要求包括:a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全

4、事件后,个人信息控制者应根据应急响应预案进行以下处置:1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3) 按国家网络安全事件应急预案的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。d) 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。9.2

5、安全事件告知对个人信息控制者的要求包括:a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;b) 告知内容应包括但不限于:1) 安全事件的内容和影响;2) 已采取或将要采取的处置措施;3) 个人信息主体自主防范和降低风险的建议;4) 针对个人信息主体提供的补救措施;5) 个人信息保护负责人和个人信息保护工作机构的联系方式。三、信息安全技术 个人信息安全规范第十点“组织的管理要求 ”,对个人信息控制者组织管理提出具体要求,包括以下内容:10.1 明确责任部门与人员对个人信息控制者的要求包

6、括:a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;b) 应任命个人信息保护负责人和个人信息保护工作机构;c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:1) 主要业务涉及个人信息处理,且从业人员规模大于200人;2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;2) 制定、签发、实施、定期更新隐私

7、政策和相关规程;3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;4) 开展个人信息安全影响评估;5) 组织开展个人信息安全培训;6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;7) 进行安全审计。10.3 数据安全能力个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。10.5 安全审计对个人信息控制者的要求包括:a) 应对隐私政策和相关规程,以及安全措施的有效性进行审计;b) 应建立自动化审计系统,监测记录个人信息处理活动;c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d) 应防止非授权访问、篡改或删除审计记录;e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。.

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:文库网官方知乎号:文库网

经营许可证编号: 粤ICP备2021046453号世界地图

文库网官网©版权所有2025营业执照举报