GBT35273-2017《信息安全技術個人信息安全規(guī)范》

按照國家標準化管理委員會2017年第32 號中國國家標準公告，全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》于2017年12月29日正式發(fā)布，將于2018年5月1日實施。

本文重點提煉個人信息的保存、個人信息安處理以及組織的管理要求等方面內容，解讀國家標準GB/T 35273-2017《信息安全技術個人信息安全規(guī)范》。

一、《信息安全技術個人信息安全規(guī)范》第六點“個人信息的保存”，對個人信息控制者對個人信息的保存提出具體要求，包括以下內容：

6.1 個人信息保存時間最小化

對個人信息控制者的要求包括：

a) 個人信息保存期限應為實現(xiàn)目的所必需的最短時間 ;

b) 超出上述個人信息保存期限后，應對個人信息進行刪除或匿名化處理。

6.2 去標識化處理

收集個人信息后，個人信息控制者宜立即進行去標識化處理 ，并采取技術和管理方面的措施，將去標識化后的數(shù)據(jù)與可用于恢復識別個人的信息分開存儲，并確保在后續(xù)的個人信息處理中不重新識別個人。

6.3 個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括：

a) 傳輸和存儲個人敏感信息時，應采用加密等安全措施 ;

b) 存儲個人生物識別信息時，應采用技術措施處理后再進行存儲，例如僅存儲個人生 物識別信息的摘要。

6.4 個人信息控制者停止運營

當個人信息控制者停止運營其產(chǎn)品或服務時，應：

a) 及時停止繼續(xù)收集個人信息的活動;

b) 將停止運營的通知以逐一送達或公告的形式通知個人信息主體 ;

c) 對其所持有的個人信息進行刪除或匿名化處理。

二、《信息安全技術個人信息安全規(guī)范》第九點

“個人信息安全事件處置”，對個人信息控制者處理個人信息安全事件的方式方法提出具體要求，包括以下內容：

9.1 安全事件應急處置和報告

對個人信息控制者的要求包括：

a) 應制定個人信息安全事件應急預案 ;

b) 應定期 (至少每年一次 )組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規(guī)程;

c) 發(fā)生個人信息安全事件后，個人信息控制者應根據(jù)應急響應預案進行以下處置：

1) 記錄事件內容，包括但不限于：發(fā)現(xiàn)事件的人員、時間、地點，涉及的個人信息及人數(shù)，發(fā)生事件的系統(tǒng)名稱，對其他互聯(lián)系統(tǒng)的影響，是否已聯(lián)系執(zhí)法機關或有關部門;

2) 評估事件可能造成的影響，并采取必要措施控制事態(tài)，消除隱患;

3) 按《國家網(wǎng)絡安全事件應急預案》的有關規(guī)定及時上報，報告內容包括但不限于：涉及個人信息主體的類型、數(shù)量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯(lián)系方式;

4) 按照本標準 9.2 的要求實施安全事件的告知。

d) 根據(jù)相關法律法規(guī)變化情況，以及事件處置情況，及時更新應急預案。

9.2 安全事件告知

對個人信息控制者的要求包括：

a) 應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時，應采取合理、 有效的方式發(fā)布與公眾有關的警示信息;

b) 告知內容應包括但不限于：

1) 安全事件的內容和影響;

2) 已采取或將要采取的處置措施;

3) 個人信息主體自主防范和降低風險的建議;

4) 針對個人信息主體提供的補救措施;

5) 個人信息保護負責人和個人信息保護工作機構的聯(lián)系方式。

三、《信息安全技術個人信息安全規(guī)范》第十點“組織的管理要求”，對個人信息控制者組織管理提出具體要求，包括以下內容：

10.1 明確責任部門與人員

對個人信息控制者的要求包括：

a) 應明確其法定代表人或主要負責人對個人信息安全負全面領導責任 ，包括為個人信息安全工作提供人力、財力、物力保障等;

b) 應任命個人信息保護負責人和個人信息保護工作機構;

c) 滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作：

1) 主要業(yè)務涉及個人信息處理 ，且從業(yè)人員規(guī)模大于200 人;

2) 處理超過50 萬人的個人信息，或在12個月內預計處理超過50萬人的個人信息。

d) 個人信息保護負責人和個人信息保護工作機構應履行的職責包括但不限于：

1) 全面統(tǒng)籌實施組織內部的個人信息安全工作，對個人信息安全負直接責任;

2) 制定、簽發(fā)、實施、定期更新隱私政策和相關規(guī)程;

3) 應建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數(shù)量、來源、接收方等 )和授權訪問策略;

4) 開展個人信息安全影響評估;

5) 組織開展個人信息安全培訓;

6) 在產(chǎn)品或服務上線發(fā)布前進行檢測，避免未知的個人信息收集、使用、共享等處理行為 ;

7) 進行安全審計。

10.3 數(shù)據(jù)安全能力

個人信息控制者應根據(jù)有關國家標準的要求，建立適當?shù)臄?shù)據(jù)安全能力，落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失。

10.5 安全審計

對個人信息控制者的要求包括：

a) 應對隱私政策和相關規(guī)程，以及安全措施的有效性進行審計;

b) 應建立自動化審計系統(tǒng)，監(jiān)測記錄個人信息處理活動;

c) 審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐;

d) 應防止非授權訪問、篡改或刪除審計記錄;

e) 應及時處理審計過程中發(fā)現(xiàn)的個人信息違規(guī)使用、濫用等情況。

中企檢測認證網(wǎng)提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心

免責聲明：本文部分內容根據(jù)網(wǎng)絡信息整理，文章版權歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202303/ccaa_48007.html