声明
本文是学习GB-T 35273-2020 信息安全技术 个人信息安全规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
个人信息安全事件处置
个人信息安全事件应急处置和报告
对个人信息控制者的要求包括:
- 应制定个人信息安全事件应急预案;
- 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
- 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
- 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
- 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
- 按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
- 个人信息泄露事件可能会给个人信息主体的合法权益带来严重危害的,如个人敏感信息的泄露,照本标准10.2的要求实施安全事件的告知。
- 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
安全事件告知
对个人信息控制者的要求包括:
- 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
- 告知内容应包括但不限于:
- 安全事件的内容和影响;
- 已采取或将要采取的处置措施;
- 个人信息主体自主防范和降低风险的建议;
- 针对个人信息主体提供的补救措施;
- 个人信息保护负责人和个人信息保护工作机构的联系方式。
组织的个人信息安全管理要求
明确责任部门与人员
对个人信息控制者的要求包括:
- 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
- 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
- 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
- 主要业务涉及个人信息处理,且从业人员规模大于200人;
- 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
- 处理超过10万人的个人敏感信息的。
- 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
- 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
- 组织制定个人信息保护工作计划并督促落实;
- 制定、签发、实施、定期更新个人信息保护政策和相关规程;
- 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
- 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
- 组织开展个人信息安全培训;
- 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
- 公布投诉、举报方式等信息并及时受理投诉举报;
- 进行安全审计;
- 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
- 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
个人信息安全工程
开发具有处理个人信息功能的产品和服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
个人信息处理活动记录
宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:
- 所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);
- 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
- 与个人信息处理各环节相关的信息系统、组织或人员。
开展个人信息安全影响评估
对个人信息控制者的要求包括:
- 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
- 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
- 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
- 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
- 个人信息安全措施的有效性;
- 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
- 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
- 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
- 在产品或服务发布前,或功能发生重大变化时,应进行个人信息安全影响评估;
- 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
- 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
- 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。
人员管理与培训
对个人信息控制者的要求包括:
- 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;
- 应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制;
- 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
- 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
- 应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;
- 应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。
安全审计
对个人信息控制者的要求包括:
- 应对个人信息保护政策、相关规程和安全措施的有效性进行审计;
- 应建立自动化审计系统,监测记录个人信息处理活动;
- 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
- 应防止非授权访问、篡改或删除审计记录;
- 应及时处理审计过程中发现的个人信息违规使用、滥用等情况;
- 审计记录和留存时间应符合法律法规的要求。
延伸阅读
更多内容 可以 GB-T 35273-2020 信息安全技术 个人信息安全规范. 进一步学习
联系我们
T-ZNZ 053—2021 桃主要病虫害综合防治规范.pdf
