《解读国标T信息安全技术个人信息安全规范.docx》由会员分享,可在线阅读,更多相关《解读国标T信息安全技术个人信息安全规范.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、解读国标T信息安全技术个人信息安全规范当前位置:文档视界解读国标T信息安全技术个人信息安全规范解读国标T信息安全技术个人信息安全规范解读国标GBT35273-2021(信息安全技术个人信息安全规范)发布时间:2022-01-28阅读:578根据国家标准化管理委员会2021年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T35273-2021(信息安全技术个人信息安全规范)于2021年12月29日正式发布,将于2022年5月1日施行。本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容,解读国家标准GB/T35273-2021(信息安全
2、技术个人信息安全规范)。一、(信息安全技术个人信息安全规范)第六点“个人信息的保存,对个人信息控制者对个人信息的保存提出详细要求,包括下面内容:个人信息保存时间最小化对个人信息控制者的要求包括:a)个人信息保存期限应为实现目的所必需的最短时间;b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。去标识化处理采集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。个人敏感信息的传输和存储对个人信息控制者的要求包括:a)传输和存储个人敏感信息时,应采用加密等安全
3、措施;b)存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要。个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时,应:a)及时停止继续采集个人信息的活动;b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c)对其所持有的个人信息进行删除或匿名化处理。二、(信息安全技术个人信息安全规范)第九点“个人信息安全事件处置,对个人信息控制者处理个人信息安全事件的方式方法提出详细要求,包括下面内容:安全事件应急处置和报告对个人信息控制者的要求包括:a)应制定个人信息安全事件应急预案;b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演
4、练,使其把握岗位职责和应急处置策略和规程;c)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行下面处置:1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发惹事件的系统名称,对其他互联络统的影响,能否已联络执法机关或有关部门;2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;3)按(国家网络安全事件应急预案)的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联络方式;4)根据本标准的要务实施安全事件的告知。d)根据相关法律法规变化
5、情况,以及事件处置情况,及时更新应急预案。安全事件告知对个人信息控制者的要求包括:a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;b)告知内容应包括但不限于:1)安全事件的内容和影响;2)已采取或将要采取的处置措施;3)个人信息主体自主防备和降低风险的建议;4)针对个人信息主体提供的弥补措施;5)个人信息保护负责人和个人信息保护工作机构的联络方式。三、(信息安全技术个人信息安全规范)第十点“组织的管理要求,对个人信息控制者组织管理提出详细要求,包括下面内容:明确责任部门与人员对个人信
6、息控制者的要求包括:a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;b)应任命个人信息保护负责人和个人信息保护工作机构;c)知足下面条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:1)主要业务涉及个人信息处理,且从业人员规模大于200人;2)处理超过50万人的个人信息,或在12个月内估计处理超过50万人的个人信息。d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:1)全面统筹施行组织内部的个人信息安全工作,对个人信息安全负直接责任;2)制定、签发、施行、定期更新隐私
7、政策和相关规程;3)应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和受权访问策略;4)开展个人信息安全影响评估;5)组织开展个人信息安全培训;6)在产品或服务上线发布前进行检测,避免未知的个人信息采集、使用、分享等处理行为;7)进行安全审计。数据安全能力个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。安全审计对个人信息控制者的要求包括:a)应对隐私政策和相关规程,以及安全措施的有效性进行审计;b)应建立自动化审计系统,监测记录个人信息处理活动;c)审计经过构成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;d)应防止非受权访问、篡改或删除审计记录;e)应及时处理审计经过中发现的个人信息违规使用、滥用等情况。