个人信息保护体系建设方案1

骗受到经济损失甚至失去生命。为此我国在2003年启动了《个人信息保护》的个人信息保护法(草案)》等法律、法规和标准相继推出，个人信息安全保护的《个人信息出境安全评估办法(征求意见稿)》信息安全技术个人信息安全规范》信息安全技术个人信息安全影响评估指南》信息安全技术网络安全等级保护基本要求》信息安全技术数据安全能力成熟度模型》信息安全技术个人信息去标识化指南》信息安全技术信息安全风险评估规范》《网络安全标准实践指南—移动互联网应用程序(App)中的第三方软件开《网络安全标准实践指南一移动互联网应用程序(App)《网络安全标准实践指南一移动互联网应用程序)APP)个人信息保护常见《网络安全标准实践指南—移动互联网应用《ISO/IEC27001-2013信息技术安全技术信息安全管理体系要求》《ISO/IEC27002-2013信息技术安全技术信息安全控制实用规则》《ISO/IECE29100-2011信息技术安全技术隐私框架》《ISO/IECE29151-2017信息技术安全技术保护可辨识个人资料的工作>个人信息个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关>个人敏感信息>去标识化我国境内的个人信息处理者及处理我国个人信息的境外个人信息处理者应网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。>《GB/T35273-2020信息安全技术个人信息安全规范》公开透明、确保安全、主体参与”的原则。在个信息的生命周期中，通过明确个人信息管理要求和技术要求，为提供个人信息保护。出于审慎经营、声誉维护、品牌建立的目的，组织需要站在比合规要求更高的角度开展个人信息处理活动，通过风险管理，尽可能的降低由于处理个人信息给组织带来的不利影响。3.个人信息安全保护体系设计个人信息合规合法使用个人信息安全保护个人信息安全保护体权利响应个人信息保护可分为个人信息合规合法使用、个人权利响应、个人信息安全保护要求三个部分。个人权利响应主要指个人信息处理者应当提供一定的渠道响应个人信息处ISO/IEC27701引用了ISOb)将个人信息保护体系与已的安全管理体系有机融4.个人信息安全保护体系建设护法护法>涉及个人信息的业务的所在区域的行>涉及个人信息的业务的所在区域的治政环境、社会环境、文化习惯等对>《个人信息出境安全评估办法(征求意见稿)》>《GB/T35273-2020信息安全技术个人信息安全规范》>《GB/T39335-2020信息安全技术个人信息安全影响评估指南》>《GB/T34978-2017信息安全技术移动智能终端个人信护技术要求》>《GB/T22239-2019信息>《GB/T37988-2019信息安全技术数据安全能力成熟度模型》>《GB/T37964-2019信息安全技术个人信息去标识化指南》>《GB/T20984-2007信息安全技术信息安全风险评估规范》>《网络安全标准实践指南一移动互联网应用程序(App)中的>《信息安全技术人脸识别数据安全要求(征求意见稿)》>《信息安全技术移动互联网应用程度(APP)个人信息安全测评规范(征求意见稿)》>《信息安全技术移动互联网应用程序(APP)SDK安全指南(征求意见>《信息安全技术个人信息去标识化效果分级评估规范(征求意见稿)》>《信息安全技术个人信息告知同意指南(征求意见稿)》4.3.个人信息安全影响评估息类型的合法事由享ABC据处理活动(数据处理流程)为主线，梳理个人信息生命周期活动的安全管理情删除/匿名是否准确识别个人敏感信息收集个人信息的目的是否正当、合法获取个人信息是否得到正式授权(包括从第三方处获得)是否所有对个人信息的处理活动均征得用户同意告知用户的方式和内容是否友好可达是否超范围收集个人信息是否强迫或诱导提供个人信息变更个人信息使用目的是否取得个人同意是否提供有效的个人参与机制，如查询、更正、撤回同意等是否无根据的限制个人控制其个人信息的行为接收数据的第三方是否会变更个人信息使用的目的是否为个性化展示提供用户可控制、退出的或关闭的机制匿名化、去标识化机制是否有效是否对匿名化、去标识化的数据进行关联分析，以重新识别个人信息是否过多的追踪或监视个人行为是否建立了个人信息安全事件的处置机制是否提供有效的投诉和维权渠道向第三方共享、转让个人信息是否取得个人同意是否发布或散播不准确的或不完整的数据存储或处理个人信息的网络环境或信息系统是处理个人信息的信息系统与其它系统交互过程中是否可以保障数据0是否采取了严格的身份鉴别、访问控制措施是否采取了边界防护措施，防止数据泄露是否监测和记录网络运行状态，是否标记、分析个人信息在内部或与是否采取加密技术保护传输、存储过程的数据是否对个人信息收集、存储、传输、使用、共享等各阶段的活动进行审计，并对异常操作行为报警是否对数据存储介质加强安全管理是否具备数据备份和恢复的能力是否对应用系统中使用SDK的安全性进行评估，不使用安全性较低的SDK或对SDK升级后再使用其它必要的网络安全技术保障措施，如防病毒、配置管理、漏洞管理、是否建立个人信息保护机构(或任命个人),相关人员是否由具有相关管理工作经历和个人信息保护专业知识的人员担任是否依据业务安全需求，制定并执行个人信息安全管理的方针和策略是否制定个人信息处理各环节的安全管理制度是否与从事个人信息处理岗位的相关人员签署保密协议，对有条件大量接触个人敏感信息的人员进行背景审查是否明确涉及个人信息处理的岗位的安全职责是否对个人信息处理岗位上的人员进行专业培训和考核，保证其了解网络安全要求、隐私政策是否对可能访问个人信息的外部服务人员进行管理，包括签定协议、是否与第三方签署有约束力的合同文件，约束第三方保护个人信息是否定期对第三方处理个人信息的行为进行检查、审计其它管理要求业务处理或可能处理个人信息的数量、频率、用是否曾发生过个人信息安全事件个人信息保护相关执法监管动态近期收到过公开发布的安全相关的警示信息信息安全技术个人信息安全影响评估指南》中建议，可使用下表判定准则判断高中低身份证号在内的信息。如不填写不能正常挂号看清理)高个人权益影响分析是分析特定个人信息处理活动是否对个人合法权益产生高中低采用纸质文档采集患者信息，且未对相关纸质愿为外界所知的信息，如病情(如有传染性中据访问控制要求对纸质个人信息的存填写患者联系人的包括，姓名、联系方式、身信息。如不填写不能正常挂号看病。收集患者联证号超出了收集信息的目的，违反个人信息收集患者为保护联系人的个人信息，不能正常挂号进行诊疗，中施评估及撰写报告人员信息，参考的依据、个人信息影响评估对象(明确涉及根据《GB/T35273-2020信息安全技术个人信息安全规范》要求，组织作为个人信息处理者应当明确其法定代表人或主要负责人对个人信息安全负全面领导责任。法人代表/主要负责人1)主要业务涉及个人信息处理，且从业人员规模大于200人；2)处理超过100万人的个人信息，或预计在12个月内处理超过100万人3)处理超过10万人的个人敏感信息的。1)全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责2)组织制定个人信息保护工作计划并督促落实；3)制定、签发、实施、定期更新个人信息保护政策和相关规程；4)建立、维护和更新组织所持有的个人信息清单(包括5)开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改6)组织开展个人信息安全培训；7)在产品或服务上线发布前进行检测，避免未知的个人信息收集、使用、8)公布投诉、举报方式等信息并及时受理投诉举报；4.4.2.个人信息保护管理策略合法性最小必要存储时间最小化去标识化生物信息加密传输访问控制目的限制影响评估告知匿名化授权同意限制使用合同个人生物识别信息(面部特征、指纹、声纹等)在收集时应当确保个人明示收集不满14周岁的未成年人的个人信息应取得其监护人的明示同意。将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和用的《个人信息出境安全评估办法(征求意见稿)》要求进行管理。人信息处理者应当在每年12月31日将本年度个人信息出境情况、合同履行情况报告所在地省级网信部门，并保存5年内的个人信息出境记录。如提供产品和服务过程中引入具备收集个人信息功能的第三方产品或服务>删除或匿名化个人信息处理者在设计应用系统功能和流程时应将法律法规赋予个人的权结合ISO/IEC27001的管理体系，个人信息安全管理体系在网络安全管理策个人信息安全管理体系调整内容式方法，组织应当声明其遵守法律法规和合同条款。与合作伙伴或第三方之间应明确职责分配。信息安全组织人力资源安全应采取有效措施对组织个人进行个人信息安全意识教育和培训。资产管理个人信息应当作为组织控制或管理的信息资产的一部分进行管理。并在分级管理过程中考虑个人信息的敏感程度，对个人信息采取有效措施进行保护。访问控制2、涉及个人信息的信息系统的特权账户应严格管加密个人信息在存储、传输过程中应当加密。设备安全涉及个人信息的设备如需要重新分配存储空物理环境安全窃取。运行安全1、个人信息应定期进行备份，并对备份信息进行处于备份状态中的个人信息应当加密。2、关于个人信息的任何操作都应当被记录，如有可相应技术条件应建立一个流程使用自动化工具涉及个人信息的日志都应当得到妥善保存2、当涉及第三方人员时，应当通过保密协议等方信息系统开发、维护2、应用系统在开发阶段应识别与个人信息保护有关的安全需求，包括业务需求和系统需求，以保障信息系统自身的全规性；设计阶段应对流程和系3、不得使用真实的个人信息进行测试。1、当涉及与第三方共享、传输或委托等情况时，2、与第三方签署合同，明确双方安全职责。3、定期对第三方进行审计。1、应建立个人信息安全事件管理流程，明确事件的定期、处置、上报告、告知个人等方面的内容。2、应建立个人信息安全事件应急方案，定期演合规性要求5.个人信息保护技术体系个人信息安全保护技术是实现个人信息保护目标的必备工具。涉及个人安全的主要技加密技术是一项古老而常新的数据安全保护技术。使用算法将数据原文变成无法直接当个人敏感信息(如生物识别信息等)需要存储时，应加密存储。如个人信息存储在数据库可使数据库自带的加密功能；如数据以大数据形式存储可在大数据平台的建设阶段使数据库加密系统支持Oracle,DB2,SQLServer,My启明星辰统一安全平台(4A),可实现企业IT资源的集中管理连接用户表1.11oysql)-表-TavicatFresi表p***dvenustechcon,cn陶*明印*酵斜*山蓟*如□□中策略票止工单敬的(角色)禁止查看审计日志(角色)票止访间用户数据(角色)◎启用□十add,liou,test1,admin1,test,ar2,4a1[未配蜀pengmelrong,admin,test2,testi,dd□123123,asdfasdf1,ecc,qqtv123