电信和互联网个人信息保护保障能力评估规范

电信终端产业协会发布I 1 1 1 2 2 2 2 3 3 5 8 9 9 A.2规范性引用 A.3术语和定义 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定杨骁涵、肖洋、李洁、李汝鑫、刘俊、邹庆、任资政、刘瑾、1电信和互联网个人信息保护保障能力评估规范GB/T35273-2020信息安全技术个人信息2第三方应用thirdpartyappl括但不限于软件开发工具包（SDK）、第三方代码、组件、脚本、接口、算法模型、小程4缩略语SIM：用户身份模块（SubscriberIdentityHTTPS：超文本传输安全协议（HyperTextTransferProtocoloverSecureSocketLay5个人信息保护保障能力评估基本要求5.1评估原则a)目的性原则：评估目的应明确具体，评估范围应与评估c)全面性原则：评估应当贯穿个人信息全周期，实现对个人信息保护5.2评估架构个人信息保护保障能力评估内容是电信和互联网行业个人信息处理者在处理个人信息时应具备的相关保障能力，包含个人信息处理活动，个人信息处理者投诉、举报访问控制与审计投诉、举报访问控制与审计查阅、复制、▲v▲v▲信息推送审计与保护技术个人信息处理活动三方管理传输删除提供个人信息处理者的义务个人信息处理活动三方管理传输删除提供个人信息处理者的义务人员管理其提供的服务无直接或无合理关联的个人信息，且应符合以a)应制定和公开个人信息保护政策并严格遵守，g)收集不满14周岁未成年人个人信息前，应征得其b)存储和处理敏感个人信息的服务器应采取隔离4d)存储个人生物识别信息，应满足GB/T35273-20206.e)数据接收方存储个人信息时，应按合同约宜向用户提供删除或匿名化信息推送功能所基于的个人信进行匿名化，消除能够识别特定个体的所有数据字段后再进行转移；c)传输敏感个人信息时，应采用加密等安全措施，如使用安全5b)在开发测试等生产活动完成后，应及时清除相关存储空间个人信息；信息处理者应采用物理损毁等方式进行销毁，确保介质上数据不可c)应按照审批流程授权个人信息接触岗人员，不应出现未授权的6b)应满足GB/T352738.7有a)处理个人信息达到国家网信部门规定数量的个人信息处理者应任命专门的个人信息保护负责3)应参与个人信息处理活动的重要决策，并直接向公司主要负c)应设立专门的企业级个人信息保护工作机构支持个人信息保护负责人工作，明确机构工作职d)个人信息管理制度应由个人信息保护负责人或机构制订，明确制订程序e)应对相关制度执行情况进行记录，确保实际工c)应定期进行安全培训、考核，确保人员掌握个人信息安全a)应建立第三方接入管理机制和工作流程，明确必要的风险评估等机制设置接入条c)宜对于第三方接入工具，如代码、脚本、SDK、小程序等开3)委托处理个人信息、向其他个人信息处理者提供个人信息、公5)其他对个人权益有重大影响的个人d)应在适当的场景和时机进行评估，包括但不e)应形成个人信息保护影响评估报告并妥善留存，报告内83)所采取的保护措施是否合法、有效并与风险b)应防止非授权访问、篡改或删除审计人信息安全事件得到及时有效处置，应急响应机3)启动所需的资源，如人员、设备、场所、工c)应定期举行个人信息应急培训和应d)应配备应急响应所需的资源，确保应急响对可能危害国家安全、公共安全、经济安全和社会稳定的应按相关要求向有关部门报告。调研评估对象制定评估计划调研评估对象制定评估计划确定评估对象个人信息处理活动个人信息处理者的义务个人信息处理活动个人信息处理者的义务管理要求当前安全措施情况确认指标符合性情况判定综合判定评估结果出具评估报告多个关键信息系统和关键业务流程，也可以是被评估方的部谈等方法确认评估内容的实际保护措施或要求落实情况出具评估结论阶段应包括评估报告和结论，根据评估实施内容和具体评估指标相符合情况给出说a)评估对象和范围、评估依据、评估环b)各部分实施评估工作可顺序开展也可并行开展，无完整的顺序关估过程中的步骤，如包含未通过项则评估报告中应包含未通过原因的具际产品表现等和被评估方确定其个人信息处理活动的范围如被评估产品或服务尚未发布或已停止服务，应按照产品和服务所处的不同生命周期阶段进行评估，并覆盖之前阶段的评估内容。各个阶段评估的主要内容可a)具有需求说明书，并包括个人信息清单和专门的个人信息保护需a)适时进行个人信息保护保障能力评估，尤其是产品上线前和个人信息处理过程发生重大变更b)当个人信息保护保障能力评估指标更新或发生重大个人信息安全事件后重新进行个人信息保b)在通知截止日期后及时删除用户个人检查评估的流程参考本文件7.2，评估方法参考本文件7.3。个人信息处理者满足本标准及附录A所有要求时，有关符合本标准的第三方认证结果才可A.2规范性引用GB/T1900-2016质量管理体系基础和术语（ISO9000:201A.3术语和定义A.4组织环境A.4.1理解个人信息处理者及其环境个人信息处理者应确定影响其实现个人信息保护预期结果能力的各种外部和内部A.4.2理解相关方需求和期望A.4.3确定个人信息保障能力范围A.4.4个人信息保护保障能力范围A.5.1领导作用和承诺A.5.2个人信息保护保障能力方针A.5.3个人信息保护岗位、职责和权限A.6.1策划输入在策划个人信息保障能力所需实现的预期水平时，个人信息处理者应考虑A.4.1所描述的因素、A.6.2策划输出护方针一致，可测量，予以沟通，适时更新。个人信息处理者应保留具体目标成文信A.7.2技术A.7.4沟通a)与个人信息主体的沟通，参照：6.1.1b)、c)、f)、g)、h)，6.1.7b)，6.2.3，6.2.12f)b)与公众沟通，包括：6.2.4，以及定期发布个人信息保护社会责任报告A.7.5形成文件的信息A.8.1收集A.8.2存储A.8.3加工A.8.4信息推送A.8.5传输A.8.6提供A.8.7删除A.8.8访问控制与审计A.8.9第三方管理A.8.10风险及应急处置A.9.1