声明

本文是学习GB-T 35273-2020 信息安全技术 个人信息安全规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

个人信息安全事件处置

个人信息安全事件应急处置和报告

对个人信息控制者的要求包括:

  1. 应制定个人信息安全事件应急预案;
  2. 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
  3. 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
  4. 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
  5. 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
  6. 按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
  7. 个人信息泄露事件可能会给个人信息主体的合法权益带来严重危害的,如个人敏感信息的泄露,照本标准10.2的要求实施安全事件的告知。
  8. 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。

安全事件告知

对个人信息控制者的要求包括:

  1. 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
  2. 告知内容应包括但不限于:
  3. 安全事件的内容和影响;
  4. 已采取或将要采取的处置措施;
  5. 个人信息主体自主防范和降低风险的建议;
  6. 针对个人信息主体提供的补救措施;
  7. 个人信息保护负责人和个人信息保护工作机构的联系方式。

组织的个人信息安全管理要求

明确责任部门与人员

对个人信息控制者的要求包括:

  1. 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
  2. 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
  3. 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
  4. 主要业务涉及个人信息处理,且从业人员规模大于200人;
  5. 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
  6. 处理超过10万人的个人敏感信息的。
  7. 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
  8. 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
  9. 组织制定个人信息保护工作计划并督促落实;
  10. 制定、签发、实施、定期更新个人信息保护政策和相关规程;
  11. 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
  12. 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
  13. 组织开展个人信息安全培训;
  14. 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
  15. 公布投诉、举报方式等信息并及时受理投诉举报;
  16. 进行安全审计;
  17. 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
  18. 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。

个人信息安全工程

开发具有处理个人信息功能的产品和服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。

个人信息处理活动记录

宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:

  1. 所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);
  2. 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
  3. 与个人信息处理各环节相关的信息系统、组织或人员。

开展个人信息安全影响评估

对个人信息控制者的要求包括:

  1. 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
  2. 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
  3. 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
  4. 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
  5. 个人信息安全措施的有效性;
  6. 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
  7. 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
  8. 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
  9. 在产品或服务发布前,或功能发生重大变化时,应进行个人信息安全影响评估;
  10. 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
  11. 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
  12. 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。

数据安全能力

个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。

人员管理与培训

对个人信息控制者的要求包括:

  1. 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;
  2. 应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制;
  3. 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
  4. 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
  5. 应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;
  6. 应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。

安全审计

对个人信息控制者的要求包括:

  1. 应对个人信息保护政策、相关规程和安全措施的有效性进行审计;
  2. 应建立自动化审计系统,监测记录个人信息处理活动;
  3. 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
  4. 应防止非授权访问、篡改或删除审计记录;
  5. 应及时处理审计过程中发现的个人信息违规使用、滥用等情况;
  6. 审计记录和留存时间应符合法律法规的要求。

延伸阅读

更多内容 可以 GB-T 35273-2020 信息安全技术 个人信息安全规范. 进一步学习

联系我们

T-ZNZ 053—2021 桃主要病虫害综合防治规范.pdf

个人信息安全事件应急处理和报告相关推荐

  1. 经济和信息化谋定研究-左晓栋:国家网络安全事件应急预案

    经济和信息化谋定研究-左晓栋:国家网络安全事件应急预案 2017年6月,中央网信办公布了<国家网络安全事件应急预案>.指出,网络安全是动态的而不是静态的,是相对的而不是绝对的.维护网络安全 ...

  2. 信息安全技术 网络安全事件应急演练指南

    声明 本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 应急演练实施过程 准备阶段 制定演练计划 ...

  3. 信息安全技术 网络安全事件应急演练指南_省局举办网络安全培训讲座

    点击上方蓝色字体,关注我们 为进一步加强局机关工作人员网络安全防护意识.提高局机关应对突发网络安全事件应急处置能力,10月16日,省局邀请省内知名网络安全专家召开网络安全讲座,局机关各科室参加培训.讲 ...

  4. GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南

    资料获取 GB/T 38645-2020 信息安全技术 网络安全事件应急演练指南 润成安全公众号内回复关键词[应急]或[38645]获取高清PDF. 来源:相关部门公示文件. 版权归原作者所有.此处仅 ...

  5. 国家网络安全事件应急预案,你需要知道哪些重点

    本月27日,Petya勒索病毒在欧洲爆发,这是自五月Wanncry勒索病毒之后发生的第二起跨国界的大型网络安全问题,网络安全事件的规模和频率在逐渐上升.而面对逐渐严峻的形式,中央网信办在6月27号向社 ...

  6. 国家网络安全事件应急预案-出台

    2019独角兽企业重金招聘Python工程师标准>>> 本月27日,Petya勒索病毒在欧洲爆发,这是自五月Wanncry勒索病毒之后发生的第二起跨国界的大型网络安全问题,网络安全事 ...

  7. 关于对《国家网络安全事件应急预案》的几点认识

    6月27日,国家互联网信息办公室网站发布了一条信息,关于印发<国家网络安全事件应急预案>的通知.颁布日期为今年的1月10日.信息安全无小事,尤其是在<网络安全法>发布,国家互联 ...

  8. 网络安全事件应急演练组织架构

    声明 本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 下载地址 http://github5.com/view/623而整理的学习笔记,分享出来希望更多人受益,如果 ...

  9. 网络安全事件应急演练各步骤参考模板

    声明 本文是学习GB-T 38645-2020 信息安全技术 网络安全事件应急演练指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 网络安全事件应急演练各步骤参考模板 应急 ...

最新文章

  1. ASP.NET Core MVC 模型绑定用法及原理
  2. dateFormat in DatePicker control Fiori - language 语言
  3. 高校学计算机研究生录取分数排名,四川大学计算机学院2018年硕士研究生招生拟录取名单及成绩公示...
  4. 阿里云印尼大区开服,助力“一带一路”发展数字经济
  5. 微软 Edge 浏览器加入对 ARM64 的原生支持
  6. ActionMapping
  7. oracle最难的多表查询,Oracle多表的复杂查询
  8. 传智播客java测试题_传智播客Java基础第二阶段习题
  9. 斯坦福大学的 CS231n课程
  10. 现代信号处理——自适应滤波器(离散维纳滤波器)
  11. Visual Studio Code快捷指令
  12. java毕业设计学生学习评价系统Mybatis+系统+数据库+调试部署
  13. cnn app for android phones,Freedom Apk Download for Android Phones / Tablets Latest Version
  14. 如何用移动硬盘备份计算机,怎么自动备份电脑资料到移动硬盘
  15. linux手机E680的几个概念
  16. Markdown做笔记或写博客
  17. Linux开发工具整理
  18. c语言字符就地逆置,高手看看我的C语言代码单链表实现就地逆置
  19. 投影仪的标定方法总结
  20. 分享几个常用的运维 shell 脚本

热门文章

  1. 《高频电子线路》课程教学大纲
  2. 计算机逻辑门符号,逻辑门
  3. ESP32 ESP-IDF LVGL ST7789 演示lv_demo_music
  4. Java UML 类图
  5. 最简单太阳系H5动画canvas详解 零基础可入
  6. iOS项目中使用第三方字体
  7. 小米路由器开ssh方法
  8. 可穿戴设备发展趋势一:从部件走向整体
  9. 2020使用animate.css和wow.js最新教程
  10. linux Centos系统下django项目在Nginx服务器上的部署