信息安全技术 公共及商用服务信息系统个人信息保护指南
个人信息保护 国标
个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题,国家标准对
于个人信息保护起着至关重要的作用。在中国,个人信息保护的国
家标准是《信息安全技术个人信息安全规范》(GB/T 35273-2020)。该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。
从范围来看,国家标准明确了个人信息的范围,包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。这些信息在使用、存储和传输过程中需要受到严格的保护。
在基本原则方面,国家标准强调了个人信息处理应当遵循合法、正当、必要的原则,明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则,保障个人信息不被非法获取和滥用。
此外,国家标准还规定了个人信息处理的规范,包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施,
确保个人信息的安全。
个人信息保护国家标准的制定和实施,对于企业和组织来说,
意味着需要建立健全的个人信息保护制度和技术措施,保障个人信
息的安全。对于个人来说,也提醒我们应当增强个人信息保护意识,合理、谨慎地对待自己的个人信息,避免个人信息被泄露和滥用。
总的来说,个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义,需要各方共同遵守
和落实。
初二政治期中试卷带答案解析
初二政治期中试卷带答案解析
考试范围:xxx ;考试时间:xxx 分钟;出题人:xxx 姓名:___________班级:___________考号:___________
1.答题前填写好自己的姓名、班级、考号等信息 2.请将答案正确填写在答题卡上
一、单选题
1.我国首个个人信息保护国家标准《信息安全技术、公共及商用服务信息系统个人信息保护指南》于2013年2月1日起正式实施。这主要保护了公民的( )
A .受教育权
B .隐私权
C .财产权
D .知识产权 2.公民首要的、最根本的人身权利是 ( ) •
A .生命健康权
B .政治权利
C .平等权
D .受教育权
3.2016年3月,十二届全国人大四次会议通过了《中华人民共和国慈善法》。该法通过有利于
①促进社会公平 ②确保所有人无后顾之忧 ③推进慈善事业发展 ④弘扬中华传统文化
A .①②③
B .①②④
C .①③④
D .②③④
4.某初中开展了一次对联创作比赛活动。 有位同学创作了“一支粉笔两袖清风,三尺讲台四季晴雨”的对联,你认为该对联的最佳横批应是( ) A .风调雨顺
B .吾爱吾师
C .友情无价
D .父爱如山
5.有些同学经常利用他人的缺陷给人起难听的外号,这种做法实际上侵犯了公民的( ) A .姓名权
B .荣誉权
C .名誉权
D .人身自由权
6.以下表格从一个侧面说明
每万元国内生产总值耗水量比较(单位:立方米) A.我国是水资源大国 B.我国水资源利用率不高 C.我国是水资源小国 D.我国资源地区分布不均衡
7.当圣诞节来临时,超市里、大街上,满眼是圣诞树和圣诞礼品,与传统节日相比,不少学生更热衷过洋节。这给我们的启示是
个人信息安全保护指南
个人信息安全保护指南
在当前信息化社会,个人信息安全日益受到重视。不论是在日常生
活中还是在网络空间中,个人信息都可能受到侵犯和泄露的风险。因此,如何有效地保护个人信息安全成为每个人都应该重视的问题。本
文将为大家提供一个个人信息安全保护指南,帮助大家更好地保护自
己的个人信息安全。
首先,保护个人信息安全的第一步是加强对个人信息的保密意识。
在日常生活中,我们要注意避免在公共场合随意透露个人敏感信息,
如身份证号码、银行卡号等。在与陌生人沟通时,也要注意提高警惕,避免被不法分子获取个人信息。
其次,选择强密码也是保护个人信息安全的一个重要环节。在设置
密码时,应该避免使用简单的数字或者生日等容易被破解的方式,而
是选择一些包含字母、数字和特殊符号的混合密码,增加密码的复杂度,提高密码的安全性。另外,对不同的平台和账号使用不同的密码
也是一个很好的做法,避免一旦有一个账号的密码被破解导致其他账
号信息泄露。
在网络空间中,隐私政策也是一个很重要的方面。在使用各种应用
或者网站时,应该仔细阅读隐私政策,了解自己的个人信息将如何被
收集、使用和保护。如果觉得某个应用或者网站的隐私政策存在问题,不妨考虑停止使用或者限制个人信息的暴露。
此外,定期更新软件和应用程序也是保护个人信息安全的一个重要
举措。许多黑客利用软件和应用程序的漏洞来获取用户的个人信息,
因此定期更新系统和应用程序可以及时修补这些漏洞,提高系统的安
全性。
最后,备份重要的个人信息也是保护个人信息安全的一个重要措施。备份可以避免因为意外原因导致重要信息丢失,同时也可以提高信息
工信部发布《个人信息保护指南》意见稿
(讯)近日,工信部发布《信息安全技术个人信息保护指南》意见稿,该指南对个人信息主体的权利、信息管理者使用个人信息的要求等多方面做出了规定。
强化“知情权”、“禁止权”
负责起草该意见稿的中国软件评测中心副主任高炽扬表示,个人信息的保护正受到前所未有的挑战,出台这样的标准草案是为促使目前拥有大量用户个人信息的网站进一步建立完善的个人信息保护政策,实施有效的个人信息保护措施。
意见稿内容包括个人信息管理者不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息;个人信息主体有正当理由要求删除其个人信息时,个人信息管理者应及时删除个人信息;个人信息管理者不应要求未满16周岁的未成年人提交个人信息等。由此可见,其赋予了个人更多、更明确的权利,尤其是“知情权”与“禁止权”。
执行效果留待检验
高炽扬表示,尽管不少专家对《指南》中可能引发争议或语意不明确的条款提出了各种及时的修改建议,但仍希望向社会广泛征求意见。他感叹在起草的同时,网站的性质和内容又在不时变化,或许有起草人所无法尽知的更多形形色色的具体问题。
中国电子商务协会专家委员会梅绍祖教授向记者表示,由于以往缺少个人信息保护政策中所必需的重要条款,政策执行的监督机制和执行情况不明确,使网站用户在维护自身权利的时候处于被动局面,所以出台《指南》这样明确的政策是首当其冲的。
而从目前来看,仍有不少网站没有准确说明第三方收集个人信息的具体内容、收集途径以及对所收集信息的具体用途,亦没有对信息转移做相关的说明,用户个人信息在被其他用户读取时,网站无公开声明或通知征得用户同意,这显然违背了信息主体的知情权。(来源:IT时报文/忻云编选:)
信息安全技术公共及商用服务信息系统个人信息保护指南
信息安全技术公共及商用服务信息系统个人信息保护
指南
1. 背景
随着互联网和信息化的快速发展,人们的个人信息在传递、存储、处理和利用
的过程中受到越来越多的威胁。个人信息的泄露、丢失和滥用不仅会造成个人财产、名誉等方面的损失,还会对个人的生命安全、社会稳定和国家安全造成严重威胁。因此,保护个人信息安全已经成为社会的共同责任。
信息安全技术公共及商用服务信息系统是指银行、电商、社交网络等企业和机
构提供的在线服务,其中包含大量的个人信息。如何在使用这些服务时保护个人信息安全已经成为每个人必须面对的实际问题。
本指南旨在提供个人信息保护的基本原则和实际操作建议,帮助用户进一步提
高个人信息安全防范能力。
2. 个人信息保护原则
2.1、合法性原则
个人信息采集必须遵循合法、正当和必要的原则,不得违反法律法规或个人隐
私权利,不得滥用、泄露或出售个人信息。
2.2、安全性原则
个人信息的处理和管理应当遵循安全、谨慎的原则,采用有效的控制措施和技
术手段,确保个人信息的保密性、完整性和可用性,防止信息泄露、篡改、丢失或被非法访问。
2.3、自主权原则
个人应具有对其个人信息的自主决策权,包括自主选择是否提供个人信息,自
主决定个人信息的使用目的和范围。
2.4、透明度原则
个人信息采集和使用应当遵循透明的原则,企业和机构应提供清晰、准确、完
整的个人信息使用规则和隐私政策,提示用户个人信息的采集和使用范围、目的和方式,并告知用户对自己个人信息的掌控权。
3. 个人信息保护建议
3.1、密码安全
使用复杂且不易被猜测的密码、定期更改密码、为重要账号设置二次验证等行为可以提高账号的安全性。
个人信息保护与数据安全原则
个人信息保护与数据安全原则随着信息技术的快速发展,个人信息保护和数据安全已经成为社会关注的焦点。为了确保个人信息的安全,保护个人隐私,各国纷纷出台了相关的法律法规和政策。本文将重点讨论个人信息保护与数据安全原则,以及在实际应用中如何有效地保护个人信息的安全。
一、个人信息保护原则
1. 合法性原则
个人信息的收集和使用应符合法律法规的要求,并获得个人的明确同意。个人信息只能在合法、正当、必要的基础上进行处理,不能超出特定目的范围进行使用。
2. 公平性原则
个人信息的处理应该公平合理,不得歧视任何个人。个人应当在明确知情的基础上自主选择是否提供个人信息,并且有权了解其个人信息的使用情况。
3. 透明性原则
个人信息的收集和使用应当进行明示告知,以保证个人对自己的信息有充分的了解。组织应该向个人提供清晰的个人信息政策,包括信息的收集目的、使用方式、共享情况以及个人权利的行使方式等。
4. 安全性原则
个人信息的安全保护是保护个人隐私的核心。组织应当采取合理的
安全措施,防止个人信息的泄露、损坏、篡改、丢失等风险。同时,
组织也应建立信息安全管理制度,定期进行安全风险评估,及时发现
和处理安全漏洞。
二、数据安全原则
1. 内外部保护原则
组织应该在内部建立健全的数据安全管理制度,将数据安全置于重
要位置。同时,也应该建立与外部相关机构的合作关系,共同防范和
应对数据安全威胁。
2. 规范性原则
数据安全的管理应当遵循相关的法律法规和标准,制定相应的规范
管理制度。组织应当对内部人员进行数据安全培训,加强他们的安全
意识,确保数据安全的知识和技能得到持续提升。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指
南
在当今数字化的时代,信息系统已经成为了企业、组织乃至整个社
会运转的重要支撑。然而,伴随着信息系统的广泛应用,信息安全问
题也日益凸显。为了保障信息系统的安全稳定运行,保护公民、法人
和其他组织的合法权益,我国制定了信息系统安全等级保护制度。其中,定级是等级保护工作的首要环节和关键步骤,它决定了信息系统
所需采取的安全保护措施和投入的资源。本文将为您详细介绍信息系
统安全等级保护定级的指南。
一、信息系统安全等级保护定级的重要性
信息系统安全等级保护定级是对信息系统的重要性和潜在风险进行
评估和划分等级的过程。其重要性主要体现在以下几个方面:
1、明确安全责任:通过定级,能够明确信息系统所有者、运营者
和使用者在信息安全方面的责任和义务,确保各方对信息安全工作有
清晰的认识和目标。
2、合理配置资源:根据信息系统的等级,合理分配安全防护资源,避免过度投入或投入不足,提高安全防护的效率和效果。
3、提高安全意识:定级过程能够促使相关人员增强对信息安全的
重视,提升整体的安全意识和防范能力。
4、满足法律法规要求:符合国家关于信息安全等级保护的法律法
规和政策要求,避免因未履行相关义务而面临法律风险。
二、信息系统安全等级保护定级的原则
在进行信息系统安全等级保护定级时,需要遵循以下原则:
1、自主定级原则:信息系统的运营使用单位应当按照相关标准规范,自主确定信息系统的安全保护等级。
2、客观公正原则:定级过程应当基于信息系统的实际情况,客观、公正地评估其重要性和潜在风险,不受主观因素的干扰。
信息安全技术个人信息保护指南
信息安全技术个人信息保护指南
信息安全技术是保护个人信息的重要手段。在当今信息化社会,个人
信息的泄露和滥用已经成为一个极具威胁的问题。为了保护个人信息的安全,我们需要采取一系列的信息安全技术措施来保护自己的个人信息。下
面是一些个人信息保护的指南:
1.强密码的使用
创建和使用强密码是保护个人信息的第一步。密码应该包含大写字母、小写字母、数字和特殊字符,并且长度应该至少有8个字符。此外,每个
账户都应该有一个独特的密码,不要使用同一组密码在不同的账户上。
2.多重身份验证
许多在线服务提供了多重身份验证选项,例如通过手机短信或邮件发
送的验证码。开启多重身份验证可以增加账户的安全性,即使密码泄露,
黑客也无法轻易登录。
3.及时更新操作系统和应用程序
软件供应商经常发布更新和补丁程序,以修复已知的漏洞和安全问题。确保及时更新操作系统、浏览器和应用程序,可以减少黑客的攻击风险。
5.谨慎对待垃圾邮件和钓鱼邮件
永远不要打开来自陌生人的电子邮件附件,尤其是在不信任的邮件中。这些附件可能包含病毒或恶意软件,可能导致个人信息的泄露。
6.不要轻易泄露个人信息
7.加密个人数据和文件
对于包含敏感个人信息的文件和数据,可以使用加密技术进行保护。加密可以确保即使文件被盗窃或访问,黑客也无法解读其内容。
8.定期备份数据
定期备份个人数据是保护个人信息的重要措施。将重要的文件和数据备份到云存储或其他外部设备中,以防止数据丢失或损坏。
9.使用安全的网络连接
避免在公共无线网络上进行敏感的个人信息交流,因为这些网络经常存在风险。使用安全加密的网络连接(如VPN)可以保护个人信息的传输安全。
信息安全技术个人信息保护指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特
点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的
概念,而个人敏感信息就涉及个人隐私。
《信息安全技术个人信息保护指南》
本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、大连软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、北京金山安全软件有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京新浪互联信息服务有限公司、北京百合在线科技有限公司、上海花千树信息科技有限公司、北京百度网讯科技有限公司等单位。
本指南主要起草人:高炽扬、孙鹏、朱璇、严霄凤、朱信铭、曹剑。
伴随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用, 指导和规范利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南
1范围
本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义
下列术语和定义适用于本指南。
保护个人信息的网络公共安全指南
保护个人信息的网络公共安全指南
随着互联网的快速发展和普及,我们的个人信息正面临着越来越大的风险。无论是在社交媒体上发布的照片,还是在购物网站上输入的信用卡信息,我们的个人数据都可能被黑客和不法分子利用。因此,保护个人信息的网络公共安全成为了我们每个人都应该关注的重要问题。在这篇文章中,我将为大家提供一些保护个人信息的网络公共安全指南。
1. 强化密码安全
密码是我们个人信息的第一道防线。一个强大的密码可以有效地保护我们的个人账户免受黑客攻击。首先,我们应该避免使用简单的密码,如“123456”或“password”。相反,我们应该选择包含字母、数字和特殊字符的复杂密码。此外,我们还应该定期更改密码,并避免在不同的账户上使用相同的密码。如果我们担心自己无法记住所有密码,可以考虑使用密码管理器来帮助我们安全地存储和管理密码。
2. 谨慎使用社交媒体
社交媒体已经成为我们生活中不可或缺的一部分,但我们也要谨慎使用它们。首先,我们应该设置隐私设置,以确保我们的个人信息只对我们的朋友和亲密联系人可见。其次,我们应该避免在社交媒体上发布过多的个人信息,如家庭地址、电话号码等。此外,我们还应该警惕社交媒体上的钓鱼链接和虚假信息,以免成为网络诈骗的受害者。
3. 谨慎对待网络交易
随着电子商务的兴起,我们越来越多地在网上进行购物和支付。然而,我们在进行网络交易时也面临着风险。首先,我们应该确保我们所使用的网站是安全的,可以通过查看网站的URL是否以“https”开头来判断。此外,我们还应该避免在公
共网络上进行敏感信息的输入,因为这些网络可能存在安全漏洞。最重要的是,我们应该选择可靠的支付平台,并定期检查我们的账单,以确保没有异常交易。
信息安全技术 信息系统安全保护等级定级指南 (GB.doc
信息安全技术信息系统安全保护等级定级指南
ICS35.020
L 09
中华人民共和国国家标准
GB 17859-1999
信息安全技术
信息系统安全等级保护定级指南
Information security technology-
Classification guide for classified protection of information system
2008-11-01实施__________________________________2008-06-19发布
中国国家标准化管理委员会
中华人民共和国国家质量监督检验检疫总局发布
引言
依据国家信息安全等级保护管理规定制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:
——GB/T 22239—2008《信息系统安全等级保护基本要求》;
——国家标准《信息系统安全等级保护实施指南》;
——国家标准《信息系统安全等级保护测评准则》。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息安全技术
信息系统安全等级保护定级指南
1 范围
本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方
个人信息保护指南
个人信息保护指南
个人信息保护在当今数字化时代至关重要。随着技术的进步和信息
的快速传播,我们的个人数据变得越来越容易被他人访问、利用和滥用。为了保护我们的隐私和个人安全,我们需要采取一些有效措施来
管理和保护我们的个人信息。本文将为您提供一份个人信息保护指南,帮助您更好地保护您的个人数据。
第一部分:了解个人信息
在开始保护个人信息之前,我们首先需要了解什么是个人信息。个
人信息是指任何与我们直接或间接相关的数据,包括但不限于姓名、
身份证号码、联系方式、银行账户信息、社交媒体账号等。了解个人
信息的范围,可以帮助我们更好地意识到需要加以保护的重要性。
第二部分:保护个人信息的重要性
为什么我们需要保护个人信息?首先,个人信息的泄露可能导致身
份盗窃、经济损失和信用卡诈骗等问题。其次,我们的个人信息可能
被用于发送垃圾邮件、诈骗和骚扰电话等。最后,个人信息的滥用可
能导致我们在社交媒体上的形象受损,并对我们的个人和职业生活造
成负面影响。因此,保护个人信息至关重要,迫切需要采取措施来确
保其安全。
第三部分:保护个人信息的措施
现在,我们将重点介绍一些保护个人信息的措施,以确保它们的安
全性。
1. 使用强密码:确保您的密码强度足够高,包括字母、数字和特殊
字符的组合。避免使用简单的密码,并定期更改密码。
2. 更新软件和应用程序:定期更新您的操作系统、浏览器和应用程序,以确保您获得最新的安全性补丁和修复程序。
3. 谨慎使用公共网络:在使用公共无线网络时,尽量避免访问银行、电子邮件和其他敏感信息。如果必须使用,使用虚拟私人网络(VPN)进行加密传输。
信息安全技术 公共及商用服务信息系统个人信息保护指南
信息安全技术公共及商用服务信息系统个人信息保护指南信息安全技术
公共及商用服务信息系统个人信息保护指南
1.引言
1.1 目的
本指南的目的是为公共及商用服务信息系统的开发和管理提供个人信息保护的准则和建议。通过合理的措施和方法,确保个人信息在系统中的收集、存储、使用、传输和处理过程中得到充分的保护,保障个人信息的安全性、隐私权和合法性。
1.2 适用范围
本指南适用于所有公共及商用服务信息系统或应用程序,包括但不限于电子商务平台、社交媒体平台、方式应用程序等,在其设计、开发、部署、运营和维护等环节中涉及个人信息的收集、存储、使用、传输和处理。
2.个人信息保护原则
2.1 合法性、正当性原则
个人信息的收集、使用、存储和处理应该遵循法律法规的规定,严格按照合法、正当、必要的原则进行。未经个人同意,不得将个人信息用于非法、不正当的目的。
2.2 最小必要性原则
个人信息的收集和使用应当严格控制在必要的范围内,不得搜集和使用与提供服务无关的额外信息。
2.3 事先知情原则
个人信息的收集和使用应当事先告知个人,并取得其明确的同意。个人有权拒绝提供个人信息或选择不同的信息处理方式。
2.4 安全保障原则
应建立完善的信息安全管理体系,采取相应的技术和组织措施,保障个人信息的安全性、完整性和保密性,防止个人信息的丢失、泄露、篡改和破坏。
2.5 可控性原则
个人应当有权对其个人信息的收集、使用、存储和处理行为进行请求、访问、修改、删除等操作,确保个人信息的可控性。
3.个人信息的收集与使用
3.1 收集范围和方式
明确个人信息的收集范围,确保仅收集与提供服务相关的必要信息。收集个人信息应采用合法、公正、真实的方式进行,不得采取欺诈、威胁、恐吓等手段。
信息安全技术 公共及商用服务信息系统个人信息保护指南
信息安全技术公共及商用服务信息系统个人信息保护
指南
文章属性
•【制定机关】国家质量监督检验检疫总局(已撤销),国家标准化管理委员会•【公布日期】2012.11.05
•【文号】
•【施行日期】2013.02.01
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】通信业
正文
信息安全技术公共及商用服务信息系统个人信息保护指南(GB/Z 28828-2012 国家质量监督检验检疫总局、国家标准化管理委员会2012年11月5日批准发布2013年2
月1日起实施)
随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。
1 范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T20269-2006信息安全技术信息系统安全管理要求
GB/Z20986-2007信息安全技术信息安全事件分类分级指南
3 术语和定义
GB/T20269-2006和GB/Z20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
信息安全技术信息系统安全等级保护实施指南
信息安全技术信息系统安全等级保护实施指南
前言
本标准的附录A是规范性附录;
本标准由公安部和全国信息安全标准化技术委员会提出;
本标准由全国信息安全标准化技术委员会归口;
本标准起草单位:公安部信息安全等级保护评估中心;
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥;
引言
依据中华人民共和国计算机信息系统安全保护条例国务院147号令、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、关于信息安全等级保护工作的实施意见公通字200466号和信息安全等级保护管理办法公通字200743号,制定本标准;
本标准是信息安全等级保护相关系列标准之一;
与本标准相关的系列标准包括:
——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;
——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求;
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作;
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级;
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作;
信息安全技术个人信息保护的指南
我国首个个人信息保护国家标准将于2013年2月1日起开始实施,该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息,并提出默许同意和明示同意的
概念,而个人敏感信息就涉与个人隐私。
《信息安全技术个人信息保护指南》前言
本指南由工业和信息化部信息安全协调司提出。
本指南由全国信息安全标准化技术委员会归口。
本指南起草单位:中国软件评测中心、软件行业协会、中国软件行业协会、中国互联网协会、中国通信企业协会通信网络安全专业委员会、金山安全软件、市腾讯计算机系统、奇虎科技、新浪互联信息服务、百合在线科技、花千树信息科技、百度网讯科技等单位。
本指南主要起草人:高炽扬、鹏、朱璇、严霄凤、朱信铭、剑。
引言
伴随着信息技术的广泛应用和互联网的不断普与,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,给社会秩序和人民切身利益带来了危害。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。
为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规利用信息系统处理个人信息的活动,制定本指南。
个人信息保护指南
1围
本指南明确了个人信息处理原则和个人信息主体的权利,提出了个人信息的收集、加工、转移、使用、屏蔽和删除等行为要求。法律、行政法规已规定了个人信息处理有关事项的,从其规定。
本指南适用于利用信息系统处理个人信息的活动。
2术语和定义
下列术语和定义适用于本指南。
2.1
个人信息 personal information
能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术公共及商用服务信息系统个人信息保护指南
随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。
信息安全技术公共及商用服务信息系统个人信息保护指南
1 范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20269-2006 信息安全技术信息系统安全管理要求
GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南
3术语和定义
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
3.1
信息系统information system
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
3.2
个人信息personal information
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
3.3
个人信息主体subject of personal information
个人信息指向的自然人。
3.4
个人信息管理者administrator of personal information
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
3.5
个人信息获得者receiver of personal information
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
3.6
第三方测评机构third party testing and evaluation agency
独立于个人信息管理者的专业测评机构。
3.7
个人敏感信息personal sensitive information
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
3.8
个人一般信息personal general information
除个人敏感信息以外的个人信息。
3.9
个人信息处理personal information handling
处置个人信息的行为,包括收集、加工、转移、删除。
3.10
默许同意tacit consent
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
3.11
明示同意expressed consent
个人信息主体明确授权同意,并保留证据。
4个人信息保护概述
4.1角色和职责
4.1.1综述
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
4.1.2个人信息主体
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
4.1.3个人信息管理者
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
4.1.4个人信息获得者
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
4.1.5第三方测评机构
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信
息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
4.2基本原则
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
5个人信息保护
5.1概述
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
a)收集指对个人信息进行获取并记录。
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
d)删除指使个人信息在信息系统中不再可用。
5.2收集阶段
5.2.1要具有特定、明确、合法的目的。
5.2.2收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
a)处理个人信息的目的;
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
d)个人信息的保护措施;
e)个人信息管理者的名称、地址、联系方式等相关信息;
f)个人信息主体提供个人信息后可能存在的风险;
g)个人信息主体不提供个人信息可能出现的后果;
h)个人信息主体的投诉渠道;
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。