解读国标GBT 《信息安全技术个人信息安全规范》

个人信息保护国标
个人信息保护是当今社会中非常重要的一个议题，国家标准对
于个人信息保护起着至关重要的作用。

在中国，个人信息保护的国
家标准是《信息安全技术个人信息安全规范》（GB/T 35273-2020）。

该标准规定了个人信息的范围、基本原则、个人信息的处理、个人信息安全保护的措施等内容。

从范围来看，国家标准明确了个人信息的范围，包括但不限于
个人身份信息、个人财产信息、个人生物识别信息、个人行踪信息等。

这些信息在使用、存储和传输过程中需要受到严格的保护。

在基本原则方面，国家标准强调了个人信息处理应当遵循合法、正当、必要的原则，明确了信息主体知情同意、目的明确、最小必要、确保信息准确性等原则，保障个人信息不被非法获取和滥用。

此外，国家标准还规定了个人信息处理的规范，包括信息的收集、存储、使用、传输等环节都需要建立相应的制度和控制措施，
确保个人信息的安全。

个人信息保护国家标准的制定和实施，对于企业和组织来说，
意味着需要建立健全的个人信息保护制度和技术措施，保障个人信
息的安全。

对于个人来说，也提醒我们应当增强个人信息保护意识，合理、谨慎地对待自己的个人信息，避免个人信息被泄露和滥用。

总的来说，个人信息保护国家标准的实施对于促进信息化建设、保护个人隐私、维护社会稳定都具有重要意义，需要各方共同遵守
和落实。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范在当今信息化社会，个人信息安全问题备受关注。

随着网络技术的不断发展和普及，个人信息安全面临着越来越多的挑战。

为了保障个人信息安全，我们需要遵守一定的规范和技术要求。

首先，个人信息安全技术规范包括密码安全规范、网络安全规范、数据安全规范等方面。

在日常生活和工作中，我们需要注意密码的安全性，避免使用简单的密码，定期更换密码，并且不要将密码告知他人。

此外，网络安全也是至关重要的，我们需要安装杀毒软件、防火墙等安全工具，不轻易点击不明链接，避免上网时泄露个人信息。

在数据安全方面，我们需要备份重要数据，定期清理无用数据，避免数据丢失或泄露。

其次，个人信息安全技术规范需要遵守相关法律法规，保护个人隐私。

在信息采集、存储和传输过程中，我们需要遵守相关法律法规，不得擅自收集、使用他人个人信息，保护个人隐私不受侵犯。

同时，个人信息安全技术规范也需要遵守公司内部规定，加强信息安全管理，保护公司和个人信息安全。

此外，个人信息安全技术规范还需要加强个人信息安全意识，提高信息安全保护能力。

我们需要不断学习信息安全知识，提高对信息安全风险的认识，增强信息安全保护意识，避免随意泄露个人信息。

同时，我们还需要加强信息安全技能培训，提高信息安全保护能力，做到在信息安全事件发生时能够及时、有效地应对。

综上所述，个人信息安全技术规范是保障个人信息安全的重要手段。

我们需要遵守密码安全规范、网络安全规范、数据安全规范，遵守相关法律法规和公司内部规定，加强个人信息安全意识，提高信息安全保护能力。

只有这样，我们才能更好地保护个人信息安全，避免个人信息被泄露、滥用，确保个人信息安全。

信息安全技术规范的落实需要我们每个人的共同努力，让我们共同致力于个人信息安全，共同维护信息安全的大环境。

个人信息保护认证实施规则解读摘要：1.背景介绍2.个人信息保护认证实施规则的制定目的和适用范围3.认证的基本原则和要求4.认证依据和标准5.对跨境处理活动的要求6.认证制度的意义和影响7.结论正文：一、背景介绍随着信息技术的飞速发展，个人信息保护问题愈发凸显。

为了更好地保护个人信息，我国于2021 年11 月1 日起施行了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），该法明确规定了个人信息处理者的责任和义务，并要求国家网信部门统筹协调有关部门推进个人信息保护工作。

二、个人信息保护认证实施规则的制定目的和适用范围为了贯彻落实《个人信息保护法》的相关规定，国家互联网信息办公室（以下简称网信办）于2022 年11 月4 日联合有关部门发布了《个人信息保护认证实施规则》（以下简称《实施规则》）。

《实施规则》旨在规范个人信息处理活动，促进个人信息合理利用，保障个人信息安全。

《实施规则》适用于个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动。

三、认证的基本原则和要求个人信息处理者应当符合gb/t 35273《信息安全技术个人信息安全规范》的要求。

对于开展跨境处理活动的个人信息处理者，还应当符合tc260-pg-20222a《个人信息跨境处理活动安全认证规范》的要求。

四、认证依据和标准个人信息处理者应当依据相关标准和规范进行认证。

认证依据包括但不限于：《信息安全技术个人信息安全规范》、《个人信息跨境处理活动安全认证规范》等。

五、对跨境处理活动的要求开展跨境处理活动的个人信息处理者需要符合更为严格的安全认证要求，以确保个人信息在跨境传输过程中的安全。

六、认证制度的意义和影响个人信息保护认证制度对于规范个人信息处理活动、提高个人信息保护水平具有重要意义。

同时，该制度对于促进个人信息合理利用，保障个人信息安全等方面也产生了积极影响。

七、结论《个人信息保护认证实施规则》的制定和实施，有助于加强个人信息保护，提高个人信息处理活动的规范化水平，为个人信息安全提供有力保障。

国家标准《信息安全技术个人信息安全影响评估指南》（征求意见稿）编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用，其中，《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作，旨在发现、处置和持续监控个人信息处理过程中的安全风险。

2017年3月，在信安标委会议周，云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》。

本标准为自主制定标准，标准任务编号为：20180840-T-469。

1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头，中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。

本标准主要起草人：洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。

1.3 主要工作过程1、2017年3月，在云计算及大数据特别工作组讨论会议上，一致同意编制《个人信息安全影响评估指南》，对个人信息安全影响评估方法、应用、政策和标准进行调研分析，确定标准化需求。

2、2017年5月初，成立正式的个人信息安全影响评估指南标准编制组，标准由颐信科技有限公司牵头，中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴（北京）软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。

国标19777
《国标19777》是一项关于信息安全的国家标准，它的全称是《信息安全技术个人身份识别通用规范》。

该标准的目的是确保个人身份识别系统的安全性，以保护个人信息和防止身份盗窃等安全威胁。

《国标19777》规定了个人身份识别系统的基本要求。

这包括身份验证、密码管理、访问
控制等方面的规定，以确保系统的可靠性和安全性。

该标准还规定了个人身份信息的存储和传输要求，以防止信息泄露和非法访问。

《国标19777》强调了个人隐私权的保护。

根据该标准，个人身份识别系统应该尽量减少
对个人信息的收集和使用，并采取必要的措施保护个人信息的安全。

这样可以保护个人隐私，防止个人信息被滥用或泄露。

《国标19777》还规定了个人身份识别系统的安全管理要求。

这包括制定安全策略和规程、进行安全培训和意识教育、建立安全审计和监控机制等。

这些措施有助于提高系统的安全性，并及时发现和应对安全威胁。

《国标19777》是一项重要的信息安全标准，它为个人身份识别系统的安全提供了指导和
规范。

遵守该标准可以保护个人信息的安全，防止身份盗窃和其他安全威胁。

因此，个人身份识别系统的设计和实施应该遵循《国标19777》的要求，以确保信息安全和个人隐私
的保护。

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间；b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施；b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动；b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c) 对其所持有的个人信息进行删除或匿名化处理。

《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案；b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程；c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；4) 按照本标准9.2的要求实施安全事件的告知。

解读《个人金融信息保护技术规范》之信息分级管理詹昊、宋迎、韦飞2020年2月20日，全国金融标准化技术委员会公布了《个人金融信息保护技术规范》（JR/T 0171——2020）（以下简称“《规范》”）。

《规范》是中国人民银行发布的金融行业推荐性标准（并非强制性标准），是在《信息安全技术个人信息安全规范》（GB/T 35273——2017，以下简称“《个人信息安全规范》”）等国家标准基础上对个人金融信息的保护作出的细化规定，基本遵循了《个人信息安全规范》关于收集、传输、存储、使用、删除、销毁等信息生命周期全部环节的基本要求。

《规范》较为引人瞩目的是对个人金融信息采取了分级管理的方式，本文主要就此进行研讨。

一、个人金融信息的范围根据《规范》第4.1条，个人金融信息具体指以下信息：二、个人金融信息分级管理机制《规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别，即采用了分级管理机制：三、个人金融信息全生命周期中分级管理的特别规定《规范》以个人金融信息收集、传输、存储、使用、删除、销毁等生命周期作为维度，对个人金融信息提出了具体合规性要求，其中各个周期对C3、C2类别的信息有不同于其他个人金融信息的特别规定。

四、《规范》与其他标准性文件信息分级管理的衔接数据分类分级管理是《中华人民共和国网络安全法》对网络运营者的基本要求之一。

实践中企业也会采取一定方式按照数据重要性、敏感程度对数据采取分类分级的方式进行管理。

目前已生效的法律法规和标准文件中除了将个人信息区分为“个人敏感信息”和“儿童个人信息”外，没有进一步分级的细化要求。

2018年底金融标准化技术委员会公布的《支付信息保护技术规范》（送审稿）则采取了与本《规范》类似的信息分级机制。

《支付信息保护技术规范》将支付信息按敏感程度从低到高分为C1、C2、C3、C4四个类别，具体指：•C4类别主要为于金融交易的用户鉴别与授权信息。

信息安全技术个人信息安全规范随着信息技术的迅猛发展，个人信息安全已成为人们关注的焦点。

互联网的普及和应用为我们提供了极大便利的同时，也给个人信息安全带来了挑战。

个人信息的泄露可能导致各种不良后果，如财产损失、身份盗用、个人隐私被侵犯等。

因此，信息安全技术在保护个人信息安全方面起着至关重要的作用。

为了保障个人信息的安全，我们应该注重个人信息安全规范，遵守相关法律法规，加强自我保护意识，同时也要借助信息安全技术来加强个人信息保护。

本文将从个人信息安全规范出发，探讨信息安全技术在个人信息安全方面的作用，并给出一些个人信息安全规范的建议。

一、个人信息安全规范1.1身份信息保护个人身份信息是最为重要的个人信息之一，包括姓名、身份证号码、出生日期、家庭住址、电话号码等。

我们应当尽量避免将这些信息直接暴露在公共场合，避免被不法分子利用。

在网上购物、注册社交平台等活动时，不要轻易将个人身份信息泄露给不熟悉的网站或平台，选择使用一些比较正规的网站进行注册购物等活动，确保个人信息的安全。

1.2账号密码安全在网络时代，人们的生活越来越依赖于各种账号密码，如电子邮箱、社交平台、网上银行等。

我们应当妥善保管账号密码，不要使用过于简单的密码，最好使用字母数字混合的复杂密码，并定期修改密码以增加安全性。

同时，使用密码管理工具来帮助管理和保护密码也是个人信息安全的重要手段。

1.3网络交易安全在进行网上交易时，我们应当选择正规的第三方支付平台，确保支付安全。

不要随意点击不明链接或下载不明来源的软件，以免导致个人电脑被攻击，造成个人信息泄露。

同时，在进行网上购物时，要选择信誉良好的商家，避免上当受骗。

1.4防范网络诈骗网络诈骗是近年来比较常见的一种犯罪手段，包括钓鱼网站、虚假广告、网络欺诈等。

我们应当提高警惕，定期更新杀毒软件以及操作系统补丁，及时了解并学习最新的网络诈骗手段，不轻易相信陌生人发送的邮件、信息及鼓励转发分享的内容。

国标t26760-2011
国标t26760-2011是指“信息技术网络安全个人信息安全规范”。

该规范是为了规范个人信息在网络上的安全保护而制定的规范。

下面将从规范的内容和意义等方面进行阐述和介绍。

该规范主要包括以下几个方面：
1. 适用范围：规范适用于管理、获取、使用、存储、传输、处理和维护涉及个人信息的各类组织和个人。

2. 术语和定义：规范规定了个人信息、个人敏感信息、个人信息主体等相关术语和定义，为规范实施提供了基础。

3. 个人信息安全保护原则：规范强调了信息保密原则、信息收集原则、信息使用原则、信息安全原则等，对保护个人信息提供了指导和保障。

4. 个人信息安全保护体系要求：规范建立了个人信息安全保护体系，包括组织管理、安全技术措施、安全事件管理、安全应急管理等多个环节。

5. 个人信息安全保护措施：规范列举了个人信息安全保护措施，包括信息安全管理制度、网络安全设备、密码措施、备份管理、存储设施安全等，以减少安全风险。

6. 个人信息安全风险评估和大数据应用安全评估：规范对组织和个人开展风险评估提供了指导，同时，也对大数据应用安全
评估提出了要求。

该规范的实施对于保障个人信息安全具有重要作用，决定着个人信息在互联网时代的安全和保障。

规范的制定使得个人信息安全保护可以更加规范和科学，全面提高个人信息安全保护意识和能力。

总的来说，国标t26760-2011的出台和实施，为加强互联网时代下的个人信息保护，保障公民的权利，促进经济的健康有序发展提供了重要依据和基础。

在实际生活和工作中，组织和个人应严格执行相关规则，在信息技术应用中更注重个人信息的保护，同时也为此做出必要的投资和措施。

信息安全技术个人信息安全规范随着信息技术的快速发展，人们的个人信息越来越容易被泄露和滥用，个人信息安全问题日益凸显。

而个人信息的泄露和滥用可能会带来严重的经济损失和社会影响。

因此，加强个人信息安全保护已成为一项紧迫的任务。

信息安全技术是保障个人信息安全的重要手段之一。

下面我们将针对个人信息安全问题，制定个人信息安全规范，以保护个人信息安全。

一、密码安全1.1、设置复杂密码密码是最基本的个人信息安全措施之一。

在使用各类账号时，务必保证密码的复杂性，至少包含字母、数字、特殊字符等，并且长度不低于8位，同时尽量避免使用与个人信息相关的密码。

1.2、定期更换密码为了避免密码被破解或盗用，建议定期更换密码，特别是对于重要的账号，如银行、电子邮箱等。

1.3、不随意向他人透露密码无论是收到怀疑邮件，还是被电话骗取信息，都不要轻易向他人透露密码。

同时，不要将密码直接写在纸质文件或手机备忘录中。

二、网络安全2.1、防止网络钓鱼网络钓鱼是一种常见的非法获取个人信息的手段，常常通过虚假网站或邮件来骗取用户的账号和密码等信息。

因此，要提高警惕，避免点击不明链接，尤其是避免输入账号和密码等信息。

2.2、安装杀毒软件和防火墙在使用网络时，务必安装杀毒软件和防火墙，及时更新病毒库，提高个人信息的安全性。

2.3、勿轻易公开个人信息在网上进行交流和注册时，要尽量避免公开个人敏感信息，如身份证号码、家庭住址、联系方式等。

三、数据存储安全3.1、加密个人数据对于个人重要的数据文件，如身份证件、银行卡信息等，要进行加密处理，增加泄密风险。

3.2、合理备份数据在使用电脑和手机时，务必进行数据备份，以防数据丢失或被锁定等情况发生。

3.3、安全存储移动设备对于移动设备，如手机、U盘等，要注意安全存放，避免丢失或被盗。

四、短信和邮件安全4.1、警惕虚假短信避免点击虚假短信中的链接，以免导致个人信息泄露。

4.2、谨慎打开陌生邮件对于未知发件人的邮件，要谨慎打开附件和链接，以免受到电脑病毒侵害。

身份证号码,个人生物识别信息,通信记录1.身份证件号码、个人生物识别信息、通信记录和内容、健康生理信息等属于哪类信息。

A. 属于个人敏感信息B. 属于公共信息C. 属于个人信息D. 以上都对答案：A解析：《GBT 35273-2017 信息安全技术个人信息安全规范》：个人敏感信息（personal sensitive information）是一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。

个人信息（personal information）是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

一、单选题1. 下面哪些行为可能会导致电脑被安装木马程序A. 上安全网站浏览资讯B. 发现邮箱中有一封陌生邮件，杀毒后下载邮件中的附件C. 下载资源时，优先考虑安全性较高的绿色网站D. 搜索下载可免费看全部集数《长安十二时辰》的播放器答案：D解析：木马程序往往集成到来历不明的软件中，搜索引擎不能保证过滤到所有有害资源，最好通过正规的软件应用商店下载应用。

2. 以下哪种不属于个人信息范畴内A. 个人身份证件B. 电话号码C. 个人书籍D. 家庭住址答案：C解析：《GBT 35273-2017 信息安全技术个人信息安全规范》：个人信息（personal information）是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

信息安全技术个人信息安全规范在当今数字化的时代，我们的生活变得越来越便利，但与此同时，个人信息安全问题也日益凸显。

从网上购物到社交媒体，从金融交易到医疗服务，我们在享受各种服务的过程中，不可避免地会留下大量的个人信息。

这些信息如果得不到妥善的保护，可能会给我们带来诸多麻烦，甚至威胁到我们的财产安全和人身安全。

因此，了解和遵循信息安全技术个人信息安全规范显得尤为重要。

首先，我们需要明确什么是个人信息。

个人信息指的是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

这包括但不限于姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

那么，为什么要重视个人信息安全规范呢？一方面，个人信息泄露可能导致骚扰电话、垃圾短信、诈骗邮件等的频繁骚扰，让我们的生活不得安宁。

另一方面，更严重的是，不法分子可能利用这些信息进行精准诈骗，或者盗刷信用卡、窃取账户资金等，给我们造成巨大的经济损失。

此外，个人信息的泄露还可能影响个人的声誉和信用，比如个人的隐私照片或视频被公开，会对个人的形象造成极大的损害。

为了保障个人信息安全，相关的技术规范应运而生。

在收集个人信息时，应当遵循合法、正当、必要的原则，并明确告知用户收集的目的、方式和范围。

例如，一个 APP 在收集用户的地理位置信息时，应当明确告知用户收集的原因是为了提供基于位置的服务，并且用户有权选择是否允许收集。

同时，收集的个人信息应当与实现产品或服务的业务功能有直接关联，不得过度收集。

在存储个人信息时，应当采取必要的安全措施，如加密存储、访问控制等。

加密技术可以将个人信息转化为一段难以理解的密文，即使数据被窃取，不法分子也难以获取其中的真实内容。

访问控制则可以限制只有授权人员能够访问和处理个人信息，降低信息被滥用的风险。

在使用个人信息时，应当遵循用户授权的范围和目的。

不得私自将用户的个人信息用于其他未经授权的用途。

信息安全技术国标信息安全技术国标（GB/T）是我国在信息安全领域的技术标准，对于规范和指导信息安全技术的发展具有重要意义。

信息安全技术国标主要包括信息安全管理、密码技术、网络安全、应用安全、安全评估等多个方面，下面就信息安全技术国标展开详细介绍。

一、信息安全管理信息安全管理是信息安全工作的基础，也是国标中一个重要的领域。

信息安全管理国标主要围绕着信息安全体系建设、安全管理机制和安全管理要求等方面进行规范。

信息安全体系建设要求建立完整的信息安全管理体系，并结合实际情况，制定有效的信息安全政策和流程。

而安全管理机制要求规范组织机构安全架构、安全培训和管理流程等内容，确保信息资产得到有效管理和保护。

安全管理要求还包括了安全检查、安全事件处理和安全改进等方面的规范，以应对信息安全管理过程中出现的问题和风险。

二、密码技术密码技术是信息安全领域的核心技术之一，国标中也对密码技术进行了相关规范。

包括了密码算法的选择、密码产品的设计和开发、密码产品测试和安全评估等多个方面。

密码算法的选择要求采用国家规定的安全密码算法，并指导密码算法在各个领域的具体应用。

而密码产品的设计和开发要求规范密码产品的安全设计和实现，并对密码产品的开发过程进行详细的说明。

密码产品测试和安全评估则是确保密码产品的安全性和可靠性的重要环节，需要满足国家相关的测试要求和标准。

三、网络安全网络安全国标涵盖了网络安全基本要求、网络防护技术和网络安全事件处理等内容。

其中网络安全基本要求要求对网络安全的基本概念和基本框架进行详细规范，为网络安全工作提供了基本依据。

而网络防护技术则是对网络安全防护的技术手段和方法进行了规范，包括了网络边界防护、入侵检测、网络安全监控等多方面内容。

网络安全事件处理要求也对网络安全事件的分类、处理流程和信息报送等方面进行了详细规范，以确保网络安全事件得到及时、有效的处理。

四、应用安全应用安全主要包括了应用系统安全要求、安全设计和开发、应用系统安全测试等方面内容。

《个人信息安全规范》辨析郎庆斌1摘要：《个人信息安全规范》作为社会普适的标准，应以个人信息安全为目标，以管理为主线，以个人信息生命周期为导向，扎实基础，严谨规则，传递全社会适用的个人信息安全标准规则的意义，并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合，保证个人信息管理的科学性、有效性。

关键字：个人信息个人信息安全个人信息管理GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称规范）将于5月1日开始实施，这是我国社会生活中的一件大事，对规范全社会个人信息使用，具有深远意义。

然而，通观规范全文，存在太多的规则缝隙，因而，存在严重的安全风险、缺陷，甚至严重的缺陷。

试辨析规范，与起草者商榷。

一、标准题目1、题目与规则对应规范标题所传达的应是个人信息安全，依据标题，编制个人信息安全标准，应该如何建立规则，保障个人信息相对安全：a）明确个人信息存在形态、形式，建立个人信息安全模型；b）明确个人信息安全本质，建立个人信息管理模型；c）聚焦管理要素，达成管理结果，建立管理体系；d）明确个人信息生命周期，确立体系框架内的管理环节；e）基于ISMS的安全管理等等。

2、题目与内涵标准名称《信息安全技术个人信息安全规范》，应是普适的标准，可是，标准虽未明确限定为信息网络系统，然而，标准条文所传递的内涵，似乎如斯，应该如何理解？规范信息网络系统的个人信息处理本身没有问题，但是，如何界定标准的边界，特别是外部边界？依据标准名称，如何与信息网络系统之外的社会、生活、政治、经济等现实对标？如果仅仅限定为信息网络系统，如何保证个人信息来源的安全性、合法性（第5章仅限于一些收集的约束条件，并不明确个人信息源）；果以信息系统为基，放大到网络，如何保证个人信息安全（并不限于规范限定的条件）？在我国的国情中，存在大量的以纸质及其它形态媒介保存的个人信息，而这一部分恰恰是保护的重点（采集或录入恐怕都存在这种状况），如果仅限于信息网络系统处理个人信息（如规范制定的规则），如何防止信息系统处理个人信息向纸质及其它形态媒介转移，从而产生严重的边界效应，所谓暗度陈仓，多少非法使用可以假汝之名。

数据安全相关国标数据安全是当前信息化时代面临的重要问题，各国纷纷制定相关国标以保障数据安全。

本文将介绍几个与数据安全相关的国标，并探讨其在保护数据安全方面的作用和意义。

一、信息安全管理体系国际标准ISO 27001信息安全管理体系国际标准ISO 27001是国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的，旨在为组织提供一种全面、系统的信息安全管理方法。

该标准列出了一系列的控制目标和控制措施，包括对数据的保护、访问控制、风险评估等方面。

通过实施ISO 27001，组织可以建立起完善的数据安全管理体系，从而有效地管理和保护其所拥有的重要数据。

二、个人信息保护法（GDPR）个人信息保护法（GDPR）是欧盟于2016年通过并于2018年5月25日生效的一项重要法规，旨在加强对个人数据的保护。

该法规规定了个人数据收集、处理、存储和传输的合法方式，并明确了组织在处理个人数据时的责任和义务。

GDPR包含了一系列数据安全和隐私保护的要求，涵盖了数据主体的权利、数据处理者的义务、数据安全措施等方面。

它的实施不仅对欧洲成员国具有法律约束力，也对与欧盟成员国有业务往来的全球企业产生了重要影响。

GDPR的出台推动了全球数据安全保护的发展，为各国制定相关国标提供了重要参考。

三、个人信息安全技术规范我国自2018年开始实施的《个人信息安全技术规范》是我国针对个人信息安全领域制定的一项国家标准。

该规范明确了个人信息的分类、保护要求和安全措施，涉及了个人信息的收集、存储、处理、传输等全过程。

根据规范的要求，组织在处理个人信息时需要采取相应的安全技术措施，包括加密、访问控制、安全审计等。

该规范对于确保个人信息的安全性以及维护个人信息主体的权益具有重要的指导作用。

四、网络安全法我国于2017年6月1日颁布实施的《中华人民共和国网络安全法》是我国网络安全领域的基本法律法规。

该法明确了网络空间主权、网络运营者责任、个人信息保护等方面的要求和规定。

ISO 27701认证对应国内标准一、ISO 27701认证概述ISO 27701是一种国际隐私保护标准，旨在确保组织在处理个人数据时能够遵循透明、公平、可问责的原则，保护个人隐私和数据安全。

该标准规定了组织在处理个人数据时需要遵守的隐私保护要求，包括数据分类、数据保护、透明度、合规性等方面。

二、ISO 27701认证与国内标准的对应关系在我国，目前还没有与ISO 27701完全对应的官方标准。

但是，我国有一些法律法规和标准与ISO 27701所涉及的个人信息保护相关。

以下是一些与ISO 27701所涉及的内容相似的国内标准：1. 《网络安全法》我国于2017年颁布的《网络安全法》是第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑。

该法律要求网络运营者应依法收集、使用和保护个人信息，并规定了相应的法律责任。

2. 《信息安全技术个人信息安全规范》该标准是我国个人信息安全领域的推荐性国家标准，规定了个人信息的收集、存储、使用、加工、传输、提供和公开等环节的安全要求。

该标准与ISO 27701所涉及的个人信息保护内容相似，但并不完全相同。

3. 《信息安全技术个人信息保护指南》该指南是我国个人信息保护的基础性指导文件，规定了个人信息的处理原则、处理方式、安全保障等方面的要求。

该指南与ISO 27701所涉及的个人信息保护内容相似，但并不完全相同。

三、结论虽然我国目前还没有与ISO 27701完全对应的官方标准，但以上所提到的法律法规和标准与ISO 27701所涉及的个人信息保护内容相似。

因此，组织在寻求ISO 27701认证时，可以参考以上提到的国内法律法规和标准，以满足认证要求。

同时，随着国内个人信息保护法律法规的不断完善和发展，相信未来会有更多与ISO 27701相匹配的国内标准出现。