GBT 35273-2021 -信息安全技术-个人信息安全规范.docx

《GBT 35273-2021 -信息安全技术-个人信息安全规范.docx》由会员分享，可在线阅读，更多相关《GBT 35273-2021 -信息安全技术-个人信息安全规范.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、GBT35273-2021-信息安全技术-个人信息安全规范（信息安全技术个人信息安全规范）第六点“个人信息的保存，对个人信息控制者对个人信息的保存提出详细要求，包括下面内容：6.1个人信息保存时间最小化对个人信息控制者的要求包括：a)个人信息保存期限应为实现目的所必需的最短时间；b)超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。6.2去标识化处理采集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。6.3个人敏感信息的传输和存储对个人信息控制者的要求包括

2、：a)传输和存储个人敏感信息时，应采用加密等安全措施；b)存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。6.4个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a)及时停止继续采集个人信息的活动；b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体；c)对其所持有的个人信息进行删除或匿名化处理。（信息安全技术个人信息安全规范）第九点“个人信息安全事件处置，对个人信息控制者处理个人信息安全事件的方式方法提出详细要求，包括下面内容：9.1安全事件应急处置和报告对个人信息控制者的要求包括：a)应制定个人信息安全事件应急预案；b)应定期

3、至少每年一次组织内部相关人员进行应急响应培训和应急演练，使其把握岗位职责和应急处置策略和规程；c)发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行下面处置：1)记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发惹事件的系统名称，对其他互联络统的影响，能否已联络执法机关或有关部门；2)评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；3)按（国家网络安全事件应急预案）的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联络方式；4)根据本标

4、准9.2的要务实施安全事件的告知。d)根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。9.2安全事件告知对个人信息控制者的要求包括：a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息；b)告知内容应包括但不限于：1)安全事件的内容和影响；2)已采取或将要采取的处置措施；3)个人信息主体自主防备和降低风险的建议；4)针对个人信息主体提供的弥补措施；5)个人信息保护负责人和个人信息保护工作机构的联络方式。（信息安全技术个人信息安全规范）第十点“组织的管理要求，对个人信息控制者组

5、织管理提出详细要求，包括下面内容：10.1明确责任部门与人员对个人信息控制者的要求包括：a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等；b)应任命个人信息保护负责人和个人信息保护工作机构；c)知足下面条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：1)主要业务涉及个人信息处理，且从业人员规模大于200人；2)处理超过50万人的个人信息，或在12个月内估计处理超过50万人的个人信息。d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于：1)全面统筹施行组织内部的个人信息安

6、全工作，对个人信息安全负直接责任；2)制定、签发、施行、定期更新隐私政策和相关规程；3)应建立、维护和更新组织所持有的个人信息清单包括个人信息的类型、数量、来源、接收方等和受权访问策略；4)开展个人信息安全影响评估；5)组织开展个人信息安全培训；6)在产品或服务上线发布前进行检测，避免未知的个人信息采集、使用、分享等处理行为；7)进行安全审计。10.3数据安全能力个人信息控制者应根据有关国家标准的要求，建立适当的数据安全能力，落实必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失。10.5安全审计对个人信息控制者的要求包括：a)应对隐私政策和相关规程，以及安全措施的有效性进行审计；b)应建立

7、自动化审计系统，监测记录个人信息处理活动；c)审计经过构成的记录应能对安全事件的处置、应急响应和事后调查提供支撑；d)应防止非受权访问、篡改或删除审计记录；e)应及时处理审计经过中发现的个人信息违规使用、滥用等情况。昂楷数据库审计系统采用数据库深度报文协议解析DPI及动态流检测DFI等技术，等将数据库的各种访问操作，解析复原为数据库级的操作语句，通过预置的安全规则匹配，即可智能分析和监控访问者的各种操作，进行实时威胁预警，并对事件进行统计分析记录，多重身份定位，有效支持电子取证。支持对主流数据库的监测，更率先研发出Hadoop架构下HBase数据库以及对工控实时数据库的审计，提供的无插件或轻量级插件的云数据库安全解决方案。