《資訊安全技術個人資訊安全規範》獲批發布 5月1日正式實施

分類＼社會
時間＼2018-01-26

1月24日，據評價中心獲悉，全國資訊安全標準化技術委員會（簡稱“信安標委”）官方網站發佈公告稱，按照國家標準化管理委員會2017年第32號中國國家標準公告，全國資訊安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017 《資訊安全技術個人資訊安全規範》（以下簡稱“標準”）於2017年12月29日正式發佈，

將於2018年5月1日實施。

近年，隨著資訊技術的快速發展和互聯網應用的普及，越來越多的組織大量收集、使用個人資訊，給人們生活帶來便利的同時，也出現了對個人資訊的非法收集、濫用、洩露等問題，個人資訊安全面臨嚴重威脅。

該標準的發佈旨在針對個人資訊面臨的安全問題，規範個人資訊控制者在收集、保存、使用、共用、轉讓、公開披露等資訊處理環節中的相關行為，旨在遏制個人資訊非法收集、濫用、洩漏等亂象，最大程度地保障個人的合法權益和社會公共利益。

評價中心重點提煉個人資訊的保存、個人資訊安處理以及組織的管理要求等方面內容，

解讀國家標準GB/T 35273-2017 《資訊安全技術個人資訊安全規範》。

《資訊安全技術個人資訊安全規範》第六點“個人資訊的保存 ”，對個人資訊控制者對個人資訊的保存提出具體要求，包括以下內容：

6.1 個人資訊保存時間最小化

對個人資訊控制者的要求包括：

a) 個人資訊保存期限應為實現目的所必需的最短時間；

b) 超出上述個人資訊保存期限後，

應對個人資訊進行刪除或匿名化處理。

6.2 去標識化處理

收集個人資訊後，個人資訊控制者宜立即進行去標識化處理，並採取技術和管理方面的措施，將去標識化後的資料與可用於恢復識別個人的資訊分開存儲，並確保在後續的個人資訊處理中不重新識別個人。

6.3 個人敏感資訊的傳輸和存儲

對個人資訊控制者的要求包括：

a) 傳輸和存儲個人敏感資訊時，應採用加密等安全措施；

b) 存儲個人生物識別資訊時，應採用技術措施處理後再進行存儲，例如僅存儲個人生物識別資訊的摘要。

6.4 個人資訊控制者停止運營

當個人資訊控制者停止運營其產品或服務時，應：

a) 及時停止繼續收集個人資訊的活動；

b) 將停止運營的通知以逐一送達或公告的形式通知個人資訊主體；

c) 對其所持有的個人資訊進行刪除或匿名化處理。

《資訊安全技術個人資訊安全規範》第九點“個人資訊安全事件處置 ”，

對個人資訊控制者處理個人資訊安全事件的方式方法提出具體要求，包括以下內容：

9.1 安全事件應急處置和報告

對個人資訊控制者的要求包括：

a) 應制定個人資訊安全事件應急預案；

b) 應定期（至少每年一次）組織內部相關人員進行應急回應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程；

c) 發生個人資訊安全事件後，個人資訊控制者應根據應急回應預案進行以下處置：

1) 記錄事件內容，包括但不限於：發現事件的人員、時間、地點，涉及的個人資訊及人數，發生事件的系統名稱，對其他互聯系統的影響，是否已聯繫執法機關或有關部門；

2) 評估事件可能造成的影響，並採取必要措施控制事態，消除隱患；

3) 按《國家網路安全事件應急預案》的有關規定及時上報，報告內容包括但不限於：涉及個人資訊主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已採取或將要採取的處置措施，事件處置相關人員的聯繫方式；

4) 按照本標準9.2的要求實施安全事件的告知。

d) 根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。

9.2 安全事件告知

對個人資訊控制者的要求包括：

a) 應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人資訊主體。難以逐一告知個人資訊主體時，應採取合理、有效的方式發佈與公眾有關的警示資訊；

b) 告知內容應包括但不限於：

1) 安全事件的內容和影響；

2) 已採取或將要採取的處置措施；

3) 個人資訊主體自主防範和降低風險的建議；

4) 針對個人資訊主體提供的補救措施；

5) 個人資訊保護負責人和個人資訊保護工作機構的聯繫方式。

《資訊安全技術個人資訊安全規範》第十點“組織的管理要求 ”，對個人資訊控制者組織管理提出具體要求，包括以下內容：

10.1 明確責任部門與人員

對個人資訊控制者的要求包括：

a) 應明確其法定代表人或主要負責人對個人資訊安全負全面領導責任，包括為個人資訊安全工作提供人力、財力、物力保障等；

b) 應任命個人資訊保護負責人和個人資訊保護工作機構；

c) 滿足以下條件之一的組織，應設立專職的個人資訊保護負責人和個人資訊保護工作機構，負責個人資訊安全工作：

1) 主要業務涉及個人資訊處理，且從業人員規模大於200人；

2) 處理超過50萬人的個人資訊，或在12個月內預計處理超過50萬人的個人資訊。

d) 個人資訊保護負責人和個人資訊保護工作機構應履行的職責包括但不限於：

1) 全面統籌實施組織內部的個人資訊安全工作，對個人資訊安全負直接責任；

2) 制定、簽發、實施、定期更新隱私政策和相關規程；

3) 應建立、維護和更新組織所持有的個人資訊清單（包括個人資訊的類型、數量、來源、接收方等）和授權訪問策略；

4) 開展個人資訊安全影響評估；

5) 組織開展個人資訊安全培訓；

6) 在產品或服務上線發佈前進行檢測，避免未知的個人資訊收集、使用、共用等處理行為；

7) 進行安全審計。

10.3 資料安全能力

個人資訊控制者應根據有關國家標準的要求，建立適當的資料安全能力，落實必要的管理和技術措施，防止個人資訊的洩漏、損毀、丟失。

10.5 安全審計

對個人資訊控制者的要求包括：

a) 應對隱私政策和相關規程，以及安全措施的有效性進行審計；

b) 應建立自動化審計系統，監測記錄個人資訊處理活動；

c) 審計過程形成的記錄應能對安全事件的處置、應急回應和事後調查提供支撐；

d) 應防止非授權訪問、篡改或刪除審計記錄；

e) 應及時處理審計過程中發現的個人資訊違規使用、濫用等情況。

昂楷資料庫審計系統採用資料庫深度報文協定解析DPI及動態流檢測DFI等技術，等將資料庫的各種訪問操作，解析還原為資料庫級的動作陳述式，通過預置的安全規則匹配，即可智慧分析和監控訪問者的各種操作，進行即時威脅預警，並對事件進行統計分析記錄，多重身份定位，有效支援電子取證。

支援對主流資料庫的監測，更率先研發出Hadoop架構下HBase資料庫以及對工控即時資料庫的審計，提供的無外掛程式或羽量級外掛程式的雲資料庫安全解決方案。

以下為標準內容（全文）：

聲明：本文由評價中心綜合整理編輯。

個人資訊控制者應根據應急回應預案進行以下處置：

2) 評估事件可能造成的影響，並採取必要措施控制事態，消除隱患；

4) 按照本標準9.2的要求實施安全事件的告知。

d) 根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。

9.2 安全事件告知

對個人資訊控制者的要求包括：

b) 告知內容應包括但不限於：

1) 安全事件的內容和影響；

2) 已採取或將要採取的處置措施；

3) 個人資訊主體自主防範和降低風險的建議；

4) 針對個人資訊主體提供的補救措施；

5) 個人資訊保護負責人和個人資訊保護工作機構的聯繫方式。

《資訊安全技術個人資訊安全規範》第十點“組織的管理要求 ”，對個人資訊控制者組織管理提出具體要求，包括以下內容：

10.1 明確責任部門與人員

對個人資訊控制者的要求包括：

a) 應明確其法定代表人或主要負責人對個人資訊安全負全面領導責任，包括為個人資訊安全工作提供人力、財力、物力保障等；

b) 應任命個人資訊保護負責人和個人資訊保護工作機構；

c) 滿足以下條件之一的組織，應設立專職的個人資訊保護負責人和個人資訊保護工作機構，負責個人資訊安全工作：

1) 主要業務涉及個人資訊處理，且從業人員規模大於200人；

2) 處理超過50萬人的個人資訊，或在12個月內預計處理超過50萬人的個人資訊。

d) 個人資訊保護負責人和個人資訊保護工作機構應履行的職責包括但不限於：

1) 全面統籌實施組織內部的個人資訊安全工作，對個人資訊安全負直接責任；

2) 制定、簽發、實施、定期更新隱私政策和相關規程；

3) 應建立、維護和更新組織所持有的個人資訊清單（包括個人資訊的類型、數量、來源、接收方等）和授權訪問策略；

4) 開展個人資訊安全影響評估；

5) 組織開展個人資訊安全培訓；

6) 在產品或服務上線發佈前進行檢測，避免未知的個人資訊收集、使用、共用等處理行為；

7) 進行安全審計。

10.3 資料安全能力

個人資訊控制者應根據有關國家標準的要求，建立適當的資料安全能力，落實必要的管理和技術措施，防止個人資訊的洩漏、損毀、丟失。

10.5 安全審計

對個人資訊控制者的要求包括：

a) 應對隱私政策和相關規程，以及安全措施的有效性進行審計；

b) 應建立自動化審計系統，監測記錄個人資訊處理活動；

c) 審計過程形成的記錄應能對安全事件的處置、應急回應和事後調查提供支撐；

d) 應防止非授權訪問、篡改或刪除審計記錄；

e) 應及時處理審計過程中發現的個人資訊違規使用、濫用等情況。

以下為標準內容（全文）：

聲明：本文由評價中心綜合整理編輯。

《資訊安全技術 個人資訊安全規範》獲批發布 5月1日正式實施

《資訊安全技術個人資訊安全規範》獲批發布 5月1日正式實施