个人信息保护体系建设方案12.docx

《个人信息保护体系建设方案12.docx》由会员分享，可在线阅读，更多相关《个人信息保护体系建设方案12.docx（26页珍藏版）》请在第一文库网上搜索。

1、个人信息保护体系建设方案1 .总述1.1. 现状“十四五时期是我国全面建成小康社会、实现第一个百年奋斗目标之后， 乘势而上开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军 的第一个五年。”建设数字化中国是实现我国全面建成小康社会的重要机遇，在 这一过程中保护数据要素的安全，保护个人信息安全是其中重要的一个部分。在一段时间里，由于我国个人信息保护立法不健全，民众的个人信息保护意 识不强，很多人都有频繁的销售电话、短信侵害经历，更有甚者遭遇到了电信诈 骗受到经济损失甚至失去生命。为此我国在2003年启动了个人信息保护的 立法程序，随后刑法修正案（七）、侵权责任法等法律法规从刑法、侵

2、权责任等角度明确了个人信息保护要求。2017年中华人民共和国网络安全法 定义了个人信息的概念，提出了个人信息保护的基本要求，随后个人信息安 全规范、个人信息出镜安全评估办法（征求意见稿）、中华人民共和国 个人信息保护法（草案）等法律、法规和标准相继推出，个人信息安全保护的 工作正在逐步落实。这也对组织提出个人信息保护的要求。个人信息保护涉及了合规、法务和网络安全等多种内部角色，要协调、组织 好各项目工作，需要以体系化的思路，工程化的方法，统筹管理各方面的工作。 目前的网络安全管理已逐渐成熟，各类组织已根据等级保护要求或信息安全管理 体系初步建立起适合于自身业务发展的网络安全管理框架。当我们需要

3、建立个人 信息保护体系时，完全抛弃已有的网络安全管理经验是不明智的，借鉴、补充、 优化已有的安全管理经验，才是尽快建立起个人信息保护能力的最佳方案。个人信息安全保护体系正是在这种情况下产生的。1.2. 依据中华人民共和国个人信息保护法中华人民共和国网络安全法个人信息出境安全评估办法（征求意见稿）常见类型移动互联网应用程序必要个人信息范围规定儿童个人信息网络保护规定GB/T 35273-2020信息安全技术个人信息安全规范GB/T 39335-2020信息安全技术个人信息安全影响评估指南GB/T 34978-2017信息安全技术移动智能终端个人信护技术要求GB/T 22239-2019信息安全技

4、术网络安全等级保护基本要求GB/T 37988-2019信息安全技术数据安全能力成熟度模型GB/T 37964-2019信息安全技术个人信息去标识化指南GBT 20984-2007信息安全技术信息安全风险评估规范网络安全标准实践指南一移动互联网应用程序（APP）中的第三方软件开 发工具包（SDK）安全指引网络安全标准实践指南一移动互联网应用程序（App）系统权限申请使用 指南网络安全标准实践指南一移动互联网应用程序）APP）个人信息保护常见 问题及处置指南网络安全标准实践指南一移动互联网应用程序（App）收集使用个人信息 自评估指南S0IEC 27001-2013信息技术安全技术信息安全管理体

5、系要求USO/IEC 27002-2013信息技术安全技术信息安全控制实用规则USO/IEC 27701-2019 隐私信息管理 ISO/IEC 27001 和 IS0IEC 27002R 扩展-要求和准则USO/IECE 29100-2011信息技术安全技术隐私框架GSO/IECE 29151-2017信息技术安全技术保护可辨识个人资料的工作 守则13相关术语定义个人信息个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息，不包括匿名化处理后的信息个人敏感信息敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵 害或者人身、财产安全受到危害的个人信息，包

6、括生物识别、宗教信仰、特定身 份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人 信息。个人信息处理个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公 开、删除等。个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。自动化决策是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、 健康、信用状况等，并进行决策的活动。去标识化是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然 人的过程。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。2 .个人信息安全保护体系建设需求2.1. 合规性需求中华人

7、民共和国个人信息保护法我国境内的个人信息处理者及处理我国个人信息的境外个人信息处理者应 当承担个人信息保护的义务，采用必要措施确保处理个人信息的活动符合法规、 行政法规的规定，并采取有效措施保护个人合法权益，保护个人信息不被窃取、 篡改和删除。中华人民共和国网络安全法、中华人民共和国民法典网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全, 防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的 情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 GB/T 35273-2020信息安全技术 个人信息安全规范个人信息安全控制者应当遵循“权责一

8、致、目的明确、选择同意、最小必要、 公开透明、确保安全、主体参与”的原则。在个信息的生命周期中，通过明确个 人信息管理要求和技术要求，为提供个人信息保护。2.2. 风险控制需求出于审慎经营、声誉维护、品牌建立的目的，组织需要站在比合规要求更高 的角度开展个人信息处理活动，通过风险管理，尽可能的降低由于处理个人信息 给组织带来的不利影响。3 .个人信息安全保护体系设计3.1. 个人信息安全保护体系建设三大内容个人信息保护可分为个人信息合规合法使用、个人权利响应、个人信息安全 保护要求三个部分。个人信息合规合法使用的主要要求包括，遵循合法、正当、必要和诚信原则 等原则，限制对个人信息的对收集、使用

9、。个人权利响应主要指个人信息处理者应当提供一定的渠道响应个人信息处 理者提出的查询、修改、删除、撤回授权等要求，以保护个人的合法权利。个人信息安全保护是指通过对基础设施、网络设备、主机环境、应用系统、 数据库、终端的等个人信息运行的环境进行保护，实现个人信息机密性、完整性 可用性。三个主要内容之间互有关联，响应个人权利和个人信息安全保护都是为了实 现个人信息合规合法的使用。3.2. 借鉴 ISO/ICE 27701 与 ISO/IEC 27001 体系个人信息安全保护体系是一个综合性的安全防护体系，是在网络安全防护体 系上的扩展和延伸。IS0/IEC 27001是国际上公认的网络安全管理最佳实

10、践，可帮助组织在最快 时间内搭建起较为全面且具有持续生命力的管理体系，通过对IS0/IEC 27002中 部分安全控制项进行调整、补充，完善传统安全中的个人信息保护措施，推动组 织管好、用好、保护好个人信息，实现个人信息安全。IS0ICE 27701 是 IS0/IEC 27001 和 IS0IEC 27002 的隐私扩展,旨在帮 助组织机构保护和控制所处理的个人信息。通过下图，我们可以看出他们之间的 关系。1图片引自基于ISOJEC 27701的隐私信息管理体系(PIMS)实施探讨ISO/IEC 27701 引用 T ISO/IEC 29011 隐么框架，对 ISO/IEC 27001 的要

11、求 和控制措施进行了扩展。33个人信息安全保护体系建立的目标建立个人信息安全保护体系，可以达到如下目标：a）以体系化方式梳理组织在个人信息保护方面应当承担的职责，满足国家 个人信息保的要求b）将个人信息保护体系与已的安全管理体系有机融合，并在产品、服务或 项目的最初阶段设计并实现个人信息保护要求；c）针对个人信息安全保护的具体要求，完善网络安全防护策略；d）提高组织内部个人信息安全意识。4 .个人信息安全保护体系建设组织设计 明离职责完善体系文档SR技术架构设计个人信息安全管理体系建设主要通过三步走来实现。第一步，了解组织内外环境对个人信息保护的要求，以此作为输入建立最基 本个人信息保护基线。

12、了解组织目前对收集、处理、使用个人信息的现状，包括 涉及个人信息的业务、个人信息、个人信息的使用情况针及个人信息处理环境的 安全保护状态等。通过现状结合个人保护基线识别风险，对个人信息安全影响进 行评估，最终汇总得出个人信息安全风险综合分析。第二步，根据个人信息安全面临的风险和问题，从优化个人信息组织、职责， 完善安全体系文档，和设计安全技术架构入手建设个人信息安全管理体系。第三步，持续的运行个人信息安全管理体系，定期进行风险分析，识别组织 当前面临的风险，并采用有效控制风险。组织亦可选择通过ISO/IEC 27701体系 认证。4.1. 组织环境5 .2.1. 了解个人信息及组织个人信息保护

13、环境个人信息安全管理体系与信息安全管理体系最大区别在于，信息安全管理体 系中一但发生信息安全事件，组织是信息安全事件的受害者，它主要保护的是组 织的信息资产。个人信息安全管理体系中一但发生个人信息安全事件，除组织外, 个人是事件最大的受害者。个人信息安全管理体系主要保护的是个人信息。个人 信息安全管理体系中，组织是个人信息处理者、个人信息处理者的角色。因此组 织的内部环境和外部要求对个人信息安全管理体系都有着不同的要求。组织需要考虑的内部环境至少包括以下内容： 组织业务范围内涉及个人信息的业务；组织目前处理的个人信息及敏感个人信息； 组织目前个人依靠处理的环节；组织内部涉及个人信息安全管理的组

14、织架构；组织内部涉及个人信息安全的应用系统；组织内部人员个人信息安全素养；组织内部涉及个人的安全管理要求；组织业务涉及个人信息及个人信息的敏感度；组织业务对个人信息的收集、使用等现状和要求。组织需要考虑的外部环境至少包括以下内容:涉及个人信息的业务的所在区域的行业、监管机构、法律法规对个人信 息保护有哪些要求；涉及个人信息的业务的所在区域的治政环境、社会环境、文化习惯等对 个人信息保护有哪些影响；新技术对个人信息保护有哪些影响。组织是否与第三方共同分享、使用个人信息；第三方个人信息保护的能力。6 .2.2.个人信息保护需求了解组织环境后，收集整理目前相关方对组织的安全需要和期望。相关方包 括组

15、织涉及个人信息的业务的所在区域的行业、监管机构、法律法规要求、第三 方机构对组织个人信息安全管理要求、个人信息安全主体对个人信息安全保护的 要求等。结合我国个人信息安全保现状，下文整理出部分我国个人信息保护要求。 中华人民共和国网络安全法中华人民共和国民法典个人信息出境安全评估办法（征求意见稿）中华人民共和国个人信息保护法常见类型移动互联网应用程序必要个人信息范围规定儿童个人信息网络保护规定 GB/T 35273-2020信息安全技术 个人信息安全规范 GB/T 39335-2020信息安全技术 个人信息安全影响评估指南GB/T 34978-2017信息安全技术移动智能终端个人信护技术要求 GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 37988-2019信息安全技术数据安全能力成熟度模型GB/T 37964-2019信息安全技术 个人信息去标识化指南 GB/T 209