【導(dǎo)語(yǔ)】近日,由公安部網(wǎng)絡(luò)安全保衛(wèi)局、公安部第三研究所和北京市網(wǎng)絡(luò)行業(yè)協(xié)會(huì)等相關(guān)專(zhuān)家共同研究制定的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》正式發(fā)布。該指南的出臺(tái),旨在進(jìn)一步貫徹落實(shí)《網(wǎng)絡(luò)安全法》并有效指導(dǎo)我國(guó)個(gè)人信息持有者建立健全公民個(gè)人信息安全;ヂ(lián)網(wǎng)企業(yè)、聯(lián)網(wǎng)單位在今后的個(gè)人信息保護(hù)工作中可以借鑒該指南以更有效地展開(kāi)工作。 互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南 引 言 為有效防范侵犯公民個(gè)人信息違法行為,保障網(wǎng)絡(luò)數(shù)據(jù)安全和公民合法權(quán)益,公安機(jī)關(guān)結(jié)合偵辦侵犯公民個(gè)人信息網(wǎng)絡(luò)犯罪案件和安全監(jiān)督管理工作中掌握的情況,組織北京市網(wǎng)絡(luò)行業(yè)協(xié)會(huì)和公安部第三研究所等單位相關(guān)專(zhuān)家,研究起草了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》,供互聯(lián)網(wǎng)服務(wù)單位在個(gè)人信息保護(hù)工作中參考借鑒。 1. 范圍 本文件制定了個(gè)人信息安全保護(hù)的管理機(jī)制、安全技術(shù)措施和業(yè)務(wù)流程。 適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過(guò)程中開(kāi)展安全保護(hù)工作參考使用。本文件適用于通過(guò)互聯(lián)網(wǎng)提供服務(wù)的企業(yè),也適用于使用專(zhuān)網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人。 2. 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。 GB/T 25069—2010 信息安全技術(shù) 術(shù)語(yǔ) GB/T 35273—2017 信息安全技術(shù) 個(gè)人信息安全規(guī)范 GB/T 22239 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(信息系統(tǒng)安全等級(jí)保護(hù)基本要求) 3. 術(shù)語(yǔ)和定義 3.1 個(gè)人信息 以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話(huà)號(hào)碼等。 [中華人民共和國(guó)網(wǎng)絡(luò)安全法,第七十六條(五)] 注:個(gè)人信息還包括通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。 3.2 個(gè)人信息主體 個(gè)人信息所標(biāo)識(shí)的自然人。[GB/T 35273-2017,定義3.3] 3.3 個(gè)人信息持有 對(duì)個(gè)人信息及相關(guān)資源、環(huán)境、管理體系等進(jìn)行計(jì)劃、組織、協(xié)調(diào)、控制的相關(guān)活動(dòng)或行為。 3.4 個(gè)人信息持有者 對(duì)個(gè)人信息進(jìn)行控制和處理的組織或個(gè)人。 3.5 個(gè)人信息收集 獲得對(duì)個(gè)人信息的控制權(quán)的行為,包括由個(gè)人信息主體主動(dòng)提供、通過(guò)與個(gè)人信息主體交互或記錄個(gè)人信息主體行為等自動(dòng)采集,以及通過(guò)共享、轉(zhuǎn)讓、搜集公開(kāi)信息間接獲取等方式。[GB/T 35273-2017,定義3.5] 3.6 個(gè)人信息使用 通過(guò)自動(dòng)或非自動(dòng)方式對(duì)個(gè)人信息進(jìn)行操作,例如記錄、組織、排列、存儲(chǔ)、改編或變更、檢索、咨詢(xún)、披露、傳播或以其他方式提供、調(diào)整或組合、限制、刪除等。 3.7 個(gè)人信息刪除 在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息的行為,使其保持不可被檢索、訪(fǎng)問(wèn)的狀態(tài)。[GB/T 35273-2017,定義3.9] 3.8 個(gè)人信息生命周期 包括個(gè)人信息持有者收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開(kāi)披露、刪除個(gè)人信息在內(nèi)的全部生命歷程。 3.9 個(gè)人信息處理系統(tǒng) 處理個(gè)人信息的計(jì)算機(jī)信息系統(tǒng),涉及個(gè)人信息生命周期一個(gè)或多個(gè)階段(收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開(kāi)披露、刪除)。 4. 管理機(jī)制 4.1 基本要求 個(gè)人信息處理系統(tǒng)的安全管理要求應(yīng)滿(mǎn)足GB/T 22239相應(yīng)等級(jí)的要求。 4.2 管理制度 4.2.1 管理制度內(nèi)容 a)應(yīng)制定個(gè)人信息保護(hù)的總體方針和安全策略等相關(guān)規(guī)章制度和文件,其中包括本機(jī)構(gòu)的個(gè)人信息保護(hù)工作的目標(biāo)、范圍、原則和安全框架等相關(guān)說(shuō)明; b)應(yīng)制定工作人員對(duì)個(gè)人信息日常管理的操作規(guī)程; c)應(yīng)建立個(gè)人信息管理制度體系,其中包括安全策略、管理制度、操作規(guī)程和記錄表單; d)應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案。 4.2.2 管理制度制定發(fā)布 a)應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定; b)應(yīng)明確安全管理制度的制定程序和發(fā)布方式,對(duì)制定的安全管理制度進(jìn)行論證和審定,并形成論證和評(píng)審記錄; c)應(yīng)明確管理制度的發(fā)布范圍,并對(duì)發(fā)文及確認(rèn)情況進(jìn)行登記記錄。 4.2.3 管理制度執(zhí)行落實(shí) a)應(yīng)對(duì)相關(guān)制度執(zhí)行情況進(jìn)行審批登記; b)應(yīng)保存記錄文件,確保實(shí)際工作流程與相關(guān)的管理制度內(nèi)容相同; c)應(yīng)定期匯報(bào)總結(jié)管理制度執(zhí)行情況。 4.2.4 管理制度評(píng)審改進(jìn) a)應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審,存在不足或需要改進(jìn)的予以修訂; b)安全管理制度評(píng)審應(yīng)形成記錄,如果對(duì)制度做過(guò)修訂,應(yīng)更新所有下發(fā)的相關(guān)安全管理制度。 4.3 管理機(jī)構(gòu) 4.3.1 管理機(jī)構(gòu)的崗位設(shè)置 a)應(yīng)設(shè)置指導(dǎo)和管理個(gè)人信息保護(hù)的工作機(jī)構(gòu),明確定義機(jī)構(gòu)的職責(zé); b)應(yīng)由最高管理者或授權(quán)專(zhuān)人負(fù)責(zé)個(gè)人信息保護(hù)的工作; c)應(yīng)明確設(shè)置安全主管、安全管理各個(gè)方面的負(fù)責(zé)人,設(shè)立審計(jì)管理員和安全管理員等崗位,清晰、明確定義其職責(zé)范圍。 4.3.2 管理機(jī)構(gòu)的人員配置 a)應(yīng)明確安全管理崗位人員的配備,包括數(shù)量、專(zhuān)職還是兼職情況等;配備負(fù)責(zé)數(shù)據(jù)保護(hù)的專(zhuān)門(mén)人員; b)應(yīng)建立安全管理崗位人員信息表,登記機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員、審計(jì)管理員、安全管理員等重要崗位人員的信息,審計(jì)管理員和安全管理員不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、數(shù)據(jù)操作員等崗位。 4.4 管理人員 4.4.1 管理人員的錄用 a)應(yīng)設(shè)立專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員的錄用工作; b)應(yīng)明確人員錄用時(shí)對(duì)人員的條件要求,對(duì)被錄用人的身份、背景和專(zhuān)業(yè)資格進(jìn)行審查,對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核; c)錄用后應(yīng)簽署相應(yīng)的針對(duì)個(gè)人信息的保密協(xié)議; d)應(yīng)建立管理文檔,說(shuō)明錄用人員應(yīng)具備的條件(如學(xué)歷、學(xué)位要求,技術(shù)人員應(yīng)具備的專(zhuān)業(yè)技術(shù)水平,管理人員應(yīng)具備的安全管理知識(shí)等); e)應(yīng)記錄錄用人身份、背景和專(zhuān)業(yè)資格等,記錄審查內(nèi)容和審查結(jié)果等; f)應(yīng)記錄錄用人錄用時(shí)的技能考核文檔或記錄,記錄考核內(nèi)容和考核結(jié)果等; g)應(yīng)簽訂保密協(xié)議,其中包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。 4.4.2 管理人員的離崗 a)人員離崗時(shí)應(yīng)辦理調(diào)離手續(xù),簽署調(diào)離后個(gè)人信息保密義務(wù)的承諾書(shū),防范內(nèi)部員工、管理員因工作原因非法持有、披露和使用個(gè)人信息; b)應(yīng)對(duì)即將離崗人員具有控制方法,及時(shí)終止離崗人員的所有訪(fǎng)問(wèn)權(quán)限,取回其身份認(rèn)證的配件,諸如身份證件、鑰匙、徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備;采用生理特征進(jìn)行訪(fǎng)問(wèn)控制的,需要及時(shí)刪除生理特征錄入的相關(guān)信息; c)應(yīng)形成對(duì)離崗人員的安全處理記錄(如交還身份證件、設(shè)備等的登記記錄); d)應(yīng)具有按照離職程序辦理調(diào)離手續(xù)的記錄。 4.4.3 管理人員的考核 a)應(yīng)設(shè)立專(zhuān)人負(fù)責(zé)定期對(duì)接觸個(gè)人信息數(shù)據(jù)工作的工作人員進(jìn)行全面、嚴(yán)格的安全審查、意識(shí)考核和技能考核; b)應(yīng)按照考核周期形成考核文檔,被考核人員應(yīng)包括各個(gè)崗位的人員; c)應(yīng)對(duì)違反違背制定的安全策略和規(guī)定的人員進(jìn)行懲戒; d)應(yīng)定期考查安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施、相關(guān)法律法規(guī)等的理解程度,并對(duì)考核記錄進(jìn)行記錄存檔。 4.4.4 管理人員的教育培訓(xùn) a)應(yīng)制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各崗位員工進(jìn)行基本的安全意識(shí)教育培訓(xùn)和崗位技能培訓(xùn); b)應(yīng)制定安全教育和培訓(xùn)計(jì)劃文檔,明確培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等,培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等; c)應(yīng)形成安全教育和培訓(xùn)記錄,記錄包含培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等。 4.4.5 外部人員訪(fǎng)問(wèn) a)應(yīng)建立關(guān)于物理環(huán)境的外部人員訪(fǎng)問(wèn)的安全措施: 1)制定外部人員允許訪(fǎng)問(wèn)的設(shè)備、區(qū)域和信息的規(guī)定; 2)外部人員訪(fǎng)問(wèn)前需要提出書(shū)面申請(qǐng)并獲得批準(zhǔn); 3)外部人員訪(fǎng)問(wèn)被批準(zhǔn)后應(yīng)有專(zhuān)人全程陪同或監(jiān)督,并進(jìn)行全程監(jiān)控錄像; 4)外部人員訪(fǎng)問(wèn)情況應(yīng)登記備案。 b)應(yīng)建立關(guān)于網(wǎng)絡(luò)通道的外部人員訪(fǎng)問(wèn)的安全措施: 1)制定外部人員允許接入受控網(wǎng)絡(luò)訪(fǎng)問(wèn)系統(tǒng)的規(guī)定; 2)外部人員訪(fǎng)問(wèn)前需要提出書(shū)面申請(qǐng)并獲得批準(zhǔn); 3)外部人員訪(fǎng)問(wèn)時(shí)應(yīng)進(jìn)行身份認(rèn)證; 4)應(yīng)根據(jù)外部訪(fǎng)問(wèn)人員的身份劃分不同的訪(fǎng)問(wèn)權(quán)限和訪(fǎng)問(wèn)內(nèi)容; 5)應(yīng)對(duì)外部訪(fǎng)問(wèn)人員的訪(fǎng)問(wèn)時(shí)間進(jìn)行限制; 6)對(duì)外部訪(fǎng)問(wèn)人員對(duì)個(gè)人信息的操作進(jìn)行記錄。 5. 技術(shù)措施 5.1 基本要求 個(gè)人信息處理系統(tǒng)其安全技術(shù)措施應(yīng)滿(mǎn)足GB/T 22239相應(yīng)等級(jí)的要求,按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。 5.2 通用要求 5.2.1 通信網(wǎng)絡(luò)安全 5.2.1.1 網(wǎng)絡(luò)架構(gòu) a)應(yīng)為個(gè)人信息處理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域,并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址; b)個(gè)人信息處理系統(tǒng)應(yīng)作為重點(diǎn)區(qū)域部署,并設(shè)有邊界防護(hù)措施。 5.2.1.2 通信傳輸 a)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中個(gè)人信息的完整性; b)應(yīng)采用密碼技術(shù)保證通信過(guò)程中個(gè)人信息字段或整個(gè)報(bào)文的保密性。 5.2.2 區(qū)域邊界安全 5.2.2.1 邊界防護(hù) a)應(yīng)對(duì)跨越邊界訪(fǎng)問(wèn)通信信息進(jìn)行有效防護(hù); b)應(yīng)對(duì)非授權(quán)設(shè)備跨越邊界行為進(jìn)行檢查或限制。 5.2.2.2 訪(fǎng)問(wèn)控制 應(yīng)在個(gè)人信息處理系統(tǒng)邊界根據(jù)訪(fǎng)問(wèn)控制策略設(shè)置訪(fǎng)問(wèn)控制規(guī)則。 5.2.2.3 入侵防范 應(yīng)在個(gè)人信息處理系統(tǒng)邊界部署入侵防護(hù)措施,檢測(cè)、防止或限制從外部、內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。 5.2.2.4 惡意代碼防范 應(yīng)在個(gè)人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除,并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。 5.2.2.5 安全審計(jì) a)應(yīng)在個(gè)人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì),審計(jì)應(yīng)覆蓋到每個(gè)用戶(hù)、用戶(hù)行為和安全事件; b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功,以及個(gè)人信息的范圍、類(lèi)型、操作方式、操作人、流轉(zhuǎn)雙方及其他與審計(jì)相關(guān)的信息; c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),定期備份并避免受到未預(yù)期的刪除、修改或覆蓋等; d)審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求; e)應(yīng)能夠?qū)h(yuǎn)程訪(fǎng)問(wèn)的用戶(hù)行為、訪(fǎng)問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。 5.2.3 計(jì)算環(huán)境安全 5.2.3.1 身份鑒別 a)應(yīng)對(duì)登錄個(gè)人信息處理系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別,身份鑒別標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換; b)個(gè)人信息處理系統(tǒng)應(yīng)啟用登錄失敗處理功能,采取諸如結(jié)束會(huì)話(huà)、限制非法登錄次數(shù)和自動(dòng)退出等措施; c)個(gè)人信息處理系統(tǒng)進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取措施防止身份鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng); d)個(gè)人信息處理系統(tǒng)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn),密碼技術(shù)應(yīng)符合國(guó)家密碼主管部門(mén)規(guī)范。 5.2.3.2 訪(fǎng)問(wèn)控制 a)應(yīng)對(duì)登錄個(gè)人信息處理系統(tǒng)的用戶(hù)分配賬戶(hù)和權(quán)限; b)個(gè)人信息處理系統(tǒng)應(yīng)重命名或刪除默認(rèn)賬戶(hù),修改默認(rèn)賬戶(hù)的默認(rèn)口令; c)個(gè)人信息處理系統(tǒng)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù),避免共享賬戶(hù)的存在; d)個(gè)人信息處理系統(tǒng)應(yīng)進(jìn)行角色劃分,并授予管理用戶(hù)所需的最小權(quán)限,實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離; e)個(gè)人信息處理系統(tǒng)應(yīng)由授權(quán)主體配置訪(fǎng)問(wèn)控制策略,訪(fǎng)問(wèn)控制策略應(yīng)規(guī)定主體對(duì)客體的訪(fǎng)問(wèn)規(guī)則; f)個(gè)人信息處理系統(tǒng)的訪(fǎng)問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí)或進(jìn)程級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí); g)個(gè)人信息處理系統(tǒng)應(yīng)對(duì)個(gè)人信息設(shè)置安全標(biāo)記,并控制主體對(duì)有安全標(biāo)記資源的訪(fǎng)問(wèn)。 5.2.3.3 安全審計(jì) a)個(gè)人信息處理系統(tǒng)應(yīng)啟用安全審計(jì)功能,并且審計(jì)覆蓋到每個(gè)用戶(hù),應(yīng)對(duì)重要的用戶(hù)行為和重要的安全事件進(jìn)行審計(jì); b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息; c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),進(jìn)行定期備份并避免受到未預(yù)期的刪除、修改或覆蓋等; d)審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求; e)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。 5.2.3.4 入侵防范 a)個(gè)人信息處理系統(tǒng)應(yīng)遵循最小安裝的原則,只安裝需要的組件和應(yīng)用程序; b)個(gè)人信息處理系統(tǒng)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口; c)個(gè)人信息處理系統(tǒng)應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制; d)個(gè)人信息處理系統(tǒng)應(yīng)能夠發(fā)現(xiàn)存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞; e)個(gè)人信息處理系統(tǒng)應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)的入侵行為并進(jìn)行防御,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警; 5.2.3.5 惡意代碼防范和程序可信執(zhí)行 應(yīng)采取免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制對(duì)系統(tǒng)程序、應(yīng)用程序和重要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證,并在檢測(cè)到其完整性受到破壞時(shí)采取恢復(fù)措施。 5.2.3.6 資源控制 a)應(yīng)限制單個(gè)用戶(hù)或進(jìn)程對(duì)個(gè)人信息處理和存儲(chǔ)設(shè)備系統(tǒng)資源的最大使用限度; b)應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余,保證系統(tǒng)的可用性; c)應(yīng)對(duì)重要節(jié)點(diǎn)進(jìn)行監(jiān)視,包括監(jiān)視CPU、硬盤(pán)、內(nèi)存等資源的使用情況; d)應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。 5.2.4 應(yīng)用和數(shù)據(jù)安全 5.2.4.1 身份鑒別 a)個(gè)人信息處理系統(tǒng)應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別,該身份標(biāo)識(shí)應(yīng)具有唯一性,鑒別信息應(yīng)具有復(fù)雜度并要求定期更換; b)個(gè)人信息處理系統(tǒng)應(yīng)提供并啟用登錄失敗處理功能,并在多次登錄后采取必要的保護(hù)措施; c)個(gè)人信息處理系統(tǒng)應(yīng)強(qiáng)制用戶(hù)首次登錄時(shí)修改初始口令,當(dāng)確定信息被泄露后,應(yīng)提供提示全部用戶(hù)強(qiáng)制修改密碼的功能,在驗(yàn)證確認(rèn)用戶(hù)后修改密碼; d)用戶(hù)身份鑒別信息丟失或失效時(shí),應(yīng)采取技術(shù)措施保證鑒別信息重置過(guò)程的安全; e)應(yīng)采取靜態(tài)口令、動(dòng)態(tài)口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上的組合鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別,且其中一種鑒別技術(shù)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。 5.2.4.2 訪(fǎng)問(wèn)控制 a)個(gè)人信息處理系統(tǒng)應(yīng)提供訪(fǎng)問(wèn)控制功能,并對(duì)登錄的用戶(hù)分配賬戶(hù)和權(quán)限; b)應(yīng)重命名或刪除默認(rèn)賬戶(hù),修改默認(rèn)賬戶(hù)的默認(rèn)口令; c)應(yīng)及時(shí)刪除或停用多余的、過(guò)期的賬戶(hù),避免共享賬戶(hù)的存在; d)應(yīng)授予不同賬戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限,在它們之間形成相互制約的關(guān)系; e)應(yīng)由授權(quán)主體配置訪(fǎng)問(wèn)控制策略,訪(fǎng)問(wèn)控制策略規(guī)定主體對(duì)客體的訪(fǎng)問(wèn)規(guī)則; f)訪(fǎng)問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí),客體為文件、數(shù)據(jù)庫(kù)表級(jí)、記錄或字段級(jí); g)個(gè)人信息應(yīng)設(shè)置安全標(biāo)記,控制主體對(duì)有安全標(biāo)記資源的訪(fǎng)問(wèn)。 5.2.4.3 安全審計(jì) a)個(gè)人信息處理系統(tǒng)應(yīng)提供安全審計(jì)功能,審計(jì)應(yīng)覆蓋到每個(gè)用戶(hù),應(yīng)對(duì)重要的用戶(hù)行為和重要的安全事件進(jìn)行審計(jì); b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息; c)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù),定期備份,并避免受到未預(yù)期的刪除、修改或覆蓋等; d)審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求; e)應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。 5.2.4.4 軟件容錯(cuò) a)應(yīng)提供個(gè)人信息的有效性校驗(yàn)功能,保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合個(gè)人信息處理系統(tǒng)設(shè)定要求; b)應(yīng)能夠發(fā)現(xiàn)個(gè)人信息處理系統(tǒng)軟件組件可能存在的已知漏洞,并能夠在充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞; c)應(yīng)能夠在故障發(fā)生時(shí),繼續(xù)提供一部分功能,并能夠?qū)嵤┍匾拇胧?/p> 5.2.4.5 資源控制 a)在通信雙方中的一方在一段時(shí)間內(nèi)未做任何響應(yīng)時(shí),另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話(huà); b)應(yīng)對(duì)個(gè)人信息處理系統(tǒng)的最大并發(fā)會(huì)話(huà)連接數(shù)進(jìn)行限制; c)應(yīng)能夠?qū)蝹(gè)用戶(hù)的多重并發(fā)會(huì)話(huà)進(jìn)行限制。 5.2.4.6 數(shù)據(jù)完整性 a)應(yīng)采取校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)和個(gè)人信息; b)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性,包括但不限于鑒別數(shù)據(jù)和個(gè)人信息。 5.2.4.7 數(shù)據(jù)保密性 a)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)和個(gè)人信息; b)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性,包括但不限于鑒別數(shù)據(jù)和個(gè)人信息。 5.2.4.8 數(shù)據(jù)備份恢復(fù) a)應(yīng)提供個(gè)人信息的本地?cái)?shù)據(jù)備份與恢復(fù)功能,定期對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)測(cè)試,保證數(shù)據(jù)可用性; b)應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地; c)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。 5.2.4.9 剩余信息保護(hù) a)應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除; b)應(yīng)保證存有個(gè)人信息的存儲(chǔ)空間被釋放或重新分配前得到完全清除。 5.3 擴(kuò)展要求 5.3.1 云計(jì)算安全擴(kuò)展要求 a)應(yīng)確保個(gè)人信息在云計(jì)算平臺(tái)中存儲(chǔ)于中國(guó)境內(nèi),如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定; b)應(yīng)使用校驗(yàn)技術(shù)或密碼技術(shù)保證虛擬機(jī)遷移過(guò)程中,個(gè)人信息的完整性,并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施; c)應(yīng)使用密碼技術(shù)保證虛擬機(jī)遷移過(guò)程中,個(gè)人信息的保密性,防止在遷移過(guò)程中的個(gè)人信息泄露。 5.3.2 物聯(lián)網(wǎng)安全擴(kuò)展要求 物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備采集信息回傳應(yīng)采用密碼技術(shù)保證通信過(guò)程中個(gè)人信息的保密性。 6. 業(yè)務(wù)流程 6.1 收集 個(gè)人信息的收集行為應(yīng)滿(mǎn)足以下要求: a)個(gè)人信息收集前,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則向被收集的個(gè)人信息主體公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍等信息; b)個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán),不應(yīng)收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息,不應(yīng)通過(guò)捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能等方式強(qiáng)迫收集個(gè)人信息; c)個(gè)人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議,不應(yīng)超范圍收集; d)不應(yīng)大規(guī)模收集或處理我國(guó)公民的種族、民族、政治觀(guān)點(diǎn)、宗教信仰等敏感數(shù)據(jù); e)個(gè)人生物識(shí)別信息應(yīng)僅收集和使用摘要信息,避免收集其原始信息; f)應(yīng)確保收集個(gè)人信息過(guò)程的安全性: 1)收集個(gè)人信息之前,應(yīng)有對(duì)被收集人進(jìn)行身份認(rèn)證的機(jī)制,該身份認(rèn)證機(jī)制應(yīng)具有相應(yīng)安全性; 2)收集個(gè)人信息時(shí),信息在傳輸過(guò)程中應(yīng)進(jìn)行加密等保護(hù)處理; 3)收集個(gè)人信息的系統(tǒng)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求; 4)收集個(gè)人信息時(shí)應(yīng)有對(duì)收集內(nèi)容進(jìn)行安全檢測(cè)和過(guò)濾的機(jī)制,防止非法內(nèi)容提交。 6.2 保存 個(gè)人信息的保存行為應(yīng)滿(mǎn)足以下要求: a)在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息應(yīng)在境內(nèi)存儲(chǔ),如需出境應(yīng)遵循國(guó)家相關(guān)規(guī)定; b)收集到的個(gè)人信息應(yīng)采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理; c)應(yīng)對(duì)保存的個(gè)人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時(shí)限; d)應(yīng)對(duì)保存的個(gè)人信息在超出設(shè)置的時(shí)限后予以刪除; e)保存信息的主要設(shè)備,應(yīng)對(duì)個(gè)人信息數(shù)據(jù)提供備份和恢復(fù)功能,確保數(shù)據(jù)備份的頻率和時(shí)間間隔,并使用不少于以下一種備份手段: 1)具有本地?cái)?shù)據(jù)備份功能; 2)將備份介質(zhì)進(jìn)行場(chǎng)外存放; 3)具有異地?cái)?shù)據(jù)備份功能。 6.3 應(yīng)用 個(gè)人信息的應(yīng)用應(yīng)滿(mǎn)足以下要求: a)對(duì)個(gè)人信息的應(yīng)用,應(yīng)符合與個(gè)人信息主體簽署的相關(guān)協(xié)議和規(guī)定,不應(yīng)超范圍應(yīng)用個(gè)人信息; 注:經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的個(gè)人信息數(shù)據(jù),可以超出與信息主體簽署的相關(guān)使用協(xié)議和約定,但應(yīng)提供適當(dāng)?shù)谋Wo(hù)措施進(jìn)行保護(hù)。 b)個(gè)人信息主體應(yīng)擁有控制本人信息的權(quán)限,包括: 1)允許對(duì)本人信息的訪(fǎng)問(wèn); 2)允許通過(guò)適當(dāng)方法對(duì)本人信息的修改或刪除,包括糾正不準(zhǔn)確和不完整的數(shù)據(jù),并保證修改后的本人信息具備真實(shí)性和有效性; c)完全依靠自動(dòng)化處理的用戶(hù)畫(huà)像技術(shù)應(yīng)用于精準(zhǔn)營(yíng)銷(xiāo)、搜索結(jié)果排序、個(gè)性化推送新聞、定向投放廣告等增值應(yīng)用,可事先不經(jīng)用戶(hù)明確授權(quán),但應(yīng)確保用戶(hù)有反對(duì)或者拒絕的權(quán)利;如應(yīng)用于征信服務(wù)、行政司法決策等可能對(duì)用戶(hù)帶來(lái)法律后果的增值應(yīng)用,或跨網(wǎng)絡(luò)運(yùn)營(yíng)者使用,應(yīng)經(jīng)用戶(hù)明確授權(quán)方可使用其數(shù)據(jù); d)應(yīng)對(duì)個(gè)人信息的接觸者設(shè)置相應(yīng)的訪(fǎng)問(wèn)控制措施,包括: 1)對(duì)被授權(quán)訪(fǎng)問(wèn)個(gè)人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則,只能訪(fǎng)問(wèn)最少夠用的信息,只具有完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限; 2)對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程,如批量修改、拷貝、下載等; 3)對(duì)特定人員超限制處理個(gè)人信息時(shí)配置相應(yīng)的責(zé)任人或負(fù)責(zé)機(jī)構(gòu)進(jìn)行審批,并對(duì)這種行為進(jìn)行記錄。 e)應(yīng)對(duì)必須要通過(guò)界面(如顯示屏幕、紙面)展示的個(gè)人信息進(jìn)行去標(biāo)識(shí)化的處理。 6.4 刪除 a)個(gè)人信息在超過(guò)保存時(shí)限之后應(yīng)進(jìn)行刪除,經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外; b)個(gè)人信息持有者如有違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息時(shí),個(gè)人信息主體要求刪除其個(gè)人信息的,應(yīng)采取措施予以刪除; c)個(gè)人信息相關(guān)存儲(chǔ)設(shè)備,將存儲(chǔ)的個(gè)人信息數(shù)據(jù)進(jìn)行刪除之后應(yīng)采取措施防止通過(guò)技術(shù)手段恢復(fù); d)對(duì)存儲(chǔ)過(guò)個(gè)人信息的設(shè)備在進(jìn)行新信息的存儲(chǔ)時(shí),應(yīng)將之前的內(nèi)容全部進(jìn)行刪除; e)廢棄存儲(chǔ)設(shè)備,應(yīng)在進(jìn)行刪除后再進(jìn)行處理。 6.5 第三方委托處理 a)在對(duì)個(gè)人信息委托處理時(shí),不應(yīng)超出該信息主體授權(quán)同意的范圍; b)在對(duì)個(gè)人信息的相關(guān)處理進(jìn)行委托時(shí),應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估; c)對(duì)個(gè)人信息進(jìn)行委托處理時(shí),應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件; d)應(yīng)向受托方進(jìn)行對(duì)個(gè)人信息數(shù)據(jù)的使用和訪(fǎng)問(wèn)的授權(quán); e)受托方對(duì)個(gè)人信息的相關(guān)數(shù)據(jù)進(jìn)行處理完成之后,應(yīng)對(duì)存儲(chǔ)的個(gè)人信息數(shù)據(jù)的內(nèi)容進(jìn)行刪除。 6.6 共享和轉(zhuǎn)讓 個(gè)人信息原則上不得共享、轉(zhuǎn)讓。如存在個(gè)人信息共享和轉(zhuǎn)讓行為時(shí),應(yīng)滿(mǎn)足以下要求: a)共享和轉(zhuǎn)讓行為應(yīng)經(jīng)過(guò)合法性、必要性評(píng)估; b)在對(duì)個(gè)人信息進(jìn)行共享和轉(zhuǎn)讓時(shí)應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估,應(yīng)對(duì)受讓方的數(shù)據(jù)安全能力進(jìn)行評(píng)估確保受讓方具備足夠的數(shù)據(jù)安全能力,并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施; c)在共享、轉(zhuǎn)讓前應(yīng)向個(gè)人信息主體告知轉(zhuǎn)讓該信息的目的、規(guī)模、公開(kāi)范圍數(shù)據(jù)接收方的類(lèi)型等信息; d)在共享、轉(zhuǎn)讓前應(yīng)得到個(gè)人信息主體的授權(quán)同意,與國(guó)家安全、國(guó)防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外; e)應(yīng)記錄共享、轉(zhuǎn)讓信息內(nèi)容,將共享、轉(zhuǎn)讓情況中包括共享、轉(zhuǎn)讓的日期、數(shù)據(jù)量、目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行登記; f)在共享、轉(zhuǎn)讓后應(yīng)了解接收方對(duì)個(gè)人信息的保存、使用情況和個(gè)人信息主體的權(quán)利,例如訪(fǎng)問(wèn)、更正、刪除、注銷(xiāo)等; g)當(dāng)個(gè)人信息持有者發(fā)生收購(gòu)、兼并、重組、破產(chǎn)等變更時(shí),個(gè)人信息持有者應(yīng)向個(gè)人信息主體告知有關(guān)情況,并繼續(xù)履行原個(gè)人信息持有者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意。 6.7 公開(kāi)披露 個(gè)人信息原則上不得公開(kāi)披露。如經(jīng)法律授權(quán)或具備合理事由確需公開(kāi)披露時(shí),應(yīng)充分重視風(fēng)險(xiǎn),遵守以下要求: a)事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施; b) 向個(gè)人信息主體告知公開(kāi)披露個(gè)人信息的目的、類(lèi)型,并事先征得個(gè)人信息主體明示同意,與國(guó)家安全、國(guó)防安全、公共安全、公共衛(wèi)生、重大公共利益或與犯罪偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的情形除外; c) 公開(kāi)披露個(gè)人敏感信息前,除6.7 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容; d) 準(zhǔn)確記錄和保存?zhèn)人信息的公開(kāi)披露的情況,包括公開(kāi)披露的日期、規(guī)模、目的、公開(kāi)范圍等; e)承擔(dān)因公開(kāi)披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任; f)不得公開(kāi)披露個(gè)人生物識(shí)別信息和基因、疾病等個(gè)人生理信息; g)不得公開(kāi)披露我國(guó)公民的種族、民族、政治觀(guān)點(diǎn)、宗教信仰等敏感數(shù)據(jù)分析結(jié)果。 7. 應(yīng)急處置 7.1 應(yīng)急機(jī)制和預(yù)案 a)應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,在個(gè)人信息處理過(guò)程中發(fā)生應(yīng)急事件時(shí)具有上報(bào)有關(guān)主管部門(mén)的機(jī)制; b)應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案,包括應(yīng)急處理流程、事件上報(bào)流程等內(nèi)容; c)應(yīng)定期(至少每半年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程,留存應(yīng)急培訓(xùn)和應(yīng)急演練記錄; d)應(yīng)定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)估,修訂完善。 7.2 處置和響應(yīng) a)發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn),應(yīng)采取措施,進(jìn)行整改,消除隱患;發(fā)生安全事件時(shí),應(yīng)及時(shí)向公安機(jī)關(guān)報(bào)告,協(xié)助開(kāi)展調(diào)查和取證工作,盡快消除隱患; b)發(fā)生個(gè)人信息安全事件后,應(yīng)記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn),涉及的個(gè)人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱(chēng),對(duì)其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門(mén); c)應(yīng)對(duì)安全事件造成的影響進(jìn)行調(diào)查和評(píng)估,采取技術(shù)措施和其他必要措施,消除安全隱患,防止危害擴(kuò)大; d)應(yīng)按《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)規(guī)定及時(shí)上報(bào)安全事件,報(bào)告內(nèi)容包括但不限于:涉及個(gè)人信息主體的類(lèi)型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響,已采取或?qū)⒁扇〉奶幹么胧录幹孟嚓P(guān)人員的聯(lián)系方式; e)應(yīng)將事件的情況告知受影響的個(gè)人信息主體,并及時(shí)向社會(huì)發(fā)布與公眾有關(guān)的警示信息。 |
|
|