个人信息安全规范----八、组织的个人信息安全管理要求

本文阅读 10 分钟

对个人信息控制者的要求包括: 1、应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等; 2、应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作; 3、满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作: ①主要业务涉及个人信息处理,且从业人员规模大于200人; ②处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息; ③处理超过10万人的个人敏感信息的。

4、个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于: ①全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任; ②组织制定个人信息保护工作计划并督促落实; ③制定、签发、实施、定期更新个人信息保护政策和相关规程; ④建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略; ⑤开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患; ⑥组织开展个人信息安全培训; ⑦在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为; ⑧公布投诉、举报方式等信息并及时受理投诉举报; ⑨进行安全审计; ⑩与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。

5、应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。

开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。

个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括: 1、所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得); 2、根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况; 3、与个人信息处理活动各环节相关的信息系统、组织或人员。

对个人信息控制者的要求包括: 1、应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险; 2、个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于: ①个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则; ②个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等; ③个人信息安全措施的有效性; ④匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险; ⑤共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响; ⑥发生安全事件时,对个人信息主体合法权益可能产生的不利影响。

3、在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估; 4、在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估; 5、形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平; 6、妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。

个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。

对个人信息控制者的要求包括: 1、应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等; 2、应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制; 3、应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务; 4、应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督; 5、应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求; 6、应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程。

对个人信息控制者的要求包括: 1、应对个人信息保护政策、相关规程和安全措施的有效性进行审计; 2、应建立自动化审计系统,监测记录个人信息处理活动; 3、审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑; 4、应防止非授权访问、篡改或删除审计记录; 5、应及时处理审计过程中发现的个人信息违规使用、滥用等情况; 6、审计记录和留存时间应符合法律法规的要求。

信息来源:GB/T 35273-2020

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/121899623
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复