扫码微信咨询
-
体系认证
- ISO21434 道路车辆-信息安全工程体系
- ITSS运行维护标准
- ITSS咨询设计标准
- ITSS数据中心标准
- ITSS云计算服务能力标准
- CMMI软件能力成熟度评估
- ISO27701隐私信息管理
- ISO27001信息安全管理
- ISO22301业务连续性管理
- ISO20000信息技术服务管理
- ISO27017云服务信息安全
- ISO27018公有云隐私安全
- ISO27040存储安全管理体系
- ISO9001质量管理
- ISO14001环境管理
- ISO45001职业健康安全管理
- ISO29151个人身份信息保护指南
- ISO38505数据治理安全管理
- 商品售后服务评价体系
- 知识产权管理体系
- ISO27799健康信息安全管理体系
- GB/T35273 个人信息安全规范认证
- 资质认定
- 管理培训
- 解决方案
个人信息安全基本原则有哪些
2021-11-18
1567
随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。今天擎标就带大家了解一下,关于标准GB/T 35273-2020《信息安全技术个人信息安全规范》里所提到的,个人信息安全基本原则。
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a) 权责一致——采取技术和其他必要的措施保障个人信息的安全,对其个人信息
处理活动对个人信息主体合法权益造成的损害承担责任;
b) 目的明确——具有明确、清晰、具体的个人信息处理目的;
c) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f) 确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g) 主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
企业在了解个人信息安全基本与原则的基础上,更需要了解关于组织的个人信息安全管理要求,此项要求涉及到7个方向:
1.明确责任部门与人员
2.个人信息安全工程如何开展
3.个人信息处理活动记录的要求
4.开展个人信息安全影响评估的内容
5.企业数据安全能力的判断
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3) 处理超过10万人的个人敏感信息的。
d) 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 组织制定个人信息保护工作计划并督促落实;
3) 制定、签发、实施、定期更新个人信息保护政策和相关规程;
4) 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5) 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6) 组织开展个人信息安全培训;
7) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8) 公布投诉、举报方式等信息并及时受理投诉举报;
9) 进行安全审计;
10) 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
e) 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
以上是擎标为大家整理的关于最新《信息安全技术个人信息安全规范》的相关内容,大家如果对相关标准有更多的想法和疑问可以留言或者咨询擎标客服人员,后续我们会持续更新更多行业最新标准资讯,
个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:
a) 权责一致——采取技术和其他必要的措施保障个人信息的安全,对其个人信息
处理活动对个人信息主体合法权益造成的损害承担责任;
b) 目的明确——具有明确、清晰、具体的个人信息处理目的;
c) 选择同意——向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意;
d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;
e) 公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;
f) 确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;
g) 主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。
企业在了解个人信息安全基本与原则的基础上,更需要了解关于组织的个人信息安全管理要求,此项要求涉及到7个方向:
1.明确责任部门与人员
2.个人信息安全工程如何开展
3.个人信息处理活动记录的要求
4.开展个人信息安全影响评估的内容
5.企业数据安全能力的判断
6.人员管理与培训
7.安全审计
那么,接下来我们来了解下个人信息安全管理要求里,如何明确责任部门与人员。对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b) 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1) 主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3) 处理超过10万人的个人敏感信息的。
d) 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 组织制定个人信息保护工作计划并督促落实;
3) 制定、签发、实施、定期更新个人信息保护政策和相关规程;
4) 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5) 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6) 组织开展个人信息安全培训;
7) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8) 公布投诉、举报方式等信息并及时受理投诉举报;
9) 进行安全审计;
10) 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
e) 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
以上是擎标为大家整理的关于最新《信息安全技术个人信息安全规范》的相关内容,大家如果对相关标准有更多的想法和疑问可以留言或者咨询擎标客服人员,后续我们会持续更新更多行业最新标准资讯,