公安部等发布:《互联网个人信息安全保护指南》

公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布

《互联网个人信息安全保护指南》

为深入贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定了《互联网个人信息安全保护指南》。

现正式发布,供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。

引言

为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。

互联网个人信息安全保护指南

1 范围

本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。

适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

  • GB/T 25069—2010 信息安全技术 术语
  • GB/T 35273—2017 信息安全技术 个人信息安全规范
  • GB/T 22239 信息安全技术 网络安全等级保护基本要求(信息系统安全等级保护基本要求)

3 术语和定义

3.1  个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、***件号码、个人生物识别信息、住址、电话号码等。

[中华人民共和国网络安全法,第七十六条(五)]

注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

3.2  个人信息主体

个人信息所标识的自然人。

[GB/T 35273-2017,定义3.3]

3.3  个人信息持有

对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

3.4  个人信息持有者

对个人信息进行控制和处理的组织或个人。

3.5  个人信息收集

获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。

[GB/T 35273-2017,定义3.5]

3.6  个人信息使用

通过自动或非自动方式对个人信息进行操作,例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。

3.7  个人信息删除

在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。

[GB/T 35273-2017,定义3.9]

3.8  个人信息生命周期

包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。

3.9  个人信息处理系统

处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。

4 管理机制

4.1 基本要求

个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。

4.2 管理制度

4.2.1 管理制度内容

a)  应制定个人信息保护的总体方针和安全策略等相关规章制度和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;

b)   应制定工作人员对个人信息日常管理的操作规程;

c)   应建立个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;

d)   应制定个人信息安全事件应急预案。

4.2.2 管理制度制定发布

a)   应指定专门的部门或人员负责安全管理制度的制定;

b)   应明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;

c)   应明确管理制度的发布范围,并对发文及确认情况进行登记记录。

4.2.3 管理制度执行落实

a)   应对相关制度执行情况进行审批登记;

b)   应保存记录文件,确保实际工作流程与相关的管理制度内容相同;

c)   应定期汇报总结管理制度执行情况。

4.2.4 管理制度评审改进

a)  应定期对安全管理制度进行评审,存在不足或需要改进的予以修订;

b)  安全管理制度评审应形成记录,如果对制度做过修订,应更新所有下发的相关安全管理制度。

4.3 管理机构

4.3.1 管理机构的岗位设置

a)   应设置指导和管理个人信息保护的工作机构,明确定义机构的职责;

b)   应由最高管理者或授权专人负责个人信息保护的工作;

c)   应明确设置安全主管、安全管理各个方面的负责人,设立审计管理员和安全管理员等岗位,清晰、明确定义其职责范围。

4.3.2 管理机构的人员配置

a)   应明确安全管理岗位人员的配备,包括数量、专职还是***情况等;配备负责数据保护的专门人员;

b)   应建立安全管理岗位人员信息表,登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息,审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。

4.4 管理人员

4.4.1 管理人员的录用

a)   应设立专门的部门或人员负责人员的录用工作;

b)   应明确人员录用时对人员的条件要求,对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核;

c)   录用后应签署相应的针对个人信息的保密协议;

d)   应建立管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);

e)   应记录录用人身份、背景和专业资格等,记录审查内容和审查结果等;

f)   应记录录用人录用时的技能考核文档或记录,记录考核内容和考核结果等;

g)   应签订保密协议,其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

4.4.2 管理人员的离岗

a)  人员离岗时应办理调离手续,签署调离后个人信息保密义务的承诺书,防范内部员工、管理员因工作原因非法持有、披露和使用个人信息;

b)  应对即将离岗人员具有控制方法,及时终止离岗人员的所有访问权限,取回其身份认证的配件,诸如***件、钥匙、徽章以及机构提供的软硬件设备;采用生理特征进行访问控制的,需要及时删除生理特征录入的相关信息;

c)  应形成对离岗人员的安全处理记录(如交还***件、设备等的登记记录);

d)  应具有按照离职程序办理调离手续的记录。

4.4.3 管理人员的考核

a)  应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核;

b)  应按照考核周期形成考核文档,被考核人员应包括各个岗位的人员;

c)  应对违反违背制定的安全策略和规定的人员进行惩戒;

d)  应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度,并对考核记录进行记录存档。

4.4.4 管理人员的教育培训

a)  应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训;

b)  应制定安全教育和培训计划文档,明确培训方式、培训对象、培训内容、培训时间和地点等,培训内容包含信息安全基础知识、岗位操作规程等;

c)  应形成安全教育和培训记录,记录包含培训人员、培训内容、培训结果等。

4.4.5 外部人员访问

a)  应建立关于物理环境的外部人员访问的安全措施:

1)  制定外部人员允许访问的设备、区域和信息的规定;

2)  外部人员访问前需要提出书面申请并获得批准;

3)  外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;

4)  外部人员访问情况应登记备案。

b)  应建立关于网络通道的外部人员访问的安全措施:

1)  制定外部人员允许接入受控网络访问系统的规定;

2)  外部人员访问前需要提出书面申请并获得批准;

3)  外部人员访问时应进行身份认证;

4)  应根据外部访问人员的身份划分不同的访问权限和访问内容;

5)  应对外部访问人员的访问时间进行限制;

6)  对外部访问人员对个人信息的操作进行记录。

商务达