个人信息保护体系建设方案1.docx
- 文档编号:30800398
- 上传时间:2023-10-27
- 格式:DOCX
- 页数:25
- 大小:371.31KB
个人信息保护体系建设方案1.docx
《个人信息保护体系建设方案1.docx》由会员分享,可在线阅读,更多相关《个人信息保护体系建设方案1.docx(25页珍藏版)》请在冰豆网上搜索。
个人信息保护体系建设方案
1.总述
1.1.现状
“‘十四五’时期是我国全面建成小康社会、实现第一个百年奋斗目标之后,乘势而上开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军的第一个五年。
”建设数字化中国是实现我国全面建成小康社会的重要机遇,在这一过程中保护数据要素的安全,保护个人信息安全是其中重要的一个部分。
在一段时间里,由于我国个人信息保护立法不健全,民众的个人信息保护意识不强,很多人都有频繁的销售电话、短信侵害经历,更有甚者遭遇到了电信诈骗受到经济损失甚至失去生命。
为此我国在2003年启动了《个人信息保护》的立法程序,随后《刑法修正案(七)》、《侵权责任法》等法律法规从刑法、侵权责任等角度明确了个人信息保护要求。
2017年《中华人民共和国网络安全法》定义了个人信息的概念,提出了个人信息保护的基本要求,随后《个人信息安全规范》、《个人信息出镜安全评估办法(征求意见稿)》、《中华人民共和国个人信息保护法(草案)》等法律、法规和标准相继推出,个人信息安全保护的工作正在逐步落实。
这也对组织提出个人信息保护的要求。
个人信息保护涉及了合规、法务和网络安全等多种内部角色,要协调、组织好各项目工作,需要以体系化的思路,工程化的方法,统筹管理各方面的工作。
目前的网络安全管理已逐渐成熟,各类组织已根据等级保护要求或信息安全管理体系初步建立起适合于自身业务发展的网络安全管理框架。
当我们需要建立个人信息保护体系时,完全抛弃已有的网络安全管理经验是不明智的,借鉴、补充、优化已有的安全管理经验,才是尽快建立起个人信息保护能力的最佳方案。
个人信息安全保护体系正是在这种情况下产生的。
1.2.依据
《中华人民共和国个人信息保护法》
《中华人民共和国网络安全法》
《个人信息出境安全评估办法(征求意见稿)》
《常见类型移动互联网应用程序必要个人信息范围规定》
《儿童个人信息网络保护规定》
《GB/T35273-2020信息安全技术个人信息安全规范》
《GB/T39335-2020信息安全技术个人信息安全影响评估指南》
《GB/T34978-2017信息安全技术移动智能终端个人信护技术要求》
《GB/T22239-2019信息安全技术网络安全等级保护基本要求》
《GB/T37988-2019信息安全技术数据安全能力成熟度模型》
《GB/T37964-2019信息安全技术个人信息去标识化指南》
《GB/T20984-2007信息安全技术信息安全风险评估规范》
《网络安全标准实践指南一移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引》
《网络安全标准实践指南一移动互联网应用程序(App)系统权限申请使用指南》
《网络安全标准实践指南一移动互联网应用程序)APP)个人信息保护常见问题及处置指南》
《网络安全标准实践指南一移动互联网应用程序(App)收集使用个人信息自评估指南》
《IS0/IEC27001-2013信息技术安全技术信息安全管理体系要求》
《IS0/IEC27002-2013信息技术安全技术信息安全控制实用规则》
《ISO/IEC27701-2019隐私信息管理ISO/IEC27001和ISO/IEC27002R扩展-要求和准则》
OS0/IECE29100-2011信息技术安全技术隐私框架》
OS0/IECE29151-2017信息技术安全技术保护可辨识个人资料的工作守则》
1.3.相关术语定义
>个人信息
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息
>个人敏感信息
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
>个人信息处理
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
>个人信息处理者
是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
>自动化决策
是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
>去标识化
是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
>匿名化
是指个人信息经过处理无法识别特定自然人且不能复原的过程。
2.个人信息安全保护体系建设需求
2.1.合规性需求
>《中华人民共和国个人信息保护法》
我国境内的个人信息处理者及处理我国个人信息的境外个人信息处理者应当承担个人信息保护的义务,采用必要措施确保处理个人信息的活动符合法规、行政法规的规定,并采取有效措施保护个人合法权益,保护个人信息不被窃取、篡改和删除。
>《中华人民共和国网络安全法》、《中华人民共和国民法典》
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
>《GB/T35273-2020信息安全技术个人信息安全规范》
个人信息安全控制者应当遵循“权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与”的原则。
在个信息的生命周期中,通过明确个人信息管理要求和技术要求,为提供个人信息保护。
2.2.风险控制需求
出于审慎经营、声誉维护、品牌建立的目的,组织需要站在比合规要求更高的角度开展个人信息处理活动,通过风险管理,尽可能的降低由于处理个人信息给组织带来的不利影响。
3.个人信息安全保护体系设计
3.1.个人信息安全保护体系建设三大内容
个人信息保护可分为个人信息合规合法使用、个人权利响应、个人信息安全保护要求三个部分。
个人信息合规合法使用的主要要求包括,遵循合法、正当、必要和诚信原则等原则,限制对个人信息的对收集、使用。
个人权利响应主要指个人信息处理者应当提供一定的渠道响应个人信息处理者提出的查询、修改、删除、撤回授权等要求,以保护个人的合法权利。
个人信息安全保护是指通过对基础设施、网络设备、主机环境、应用系统、数据库、终端的等个人信息运行的环境进行保护,实现个人信息机密性、完整性可用性。
三个主要内容之间互有关联,响应个人权利和个人信息安全保护都是为了实现个人信息合规合法的使用。
2.3.借鉴ISO/ICE27701与ISO/IEC27001体系
个人信息安全保护体系是一个综合性的安全防护体系,是在网络安全防护体系上的扩展和延伸。
IS0/IEC27001是国际上公认的网络安全管理最佳实践,可帮助组织在最快时间内搭建起较为全面且具有持续生命力的管理体系,通过对IS0/IEC27002中部分安全控制项进行调整、补充,完善传统安全中的个人信息保护措施,推动组织管好、用好、保护好个人信息,实现个人信息安全。
IS0/ICE27701是IS0/IEC27001和IS0/IEC27002的隐私扩展,旨在帮助组织机构保护和控制所处理的个人信息。
通过下图,我们可以看出他们之间的关系。
।
图片引自《基于ISOIEC27701的隐私信息管理体系(PIMS)实施探讨》
ISO/IEC27701引用了ISO/IEC29011隐么框架,对ISO/IEC27001的要求和控制措施进行了扩展。
2.4.个人信息安全保护体系建立的目标
建立个人信息安全保护体系,可以达到如下目标:
a)以体系化方式梳理组织在个人信息保护方面应当承担的职责,满足国家个人信息保的要求
b)将个人信息保护体系与已的安全管理体系有机融合,并在产品、服务或项目的最初阶段设计并实现个人信息保护要求;
c)针对个人信息安全保护的具体要求,完善网络安全防护策略;
d)提高组织内部个人信息安全意识。
4.个人信息安全保护体系建设
4.1.整体思路
个人信息安全管理体系建设主要通过三步走来实现。
第一步,了解组织内外环境对个人信息保护的要求,以此作为输入建立最基本个人信息保护基线。
了解组织目前对收集、处理、使用个人信息的现状,包括涉及个人信息的业务、个人信息、个人信息的使用情况针及个人信息处理环境的安全保护状态等。
通过现状结合个人保护基线识别风险,对个人信息安全影响进行评估,最终汇总得出个人信息安全风险综合分析。
第二步,根据个人信息安全面临的风险和问题,从优化个人信息组织、职责,完善安全体系文档,和设计安全技术架构入手建设个人信息安全管理体系。
第三步,持续的运行个人信息安全管理体系,定期进行风险分析,识别组织当前面临的风险,并采用有效控制风险。
组织亦可选择通过ISO/IEC27701体系认证。
4.2.组织环境
5.2.1.了解个人信息及组织个人信息保护环境
个人信息安全管理体系与信息安全管理体系最大区别在于,信息安全管理体系中一但发生信息安全事件,组织是信息安全事件的受害者,它主要保护的是组织的信息资产。
个人信息安全管理体系中一但发生个人信息安全事件,除组织外,个人是事件最大的受害者。
个人信息安全管理体系主要保护的是个人信息。
个人信息安全管理体系中,组织是个人信息处理者、个人信息处理者的角色。
因此组织的内部环境和外部要求对个人信息安全管理体系都有着不同的要求。
组织需要考虑的内部环境至少包括以下内容:
>组织业务范围内涉及个人信息的业务;
>组织目前处理的个人信息及敏感个人信息;
>组织目前个人依靠处理的环节;
>组织内部涉及个人信息安全管理的组织架构;
>组织内部涉及个人信息安全的应用系统;
>组织内部人员个人信息安全素养;
>组织内部涉及个人的安全管理要求;
>组织业务涉及个人信息及个人信息的敏感度;
>组织业务对个人信息的收集、使用等现状和要求。
组织需要考虑的外部环境至少包括以下内容:
>涉及个人信息的业务的所在区域的行业、监管机构、法律法规对个人信息保护有哪些要求;
>涉及个人信息的业务的所在区域的治政环境、社会环境、文化习惯等对个人信息保护有哪些影响;
>新技术对个人信息保护有哪些影响。
>组织是否与第三方共同分享、使用个人信息;
>第三方个人信息保护的能力。
6.2.2.个人信息保护需求
了解组织环境后,收集整理目前相关方对组织的安全需要和期望。
相关方包括组织涉及个人信息的业务的所在区域的行业、监管机构、法律法规要求、第三方机构对组织个人信息安全管理要求、个人信息安全主体对个人信息安全保护的要求等。
结合我国个人信息安全保现状,下文整理出部分我国个人信息保护要求。
>《中华人民共和国网络安全法》
>《中华人民共和国民法典》
>《个人信息出境安全评估办法(征求意见稿)》
>《中华人民共和国个人信息保护法》
>《常见类型移动互联网应用程序必要个人信息范围规定》
>《儿童个人信息网络保护规定》
>《GB/T35273-2020信息安全技术个人信息安全规范》
>《GB/T39335-2020信息安全技术个人信息安全影响评估指南》
>《GB/T34978-2017信息安全技术移动智能终端个人信护技术要求》
>《GB/T22239-2019信息安全技术网络安全等级保护基本要求》
>《GB/T37988-2019信息安全技术数据安全能力成熟度模型》
>《GB/T37964-2019信息安全技术个人信息去标识化指南》
>《GB/T20984-2007信息安全技术信息安全风险评估规范》
>《网络安全标准实践指南一移动互联网应用程序(App)中的第三方软
件开发工具包(SDK)安全指引》
>《网络安全标准实践指南一移动互联网应用程序(App)系统权限申请使
用指南》
>《网络安全标准实践指南一移动互联网应用程序)APP)个人信息保护常见问题及处置指南》
>《网络安全标准实践指南一移动互联网应用程序(App)收集使用个人信
息自评估指南》
>《信息安全技术人脸识别数据安全要求(征求意见稿)》
>《信息安全技术移动互联网应用程度(APP)个人信息安全测评规范(征求意见稿)》
>《信息安全技术移动互联网应用程序(APP)SDK安全指南(征求意见
稿)》
>《信息安全技术个人信息去标识化效果分级评估规范(征求意见稿)》
>《信息安全技术个人信息告知同意指南(征求意见稿)》
7.2.3.个人信息安全管理体系范围
个人信息安全管理体系范围应当包括组织所涉及的个人信息业务的范围。
当组织将个人信息外包至第三方时,应对第三方的个人信息保护活动进行监督和审计。
4.3.个人信息安全影响评估
个人信息安全影响评估是在对个人信息、个人信息处理流程、个人信息处理环境进行风险识别和分析后,得出个人权益影响程度和安全事件可能性程度,最终最终得出个人信息安全影响评估的结果。
4.3.1.数据分析
4.3.1.1.梳理个人信息处理流程
首先对业务、信息系统及处理流程中处理的个人信息进行梳理,整理完成个人信息清单。
个人信息清单是个人信息管理的基础,清单可以以处理数据的活动为主线记录个人信息处理的各种主要信息。
包括数据类型、个人、个人信息收集、处理的目的、个人信息处理的合法事由,个人信息的控制者、个人信息处理者、是否涉及第三方共享、是否涉及跨境数据转移等信息从收集的数据中进行整理。
除业务处理活动,也可以以场景、数据特性等为主线对个人信息进行梳理。
基于活动/场景/特性或组件的个人信息映射表示例
4.3.1.2.梳理个人信息生命周期
安全管理与个人信息能否安全可靠使用密切相关,在数据分析阶段,应以数据处理活动(数据处理流程)为主线,梳理个人信息生命周期活动的安全管理情况。
个人信息生命周期安全管理表
数据映射分析可以帮助了解各类个人信息处理活动的具体场景,为后续影响分析和评估做好基础。
在数据分析过程中,需考虑已下线系统、企业收购、并购及全球化扩张等情况,对个人信息处理、使用等阶段的影响。
4.3.2.风险识别
4.3.2.1.个人信息处理活动风险识别
个人信息处理流程风险主要集中在流程设置不符合合规要求,主要集中在个人信息采集、处理和使用三个阶段,其它阶段也有部分涉及。
根据《中华人民共和国网络安全法》、《GB/T35273-2020信息安全技术个人信息安全规范》、《中华人民共和国个人信息保护法(草案)》等法律、法律和标准的要求,个人信息处理应遵循权责一致、目的明确、选择同意、最小必要、公开透明、确保安全及主体参与的原则。
违反上述原则的行为均有可能引发合规问题或影响个人权益。
个人信息处理流程中主要存在的风险点见下表所示:
1)
是否准确识别个人敏感信息
2)
收集个人信息的目的是否正当、合法
3)
获取个人信息是否得到正式授权(包括从第三方处获得)
4)
是否所有对个人信息的处理活动均征得用户同意
5)
告知用户的方式和内容是否友好可达
6)
是否超范围收集个人信息
7)
是否强迫或诱导提供个人信息
8)
变更个人信息使用目的是否取得个人同意
9)
是否提供有效的个人参与机制,如查询、更正、撤回同意等
10)
是否无根据的限制个人控制其个人信息的行为
11)
接收数据的第三方是否会变更个人信息使用的目的
12)
个人信息的保存时间是否最小化
13)
对用户画像的使用是否进行限制,是否精确定位到个人
14)
是否为个性化展示提供用户可控制、退出的或关闭的机制
15)
匿名化、去标识化机制是否有效
16)
是否对匿名化、去标识化的数据进行关联分析,以重新识别个人信息
17)
是否过多的追踪或监视个人行为
18)
是否建立了个人信息安全事件的处置机制
19)
是否提供有效的投诉和维权渠道
20)
向第三方共享、转让个人信息是否取得个人同意
21)
是否发布或散播不准确的或不完整的数据
22)
其他个人信息处理流程的规范性
432.2.网络安全风险识别
网络安全风险识别通过资产识别、威胁识别、脆弱性识别和安全措施识别综合判官网络安全风险及其风险影响。
网络安全风险识别后针对涉及个人信息处理的网络环境和技术主要关注:
1)
存储或处理个人信息的网络环境或信息系统是否通过等级保护测评
2)
处理个人信息的信息系统与其它系统交互过程中是否可以保障数据的安全传输。
3)
是否采取了严格的身份鉴别、访问控制措施
4)
是否采取了边界防护措施,防止数据泄露
5)
是否监测和记录网络运行状态,是否标记、分析个人信息在内部或与第三方交互时的状态,及时发现异常流量和违规使用情况
6)
是否采取加密技术保护传输、存储过程的数据
7)
是否对个人信息收集、存储、传输、使用、共享等各阶段的活动进行审计,并对异常操作行为报警
8)
是否对数据存储介质加强安全管理
9)
是否具备数据备份和恢复的能力
10)
是否对应用系统中使用SDK的安全性进行评估,不使用安全性较低的SDK或对SDK升级后再使用
11)
其它必要的网络安全技术保障措施,如防病毒、配置管理、漏洞管理、事件管理、应急处理、定期安全检查等
4.3.23管理机制风险识别
根据《中华人民共和国网络安全法》、《GB/T35273-2020信息安全技术个人信息安全规范》、《中华人民共和国个人信息保护法(草案)》等法律、法律和标准的要求,个人信息处理者有责任和义务保护其收集和使用的个人信息。
为具备保护个人信息的能力,个人信息处理者建立个人信息保护机制,包括明确责任部门与人员,指定其职责,建立个人信息安全工程度,开展个人信息安全影响评估,对人员进行培训和教育等等。
在管理机制中可引发风险的行为参见下表:
1)
是否建立个人信息保护机构(或任命个人),相关人员是否由具有相关管理工作经历和个人信息保护专业知识的人员担任
2)
是否依据业务安全需求,制定并执行个人信息安全管理的方针和策略
3)
是否制定个人信息处理各环节的安全管理制度
4)
是否与从事个人信息处理岗位的相关人员签署保密协议,对有条件大量接触个人敏感信息的人员进行背景审查
5)
是否明确涉及个人信息处理的岗位的安全职责
6)
是否对个人信息处理岗位上的人员进行专业培训和考核,保证其了解网络安全要求、隐私政策
7)
是否对可能访问个人信息的外部服务人员进行管理,包括签定协议、进行监督等
8)
是否与第三方签署有约束力的合同文件,约束第三方保护个人信息
9)
是否定期对第三方处理个人信息的行为进行检查、审计
10)
其它管理要求
在识别管理机制时,需要考虑组织业务特点和规模及当前安全态势对个人信
息安全的影响。
针对业务和当前安全态势,主要考虑如下内容:
1)
业务对个人信息处理的依赖性
2)
业务处理或可能处理个人信息的数量、频率、用户规模、用户峰会等
3)
是否曾发生过个人信息安全事件
4)
个人信息保护相关执法监管动态
5)
近期遭受网络攻击或发生安全事件的情况
6)
近期收到过公开发布的安全相关的警示信息
4.3.3.风险分析
风险识别阶段是判断安全事件发生的可能性的过程。
根据《GB/T39335-2020信息安全技术个人信息安全影响评估指南》中建议,可使用下表判定准则判断安全事件发生可能性。
风险识别和分析最终结果如下表所示。
4.3.4.个人权益影响分析
个人权益影响分析是分析特定个人信息处理活动是否对个人合法权益产生影响,以及可能产生何种影响。
在进行个人权益影响分析时需要是否会限制个人自主决定权、是否会引发差别待遇、个人名誉是否受损或遭受精神压力以及个人人身财产是否受损这四个维度进行分析。
>限制个人自主决定权:
例如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个人信息、无法选择拒绝个性化广告推送、被蓄意推送影响个人价值观判断的资讯等;
>引发差别性待遇,例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视,因个人消费习惯等信息的滥用而对个人公平交易权造成损害等;
>个人名誉受损或遭受精神压力,例如被他人冒用身份、公开不愿为人知的习惯、经历等,被频繁骚扰、监视追踪等;
>人身财产受损:
例如引发人身伤害、资金账户被盗、遭受诈骗、勒索等。
个人权益影响分析过程以数据分析和风险识别的结果为基础,分析对个人信息的处理过程中或管理过程中存在的风险,是否会影响个人权益,并判断对个人影响权益程度的过程。
下表为个人权益影响程度的划分表。
当存在一个风险时,应清晰的描述该风险,说明现状及可能产生的影响,分析该风险影响到个人权益维度(是否会限制个人自主决定权、是否会引发差别待遇、个人名誉是否受损或遭受精神压力以及个人人身财产是否受损)和影响程度,最后说明风险产生的原因或存在的问题,为后续风险的处置和整改提供依据。
个人权益影响分析如下表所示。
4.3.5.安全风险综合分析
综合考虑安全事件发生的可能性和个人权益影响程度两个因素,综合分析得出个人信息处理活动的安全风险等级。
完成评估后编写《个人信息安全影响评估报告》评估报告内容包括,个人信息保护专员审批页面、评估报告适用范围、实施评估及撰写报告人员信息,参考的依据、个人信息影响评估对象(明确涉及的个人敏感信息)、评估内容、涉及的相关方、风险分析过程、个人权益影响分析结果、综合风险分析、风险处置建议等等。
4.4.体系建设
4.4.1. 个人信息安全管理体系组织架构
组织应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
满足下列条件时,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1)主要业务涉及个人信息处理,且从业人员规模大于200人;
2)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3)处理超过10万人的个人敏感信息的。
个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2)组织制定个人信息保护工作计划并督促落实;
3)制定、签发、实施、定期更新个人信息保护政策和相关规程;
4)建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6)组织开展个人信息安全培训;
7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8)公布投诉、举报方式等信息并及时受理投诉举报;
根据《GB/T35273-2020信息安全技术个人信息安全规范》要求,组织作为个人信息处理者应当明确其法定代表人或主要负责人对个人信息安全负全面领导责任。
9)进行安全审计;
10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
4.4.2. 个人信息保护管理策略
4.4.2.1. 个人信息生命周期安全策略
根据《GB/T35273信息安全技术个人信息安全规范
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人信息 保护 体系 建设 方案