返回
信息安全技术公共及商用服务信息系统个人信息保护指南

信息安全技术公共及商用服务信息系统个人信息保护指南

ID:25412030

大小:66.69 KB

页数:4页

时间:2018-11-20

信息安全技术公共及商用服务信息系统个人信息保护指南_第1页
信息安全技术公共及商用服务信息系统个人信息保护指南_第2页
信息安全技术公共及商用服务信息系统个人信息保护指南_第3页
信息安全技术公共及商用服务信息系统个人信息保护指南_第4页
资源描述:

《信息安全技术公共及商用服务信息系统个人信息保护指南》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全技术公共及商用服务信息系统个人信息保护指南随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,制定本指导性技术文件。  信息安全技术公共及商用服务信息系统个人信息保护指南  1范围  本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。  本指导性技术文件适用于指导除政府机关

2、等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。  2规范性引用文件  下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。  GB/T20269-2006信息安全技术信息系统安全管理要求  GB/Z20986-2007信息安全技术信息安全事件分类分级指南  3术语和定义  GB/T20269-2006和GB/Z20986-2007中界定的以及下

3、列术语和定义适用于本技术性指导文件。  3.1  信息系统informationsystem  即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。  3.2  个人信息personalinformation  可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。  3.3  个人信息主体subjectofpersona

4、linformation  个人信息指向的自然人。  3.4  个人信息管理者administratorofpersonalinformation  决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。  3.5  个人信息获得者receiverofpersonalinformation  从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。  3.6  第三方测评机构thirdpartytestingandevaluationagency  

5、独立于个人信息管理者的专业测评机构。  3.7  个人敏感信息personalsensitiveinformation  一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。  3.8  个人一般信息personalgeneralinformation  除个人敏感信息以外的个人信息。  3.9  个人信息处理personalinforma

6、tionhandling  处置个人信息的行为,包括收集、加工、转移、删除。  3.10  默许同意tacitconsent  在个人信息主体无明确反对的情况下,认为个人信息主体同意。  3.11  明示同意expressedconsent  个人信息主体明确授权同意,并保留证据。  4个人信息保护概述  4.1角色和职责  4.1.1综述  信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。  4.1.2个人信息主体  在提供

7、个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。  4.1.3个人信息管理者  负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信

8、息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。  管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。  接受

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。