電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范

電信終端產(chǎn)業(yè)協(xié)會發(fā)布I 1 1 1 2 2 2 2 3 3 5 8 9 9 A.2規(guī)范性引用 A.3術(shù)語和定義 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定楊驍涵、肖洋、李潔、李汝鑫、劉俊、鄒慶、任資政、劉瑾、1電信和互聯(lián)網(wǎng)個人信息保護保障能力評估規(guī)范GB/T35273-2020信息安全技術(shù)個人信息2第三方應(yīng)用thirdpartyappl括但不限于軟件開發(fā)工具包（SDK）、第三方代碼、組件、腳本、接口、算法模型、小程4縮略語SIM：用戶身份模塊（SubscriberIdentityHTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLay5個人信息保護保障能力評估基本要求5.1評估原則a)目的性原則：評估目的應(yīng)明確具體，評估范圍應(yīng)與評估c)全面性原則：評估應(yīng)當(dāng)貫穿個人信息全周期，實現(xiàn)對個人信息保護5.2評估架構(gòu)個人信息保護保障能力評估內(nèi)容是電信和互聯(lián)網(wǎng)行業(yè)個人信息處理者在處理個人信息時應(yīng)具備的相關(guān)保障能力，包含個人信息處理活動，個人信息處理者投訴、舉報訪問控制與審計投訴、舉報訪問控制與審計查閱、復(fù)制、▲v▲v▲信息推送審計與保護技術(shù)個人信息處理活動三方管理傳輸刪除提供個人信息處理者的義務(wù)個人信息處理活動三方管理傳輸刪除提供個人信息處理者的義務(wù)人員管理其提供的服務(wù)無直接或無合理關(guān)聯(lián)的個人信息，且應(yīng)符合以a)應(yīng)制定和公開個人信息保護政策并嚴(yán)格遵守，g)收集不滿14周歲未成年人個人信息前，應(yīng)征得其b)存儲和處理敏感個人信息的服務(wù)器應(yīng)采取隔離4d)存儲個人生物識別信息，應(yīng)滿足GB/T35273-20206.e)數(shù)據(jù)接收方存儲個人信息時，應(yīng)按合同約宜向用戶提供刪除或匿名化信息推送功能所基于的個人信進行匿名化，消除能夠識別特定個體的所有數(shù)據(jù)字段后再進行轉(zhuǎn)移；c)傳輸敏感個人信息時，應(yīng)采用加密等安全措施，如使用安全5b)在開發(fā)測試等生產(chǎn)活動完成后，應(yīng)及時清除相關(guān)存儲空間個人信息；信息處理者應(yīng)采用物理損毀等方式進行銷毀，確保介質(zhì)上數(shù)據(jù)不可c)應(yīng)按照審批流程授權(quán)個人信息接觸崗人員，不應(yīng)出現(xiàn)未授權(quán)的6b)應(yīng)滿足GB/T352738.7有a)處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)任命專門的個人信息保護負(fù)責(zé)3)應(yīng)參與個人信息處理活動的重要決策，并直接向公司主要負(fù)c)應(yīng)設(shè)立專門的企業(yè)級個人信息保護工作機構(gòu)支持個人信息保護負(fù)責(zé)人工作，明確機構(gòu)工作職d)個人信息管理制度應(yīng)由個人信息保護負(fù)責(zé)人或機構(gòu)制訂，明確制訂程序e)應(yīng)對相關(guān)制度執(zhí)行情況進行記錄，確保實際工c)應(yīng)定期進行安全培訓(xùn)、考核，確保人員掌握個人信息安全a)應(yīng)建立第三方接入管理機制和工作流程，明確必要的風(fēng)險評估等機制設(shè)置接入條c)宜對于第三方接入工具，如代碼、腳本、SDK、小程序等開3)委托處理個人信息、向其他個人信息處理者提供個人信息、公5)其他對個人權(quán)益有重大影響的個人d)應(yīng)在適當(dāng)?shù)膱鼍昂蜁r機進行評估，包括但不e)應(yīng)形成個人信息保護影響評估報告并妥善留存，報告內(nèi)83)所采取的保護措施是否合法、有效并與風(fēng)險b)應(yīng)防止非授權(quán)訪問、篡改或刪除審計人信息安全事件得到及時有效處置，應(yīng)急響應(yīng)機3)啟動所需的資源，如人員、設(shè)備、場所、工c)應(yīng)定期舉行個人信息應(yīng)急培訓(xùn)和應(yīng)d)應(yīng)配備應(yīng)急響應(yīng)所需的資源，確保應(yīng)急響對可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的應(yīng)按相關(guān)要求向有關(guān)部門報告。調(diào)研評估對象制定評估計劃調(diào)研評估對象制定評估計劃確定評估對象個人信息處理活動個人信息處理者的義務(wù)個人信息處理活動個人信息處理者的義務(wù)管理要求當(dāng)前安全措施情況確認(rèn)指標(biāo)符合性情況判定綜合判定評估結(jié)果出具評估報告多個關(guān)鍵信息系統(tǒng)和關(guān)鍵業(yè)務(wù)流程，也可以是被評估方的部談等方法確認(rèn)評估內(nèi)容的實際保護措施或要求落實情況出具評估結(jié)論階段應(yīng)包括評估報告和結(jié)論，根據(jù)評估實施內(nèi)容和具體評估指標(biāo)相符合情況給出說a)評估對象和范圍、評估依據(jù)、評估環(huán)b)各部分實施評估工作可順序開展也可并行開展，無完整的順序關(guān)估過程中的步驟，如包含未通過項則評估報告中應(yīng)包含未通過原因的具際產(chǎn)品表現(xiàn)等和被評估方確定其個人信息處理活動的范圍如被評估產(chǎn)品或服務(wù)尚未發(fā)布或已停止服務(wù)，應(yīng)按照產(chǎn)品和服務(wù)所處的不同生命周期階段進行評估，并覆蓋之前階段的評估內(nèi)容。各個階段評估的主要內(nèi)容可a)具有需求說明書，并包括個人信息清單和專門的個人信息保護需a)適時進行個人信息保護保障能力評估，尤其是產(chǎn)品上線前和個人信息處理過程發(fā)生重大變更b)當(dāng)個人信息保護保障能力評估指標(biāo)更新或發(fā)生重大個人信息安全事件后重新進行個人信息保b)在通知截止日期后及時刪除用戶個人檢查評估的流程參考本文件7.2，評估方法參考本文件7.3。個人信息處理者滿足本標(biāo)準(zhǔn)及附錄A所有要求時，有關(guān)符合本標(biāo)準(zhǔn)的第三方認(rèn)證結(jié)果才可A.2規(guī)范性引用GB/T1900-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語（ISO9000:201A.3術(shù)語和定義A.4組織環(huán)境A.4.1理解個人信息處理者及其環(huán)境個人信息處理者應(yīng)確定影響其實現(xiàn)個人信息保護預(yù)期結(jié)果能力的各種外部和內(nèi)部A.4.2理解相關(guān)方需求和期望A.4.3確定個人信息保障能力范圍A.4.4個人信息保護保障能力范圍A.5.1領(lǐng)導(dǎo)作用和承諾A.5.2個人信息保護保障能力方針A.5.3個人信息保護崗位、職責(zé)和權(quán)限A.6.1策劃輸入在策劃個人信息保障能力所需實現(xiàn)的預(yù)期水平時，個人信息處理者應(yīng)考慮A.4.1所描述的因素、A.6.2策劃輸出護方針一致，可測量，予以溝通，適時更新。個人信息處理者應(yīng)保留具體目標(biāo)成文信A.7.2技術(shù)A.7.4溝通a)與個人信息主體的溝通，參照：6.1.1b)、c)、f)、g)、h)，6.1.7b)，6.2.3，6.2.12f)b)與公眾溝通，包括：6.2.4，以及定期發(fā)布個人信息保護社會責(zé)任報告A.7.5形成文件的信息A.8.1收集A.8.2存儲A.8.3加工A.8.4信息推送A.8.5傳輸A.8.6提供A.8.7刪除A.8.8訪問控制與審計A.8.9第三方管理A.8.10風(fēng)險及應(yīng)急處置A.9.1