電信和互聯(lián)網個人信息保護保障能力評估規(guī)范

電信終端產業(yè)協(xié)會發(fā)布I 1 1 1 2 2 2 2 3 3 5 8 9 9 A.2規(guī)范性引用 A.3術語和定義 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定楊驍涵、肖洋、李潔、李汝鑫、劉俊、鄒慶、任資政、劉瑾、1電信和互聯(lián)網個人信息保護保障能力評估規(guī)范GB/T35273-2020信息安全技術個人信息2第三方應用thirdpartyappl括但不限于軟件開發(fā)工具包（SDK）、第三方代碼、組件、腳本、接口、算法模型、小程4縮略語SIM：用戶身份模塊（SubscriberIdentityHTTPS：超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketLay5個人信息保護保障能力評估基本要求5.1評估原則a)目的性原則：評估目的應明確具體，評估范圍應與評估c)全面性原則：評估應當貫穿個人信息全周期，實現(xiàn)對個人信息保護5.2評估架構個人信息保護保障能力評估內容是電信和互聯(lián)網行業(yè)個人信息處理者在處理個人信息時應具備的相關保障能力，包含個人信息處理活動，個人信息處理者投訴、舉報訪問控制與審計投訴、舉報訪問控制與審計查閱、復制、▲v▲v▲信息推送審計與保護技術個人信息處理活動三方管理傳輸刪除提供個人信息處理者的義務個人信息處理活動三方管理傳輸刪除提供個人信息處理者的義務人員管理其提供的服務無直接或無合理關聯(lián)的個人信息，且應符合以a)應制定和公開個人信息保護政策并嚴格遵守，g)收集不滿14周歲未成年人個人信息前，應征得其b)存儲和處理敏感個人信息的服務器應采取隔離4d)存儲個人生物識別信息，應滿足GB/T35273-20206.e)數(shù)據接收方存儲個人信息時，應按合同約宜向用戶提供刪除或匿名化信息推送功能所基于的個人信進行匿名化，消除能夠識別特定個體的所有數(shù)據字段后再進行轉移；c)傳輸敏感個人信息時，應采用加密等安全措施，如使用安全5b)在開發(fā)測試等生產活動完成后，應及時清除相關存儲空間個人信息；信息處理者應采用物理損毀等方式進行銷毀，確保介質上數(shù)據不可c)應按照審批流程授權個人信息接觸崗人員，不應出現(xiàn)未授權的6b)應滿足GB/T352738.7有a)處理個人信息達到國家網信部門規(guī)定數(shù)量的個人信息處理者應任命專門的個人信息保護負責3)應參與個人信息處理活動的重要決策，并直接向公司主要負c)應設立專門的企業(yè)級個人信息保護工作機構支持個人信息保護負責人工作，明確機構工作職d)個人信息管理制度應由個人信息保護負責人或機構制訂，明確制訂程序e)應對相關制度執(zhí)行情況進行記錄，確保實際工c)應定期進行安全培訓、考核，確保人員掌握個人信息安全a)應建立第三方接入管理機制和工作流程，明確必要的風險評估等機制設置接入條c)宜對于第三方接入工具，如代碼、腳本、SDK、小程序等開3)委托處理個人信息、向其他個人信息處理者提供個人信息、公5)其他對個人權益有重大影響的個人d)應在適當?shù)膱鼍昂蜁r機進行評估，包括但不e)應形成個人信息保護影響評估報告并妥善留存，報告內83)所采取的保護措施是否合法、有效并與風險b)應防止非授權訪問、篡改或刪除審計人信息安全事件得到及時有效處置，應急響應機3)啟動所需的資源，如人員、設備、場所、工c)應定期舉行個人信息應急培訓和應d)應配備應急響應所需的資源，確保應急響對可能危害國家安全、公共安全、經濟安全和社會穩(wěn)定的應按相關要求向有關部門報告。調研評估對象制定評估計劃調研評估對象制定評估計劃確定評估對象個人信息處理活動個人信息處理者的義務個人信息處理活動個人信息處理者的義務管理要求當前安全措施情況確認指標符合性情況判定綜合判定評估結果出具評估報告多個關鍵信息系統(tǒng)和關鍵業(yè)務流程，也可以是被評估方的部談等方法確認評估內容的實際保護措施或要求落實情況出具評估結論階段應包括評估報告和結論，根據評估實施內容和具體評估指標相符合情況給出說a)評估對象和范圍、評估依據、評估環(huán)b)各部分實施評估工作可順序開展也可并行開展，無完整的順序關估過程中的步驟，如包含未通過項則評估報告中應包含未通過原因的具際產品表現(xiàn)等和被評估方確定其個人信息處理活動的范圍如被評估產品或服務尚未發(fā)布或已停止服務，應按照產品和服務所處的不同生命周期階段進行評估，并覆蓋之前階段的評估內容。各個階段評估的主要內容可a)具有需求說明書，并包括個人信息清單和專門的個人信息保護需a)適時進行個人信息保護保障能力評估，尤其是產品上線前和個人信息處理過程發(fā)生重大變更b)當個人信息保護保障能力評估指標更新或發(fā)生重大個人信息安全事件后重新進行個人信息保b)在通知截止日期后及時刪除用戶個人檢查評估的流程參考本文件7.2，評估方法參考本文件7.3。個人信息處理者滿足本標準及附錄A所有要求時，有關符合本標準的第三方認證結果才可A.2規(guī)范性引用GB/T1900-2016質量管理體系基礎和術語（ISO9000:201A.3術語和定義A.4組織環(huán)境A.4.1理解個人信息處理者及其環(huán)境個人信息處理者應確定影響其實現(xiàn)個人信息保護預期結果能力的各種外部和內部A.4.2理解相關方需求和期望A.4.3確定個人信息保障能力范圍A.4.4個人信息保護保障能力范圍A.5.1領導作用和承諾A.5.2個人信息保護保障能力方針A.5.3個人信息保護崗位、職責和權限A.6.1策劃輸入在策劃個人信息保障能力所需實現(xiàn)的預期水平時，個人信息處理者應考慮A.4.1所描述的因素、A.6.2策劃輸出護方針一致，可測量，予以溝通，適時更新。個人信息處理者應保留具體目標成文信A.7.2技術A.7.4溝通a)與個人信息主體的溝通，參照：6.1.1b)、c)、f)、g)、h)，6.1.7b)，6.2.3，6.2.12f)b)與公眾溝通，包括：6.2.4，以及定期發(fā)布個人信息保護社會責任報告A.7.5形成文件的信息A.8.1收集A.8.2存儲A.8.3加工A.8.4信息推送A.8.5傳輸A.8.6提供A.8.7刪除A.8.8訪問控制與審計A.8.9第三方管理A.8.10風險及應急處置A.9.1