信息安全 个人信息保护规范-2016

ICS35.020

L 70 DB21 辽宁省地方标准

DB21/T 1628.1—2016

代替DB21/T 1628.1-2012

信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection

2016-09-27发布2016-11-27实施

目次

前言................................................................................IV 引言.................................................................................V

1 范围 (1)

2 规范性引用文件 (1)

3 术语、定义和缩略语 (1)

4 个人信息生命周期 (4)

5 个人信息主体权利 (4)

6 个人信息管理者 (4)

7 个人信息管理 (5)

8 管理机制 (7)

9 个人信息获取 (10)

10 个人信息处理 (11)

11 安全管理 (13)

12 过程管理 (15)

13 例外 (16)

14 认证 (17)

参考文献 (18)

前言

DB21/T 1628分为8部分：

——信息安全个人信息保护规范

——信息安全个人信息安全管理体系实施指南

——信息安全个人信息数据库管理指南

——信息安全个人信息管理文档管理指南

——信息安全个人信息安全风险管理指南

——信息安全个人信息安全管理体系安全技术实施指南

——信息安全个人信息安全管理体系内审实施指南

——信息安全个人信息安全管理体系过程管理指南等。

本部分是DB21/T 1628的第1部分。

本部分按照GB/T 1.1-2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。

本部分代替DB21/T 1628.1-2012《信息安全个人信息保护规范》。与DB21/T 1628.1-2012相比，本部分除编辑性修改外，主要技术变化如下：

——标准结构修改，构建个人信息安全管理框架；

——标准粒度修订，剔除规章制度等部分过细的约束规则；

——适当跟踪新技术的发展，增加部分相关规则，如移动设备等；

——增加个人定义，以使个人信息定义更加严谨，精确地描述个人信息；

——修订个人信息定义；

——增加主体定义，以使个人信息主体定义更加严谨，精确地描述个人信息主体；

——修订个人信息主体定义，更加严谨、规范地描述个人信息主体；

——定义个人信息生命周期，制定基于个人信息生命周期的个人信息安全规则；

——定义个人信息管理者的行为约束；

——建立被动收集的约束规则；

——增加个人安全管理规则，以适应新一代信息技术应用对个人信息主体的安全威胁。

本部分由大连市经济和信息化委员会提出。

本部分由辽宁省经济和信息化委员会归口。

本部分主要起草单位：大连软件行业协会、大连交通大学、辽宁省信息安全与软件测评认证中心。

本部分主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、杨万清、王小庚、宋悦、王开红、曹剑、李倩。

本部分代替DB21/T 1628.1-2012。

DB21/T 1628.1-2012的历次版本发布情况：

——DB21/T 1628-2008

引言

DB21/T1628.1-2012已经发布实施近3年，在社会、经济、文化等各个领域的深刻变革中，对辽宁省个人信息安全起到了重要的指导作用。随着科学技术，特别是IT的进步和发展，引发新的个人信息安全危机，需要在新的形势下重新审视个人信息安全标准的普适性。

管理是安全的关键，无论传统的个人信息形态，还是新一代信息技术的应用（如智慧城市、云服务、大数据、物联网等）。本标准再次修订，以管理为主线，以个人信息生命周期，即服务管理过程为导向，以个人信息安全和个人信息管理质量为目标，规定个人信息生命周期内管理要素的约束规则。

信息安全 个人信息保护规范

1 范围

本标准规定了个人信息主体权利、个人信息生命周期、个人信息管理、管理机制、个人信息获取、个人信息处理、安全管理、过程管理等的基本规则和要求。

本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T 19001/ISO 9001 质量管理体系要求

DB21/T 1628.2 信息安全个人信息安全管理体系实施指南

DB21/T 1628.3 信息安全个人信息数据库管理指南

DB21/T 1628.5 信息安全个人信息安全风险管理指南

3 术语、定义和缩略语

3.1 术语和定义

下列术语和定义适用于本文件。

3.1.1

个人 personal

基于自然规律出生，具有生物学意义和法理人格，并被赋予民事主体资格的自然人个体。

3.1.2

个人信息 personal information

依附于个人，并可描述个人基本形态的信息，包括：

a）可通过听觉、视觉、触觉等感官直接识别个人的信息，如数字、文字、图像、影像、声音等；

b）可借助各种手段间接识别个人的信息，如与个人相关各种信息对照、参考、分析等。

3.1.3

主体 subject

享受民事权利并承担民事义务的个人。

3.1.4

个人信息主体 personal information subject

可通过个人信息识别的、拥有该个人信息，享有该个人信息权益的个人。

3.1.5

个人信息管理者 personal information controller

获个人信息主体授权，基于特定、明确、合法目的，获取、管理个人信息的机关、企业、事业、社会团体等组织及个人。

3.1.6

个人信息安全personal information security

以安全为目的、以个人信息资源为核心，以服务管理流程为导向，构建相对稳定、安全的个人信息环境。

3.1.7

个人信息生命周期personal information life cycle

当个人信息主体同意直接收集个人信息直至个人信息彻底销毁的生命历程，是个人信息管理者向个人信息主体提供服务管理的过程。

注1：个人信息生命周期可以是多重的，如间接收集应是个人信息生命周期内存在的新的生命周期。

3.1.8

个人信息管理 personal information management

在个人信息生命周期内，计划、组织、协调、控制个人信息及相关资源、环境、管理体系等的相关活动或行为。

3.1.9

个人信息安全管理体系 personal information Security management system

个人信息管理活动或行为的结果。基于个人信息管理目标，整合目标、方针、原则、方法、过程、审核、改进等管理要素，及实现要素的方法和过程，提高个人信息管理有效性的系统。

3.1.10

个人信息数据库 personal information database

为实现一定目的，按照某种方式和规则组织的个人信息集合体。包括：

a）可以通过自动处理检索特定的个人信息的集合体，如磁介质、电子、网络媒介等；

b）可以采用非自动处理方式检索、查阅特定的个人信息的集合体，如纸介质、声音、照片等；

c）前述2种混合形式；

除前3项外，法律规定的可检索特定个人信息的集合体。

注2：个人信息数据库，一般由a、b两种形式构成，形成逻辑统一的个人信息集合体。

3.1.11

个人信息收集 personal information collect

基于特定、明确、合法的目的获取个人信息的行为。

3.1.12

个人信息处理 personal information process

自动或非自动处置个人信息的过程，如收集、加工、编辑、存储、检索、交换等及其它使用行为或活动。

3.1.12.1

自动处理 automatic processing

利用计算机及其相关和配套设备、信息网络系统、信息资源系统等，按照一定的应用目的和规则，收集、加工、编辑、存储、检索、交换等相关数据处置行为或活动。

3.1.12.2

非自动处理 non-automatic processing

除自动处理外的其它数据处置行为或活动。

3.1.13

利用 utilize

因某种利益交付第三方使用或因其它某种利益使用个人信息的行为。

3.1.14

个人信息主体同意 personal information subject agreement

个人信息管理活动或行为与个人信息主体意愿一致，个人信息主体明确表示赞成。表达形式包括：a）个人信息主体以书面形式同意；

b）个人信息主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意。

注3：下述情况视为个人信息主体同意：

1）由监护人代表未成年的或无法做出正确判断的成年个人信息主体表达的意愿；

2）个人信息管理者与个人信息主体签订合同中确认了相关个人信息处理的规定，个人信息主体同意履行合同。3.2 缩略语

3.2.1

PDCA Plan-Do-Check-Act

GB/T 19001/ISO 9001确立的全面质量管理应遵循的科学方法。本标准用于个人信息管理相关活动的质量管理。

3.2.2

PISMS personal information security management system

个人信息安全管理体系。

4 个人信息生命周期

个人信息生命周期应包括3个环节：

a）个人信息获取过程：个人信息主体同意，基于特定、明确、合法目的，直接或间接收集个人信息；

b）个人信息处理过程：基于收集目的的个人信息使用、利用过程，可划分4种形式：

1）包括编辑、加工、检索、存储、传输等不同的使用流程；

2）包括提供、委托、交换等不同的利用过程；

3）包括交易、二次开发等不同的利用过程；

4）个人信息的后处理过程；

c）基于生命周期的过程管理：在个人信息生命周期内，采用PDCA模式管理针对个人信息及相关资源、环境、管理体系等的活动或行为。

5 个人信息主体权利

5.1 知情权

个人信息主体知情权应包括：

a）个人信息主体应有权知悉个人信息数据库中与个人信息主体相关的信息；

b）个人信息主体应有权知悉个人信息收集、处理、使用、利用的目的、方式、范围等相关信息；

c）个人信息主体应有权查询个人信息收集、处理、使用、利用情况及个人信息质量等相关信息；

d）个人信息主体应有权知悉个人信息生命周期内个人信息管理质量。

5.2 支配权

个人信息主体支配权应包括：

a）收集、处理、使用、利用个人信息，应经个人信息主体同意，并签字盖章；

b）个人信息主体应有权修改、删除、完善与之相关的个人信息，以保证个人信息的完整、准确和最新状态；

c）个人信息主体应有权决定如何使用与之相关的个人信息；

d）在个人信息生命周期内，个人信息主体应有权提议改进、完善个人信息管理质量。

5.3 质疑权

个人信息主体质疑权应包括：

a）个人信息主体应有权质疑与之相关的个人信息的准确性、完整性和时效性；

b）个人信息主体应有权质疑或反对与之相关的个人信息管理目的、过程等；

c）如果个人信息管理目的、过程违背了个人信息主体意愿或其它正当理由，个人信息主体应有权请求停止个人信息管理活动、行为或提出撤消该个人信息。停止或撤销应经个人信息主体确认；

d）在个人信息生命周期内，个人信息主体应有权质疑个人信息管理质量的可靠性。

6 个人信息管理者

6.1 规则

个人信息管理者规则应包括：

a）个人信息管理者获取、处理、使用、利用、管理个人信息应获得个人信息主体授权，并确定明确、合法的目的；

b）个人信息管理者应基于个人信息生命周期，为个人信息主体提供个人信息的服务管理；

c）个人信息管理者不应因利益、条件等的变化降低个人信息管理质量的可靠性。

6.2 角色

个人信息管理者可根据不同的需要细分不同的角色，如个人信息获取、个人信息消费等，但均应遵循6.1确立的规则，保障个人信息主体的权益。

6.3 服务管理

个人信息管理应是个人信息管理者向个人信息主体提供服务的过程。个人信息管理者应满足： a）个人信息管理者应具有各类资源的转换能力和相应的管理职能，以保证个人信息管理的有效性；

b）个人信息管理者应建立有效的内部管理机制并形成管理体系，以保证个人信息管理的质量可靠性；

c）个人信息管理者应提供透明的服务管理过程，以保证第5章确立的个人信息主体的权力。

6.4 责任和义务

6.4.1 管理责任

个人信息管理者应对所拥有的个人信息负有管理责任，并征得个人信息主体同意后开展与个人信息相关的管理活动或行为。

6.4.2 权利保障

个人信息管理者应保障个人信息主体的权利。

6.4.3 目的明确

个人信息管理者应保证个人信息管理目的与个人信息主体意愿一致，管理过程或行为不应超目的、超范围。

6.4.4 告知

个人信息管理者应将收集个人信息的目的和方式、不提供个人信息的后果、查询和更正相关个人信息的权利，以及个人信息管理者本身的相关信息等告知个人信息主体。

6.4.5 质量保证

个人信息管理者应在管理活动或行为中保证个人信息的完整性、准确性、可用性，并保持最新状态。

6.4.6 保密性

个人信息管理者应对所管理的个人信息予以保密，并对个人信息管理过程中的安全负责。

7 个人信息管理

7.1 目的

个人信息管理者应依据其责任和义务，协调、组织、转换PISMS和各类相关资源，根据收集目的，采取相应的控制策略和措施，收集、处理、使用、利用个人信息。

7.2 原则

7.2.1 目的明确

收集个人信息应有明确的目的，不应超目的范围处理、利用、使用。

7.2.2 主体权利

个人信息主体应对与个人相关的个人信息享有权利。

7.2.3 信息质量

在管理活动或行为中应保证个人信息的准确性、完整性和最新状态。

7.2.4 合理限制

收集、处理、使用、利用个人信息，应采用合法、合理的手段和方式，并保持公开的形式。

7.2.5 安全保障

应采取必要、合理的管理和技术措施，防止个人信息滥用、篡改、丢失、泄露、损毁等。

7.3 方针

个人信息管理者应制定个人信息管理方针，以指导个人信息管理。方针应遵循国家相关法律、法规规定的原则和措施，符合个人信息管理者实际情况，并应以简洁、明确的语言阐述，公之于众。方针内容宜包括：

a）个人信息主体的权利；

b）个人信息管理者的义务；

c）个人信息管理的目的和原则；

d）个人信息管理的措施和方法；

e）个人信息管理的改进和完善。

7.4 计划

个人信息管理者应根据管理、业务目标，制定基于个人信息生命周期的管理计划。计划应包括：a）个人信息收集目的、策略；

b）个人信息管理措施、策略；

c）个人信息管理和各类相关资源的组织、协调、转换和沟通；

d）个人信息安全风险评估；

e）计划评估；

f）其它必要的管理策略。

7.5 组织

7.5.1 要求

个人信息管理者应根据管理计划，建立个人信息管理机构，实施个人信息生命周期全过程的符合个人信息相关法规、标准的管理，组织个人信息管理活动或行为。

7.5.2 相关机构及职责

7.5.2.1 最高管理者

个人信息管理者的最高行政领导，应重视个人信息管理，并选择、任命有能力的个人信息管理者代表组建、负责个人信息管理机构，在资金、资源等各个方面提供完全的支持。

7.5.2.2 管理机构

个人信息管理者代表应建立、落实个人信息管理机构，明确责任主体和职责，制定管理计划。个人信息管理机构宜包括宣传教育、安全管理、服务台等责任主体，管理机构的主要职责应包括：a）个人信息管理计划制定、实施；

b）PISMS建立、实施、运行；

c）明确个人信息管理相关责任主体和人员职责、责任；

d）个人信息相关活动、行为的管理，包括相关宣传教育、安全管理、服务咨询等；

e）基于个人信息生命周期的过程管理；

f）PISMS运行检查、评估、改进、完善；

g）记录个人信息管理活动，并编制PISMS运行报告。

7.5.2.3 内审机构

个人信息管理者应建立PISMS内审机构，并应由最高管理者指定PISMS内审代表负责。内审代表可以在个人信息管理者内部选聘，或聘请社会人士担任。其职责是：

a）独立、公平、公正地开展PISMS监督、检查、调查工作；

b）制定PISMS内审制度和内审计划，并按计划实施内审；

c）跟踪、监控、评估PISMS实施、运行；

d）编制内审报告，督促、建议PISMS的改进、完善。

7.5.3 个人信息安全管理体系

个人信息管理者代表应建立基于服务管理的PISMS，满足个人信息管理的需要。PISMS应包括以下要素：

a）个人信息安全目标和基本原则；

b）个人信息管理方针；

c）个人信息管理机制；

d）个人信息获取过程；

e）个人信息处理过程；

f）个人信息安全管理；

g）过程管理等。

7.6 控制

个人信息管理者代表应根据管理计划适时评估PISMS的效能和个人信息管理效果，检查、修正个人信息管理相关活动、行为，并监督管理计划的实施。

7.7 协调

在个人信息管理活动或行为中，应注意个人信息主体与个人信息管理者、个人信息管理者各部门（从属机构）与PISMS、PISMS内、PISMS与相关资源之间等的协调、沟通。

8 管理机制

8.1 管理制度

8.1.1 基本规章

基本规章是个人信息管理者及其全体工作人员应遵循的行为准则，应使每个工作人员完全理解并遵照执行。基本规章应包括个人信息安全管理体系构成要素和各个环节的管理规则，并应在实施过程中不断改进和完善。基本规章示例，参照DB21/T 1628.2。

8.1.2 管理细则

各从属机构、部门等应根据实际需要制定与基本规章一致，并符合从属机构、部门特点、切实可行的相关管理细则。

8.1.3 其它规定

其它业务开展或有特殊要求的业务，涉及个人信息管理，应制定相应的管理规定。

8.2 人员管理

8.2.1 相关人员

应明确与个人信息管理相关人员的权限、责任，加强监督和管理，防范未经授权的个人信息接触、职责不清、不作为、渎职等管理风险。

8.2.2 工作人员

应加强所有与个人信息管理者相关工作人员的宣传和教育，明确岗位职责，提高保护个人信息主体权益的意识，避免发生个人信息安全事件。

8.2.3 激励

应采取有计划的措施，激发工作人员与个人信息管理机构之间的互动交流、合理诉求，增强工作人员保护个人信息的热情、责任感、积极性和事业心，以实现个人信息管理目标。

8.3 宣传教育

8.3.1 宣传

8.3.1.1 基本宣传

个人信息管理者应在其内部向全体工作人员及其它相关人员说明个人信息管理的重要性和相关管理策略，以得到工作人员及其它相关人员对个人信息管理工作的配合和重视。

8.3.1.2 业务宣传

个人信息管理者处理涉及个人信息的相关业务时，应主动说明收集、处理、使用、利用个人信息的目的、措施、方法和规定，并做出保密承诺。

8.3.1.3 社会宣传

个人信息管理者应在相关媒介（宣传资料、网络媒介（如网站等）及其它相关的面向社会的电子类、纸质等材料）中增加个人信息管理的相关内容。

8.3.2 培训教育

8.3.2.1 计划

应根据人员、机构、业务、需求等实际情况，制定个人信息管理相关的培训和教育制度，适时开展相应的培训教育。

8.3.2.2 对象

培训教育的对象，应包括：

a）全体工作人员；

b）临时员工；

c）其他相关人员。

8.3.2.3 内容

培训教育的主要内容，应包括：

a）个人信息安全相关法律、法规、规范、标准和管理制度；

b）个人信息管理的重要性和必要性；

c）PISMS的构成、实施等；

d）个人信息主体的权利、责任；

e）管理、业务活动中个人信息管理的方式、措施等；

f）违反个人信息安全相关标准可能引起的损害和后果；

g）其它必要的教育。

8.4 数据库管理

8.4.1 要求

个人信息管理者应集中管理各种形式存放的个人信息，规范、建立统一的个人信息数据库。个人信息数据库管理，参照DB21/T1628.3。

8.4.2 保存

个人信息主体应明确确认其个人信息是否以简明、易懂的语言记载、存储在个人信息数据库中，并可以清楚无误地提取、拷贝这些信息。

8.4.3 时限

个人信息管理者应为个人信息的存储、保存设定一个合理的时限，并与目的充分相关。

8.4.4 备案

个人信息数据库的使用、查阅，应建立备案登记制度，并有专人负责。记录应包括责任人、存储（保存）目的、时限、更新时间、获取方法、获取途径、位置、使用目的、使用方法、安全承诺、废弃原因和方法等。

8.4.5 个人管理

个人信息主体保有的可移动设备、媒介等构成了移动的个人信息数据库，个人信息主体应提高安全意识，采取必要的安全措施，防止不正当收集个人信息，避免个人信息泄漏。

8.5 文档管理

8.5.1 记录

应在个人信息管理过程中记录与个人信息相关活动和行为的目的、时间、范围、对象、方式方法、效果、反馈等信息。这些活动和行为包括体系建立、宣传、培训教育、安全管理、过程改进、内审等。

8.5.2 备案

应建立与个人信息管理相关的规章、文件、记录、合同等文档的备案管理制度，并不断改进和完善。

8.6 公示

公开、公示个人信息，应以适当方式通知个人信息主体，并征得个人信息主体同意。通知的内容应包括：

a）个人信息管理者的相关信息；

b）公示的目的、方式、范围和内容；

c）个人信息主体的权利；

d）公示和非公示的结果。

9 个人信息获取

9.1 目的

所有个人信息收集行为，必须具有特定、明确、合法的目的，并应征得个人信息主体同意，限定在收集目的范围内。

9.2 限制

应遵循7.2、6.4的规定，基于特定、明确、合法的目的，采用科学、规范、合法、适度、适当的收集方法和手段，以保障个人信息主体的权益：

a）应将收集目的、范围、方法和手段、处理方式等清晰无误的告知个人信息主体，并征得个人信息主体同意；

b）间接或被动收集时，应将收集目的、范围、内容、方法和手段、处理方式等以适当形式公开，如以公告形式发布。如有疑义、反对，应停止收集；

c）不应以任何目的、方法、手段等收集移动的个人信息数据库的信息。

注4：被动收集，即个人信息主体不知情或不能控制情况下收集。

9.3 类别

9.3.1 直接收集

目的明确，并征得个人信息主体同意，直接经个人信息主体收集个人信息。直接收集应向个人信息主体提供的信息包括：

a）个人信息管理者的相关信息；

b）个人信息收集、处理、使用的目的、方法；

c）接受并管理该个人信息的第三方的相关信息；

d）个人信息主体拒绝提供相关个人信息可能会产生的后果；

e）个人信息主体的查询、修正、反对等相关权利；

f）个人信息安全和保密承诺；

g）后处理方式。

9.3.2 间接收集

非直接地收集个人信息时，应遵循9.2的规定，保证个人信息主体知悉并同意。间接收集应保证个人信息主体权益不受侵害。应保证个人信息主体知悉的信息，参照9.3.1。

9.3.3 被动收集

在个人信息主体不知情或不能控制的情况下收集、处理、使用、利用个人信息，应保证个人信息主体权益不受侵害：

a）应遵循7.2、6.4确定的原则和责任义务；

b）应遵循9.2的限制；

c）通过各种电子媒介（如博客、微博、微信、论坛、云盘、网盘、邮件、即时通讯、网站、网络视频等）、纸媒体获取公开的个人信息，亦应遵循7.2、6.4确定的原则、责任义务，同时应遵循9.2的限制；

d）依据9.2，应采取适宜的方式公告、公示。通过公告、公示保证个人信息主体知悉的信息，参照9.3.1。

9.4 保存

以各种形式、方式收集的个人信息，应保存或存储在统一的个人信息数据库内，并应依据8.4建立相应的个人信息数据库管理机制。

10 个人信息处理

10.1 过程

在个人信息处理过程中，应遵循：

a）应根据第7章、第8章的相关规则，管控个人信息处理过程，以保证个人信息质量和个人信息主体权益；

b）应接受内审机构的检查、监控，随时改进、完善个人信息处理过程，以保证个人信息安全。10.2 使用

个人信息管理者处理、使用个人信息应基于明确、合法的目的，并遵循以下约束：

a）应征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要；

b）应在个人信息收集目的范围内处理、使用个人信息。如需要超目的范围处理、使用个人信息，应征得该个人信息主体同意。通知信息参照9.3.1；

c）任何处理、使用个人信息的行为，应履行7.2、6.4规定的原则和个人信息管理者的责任、义务，征得个人信息主体同意，并限定在个人信息主体同意的范围内，避免随意泄漏、传播和扩散，以保证个人信息安全。通知信息参照9.3.1。

10.3 提供

10.3.1 合法性

个人信息管理者所拥有的个人信息，应是依特定、明确、合法的目的，经个人信息主体同意，采取适当、合法、有效的方法和手段获得的，并不与收集目的相悖。

10.3.2 权益保障

个人信息管理者合法拥有的个人信息，在向第三方提供时，应履行6.4规定的个人信息管理者的责任和义务，保障个人信息主体的合法权益。

10.3.3 授权许可

个人信息管理者向第三方提供个人信息，应获得该个人信息的个人信息主体授权，并在允许的目的范围内，采用合法、适当、适度的方法使用。应向个人信息主体说明的信息，参照9.3.1。

10.3.4 质量保证

第三方接受个人信息管理者提供的个人信息，应遵循6.4关于质量保证的原则。

10.3.5 安全承诺

个人信息管理者向第三方提供个人信息时，应获得第三方以书面形式（或以可见证的、有规范记录的、满足书面形式要求的非书面形式）保证个人信息的完整性、准确性、安全性的明确承诺，避免不正确使用或泄漏。

10.4 委托

10.4.1 范围限定

委托第三方收集个人信息、向第三方委托个人信息处理业务或接受个人信息处理委托业务时，应在个人信息主体明确同意的，或委托方以合同或其它方式要求的使用目的范围内处理，不可超范围、超目的随意处理，并应向个人信息主体提供受托方相关信息。提供的信息可参照9.3.1。

10.4.2 委托信用

涉及个人信息委托业务时，应选择已建立PISMS的个人信息管理者，以建立相应的委托信用机制，保证不会发生个人信息泄漏或个人信息滥用。在委托合同中应包括：

a）委托方和受托方的权利和责任；

b）委托目的和范围；

c）保护个人信息的安全措施和安全承诺；

d）再委托时的相关信息；

e）PISMS的相关说明；

f）个人信息相关事故的责任认定和报告；

g）合同到期后个人信息的处理方式。

10.5 二次开发

分析、整合、整理、挖掘、加工等个人信息二次开发，应履行7.2、6.4规定的原则和个人信息管理者的责任、义务，征得个人信息主体同意，并限定在个人信息主体同意的范围内，避免随意泄漏、传播和扩散。通知的内容应包括：

a）个人信息管理者的相关信息；

b）二次开发的目的、方式、方法和范围；

c）安全措施和安全承诺；

d）事故责任认定和处理方式；

e）开发完成后的处理方式等。

10.6 交易

个人信息交易应保证：

a）应限定在法律许可的范围内；

b）应通知个人信息主体并征得个人信息主体同意，且限定在个人信息主体同意的范围内处理使用，避免随意泄漏、传播和扩散；

c）交易双方均应履行7.2、6.4规定的原则和个人信息管理者的责任、义务，保障个人信息主体权益。

通知个人信息主体的内容应包括：

1）个人信息管理者相关信息；

2）个人信息来源的合法性、有效性；

3）个人信息交易的必要性；

4）个人信息交易的目的、方式、方法和范围；

5）安全措施和安全承诺；

6）事故责任认定和处理方式；

7）交易完成后的处理方式等。

10.7 后处理

10.7.1 要求

个人信息处理、利用、使用后，应根据个人信息主体意见或合同约定方式，采取相应的安全措施，避免发生丢失、损毁、泄漏等安全事故。

10.7.2 质量

个人信息处理、使用、利用后，如需继续保存、使用、返还，应保证个人信息的准确性、完整性和最新状态。

10.7.3 销毁

个人信息处理、使用、利用后，如不需继续保存、使用、返还，应彻底销毁与个人信息相关的文档、介质等及其记录的个人信息。

11 安全管理

11.1 风险管理

应在个人信息管理过程或行为中，识别、分析、评估潜在的风险因素，制定风险应对策略，采取风险管理措施，监控风险变化，并将残余风险控制在可接受范围内。风险管理应参照DB21/T 1628.5实施。

11.2 物理环境管理

应根据需要采取必要的措施，保证个人信息存储、保存环境的安全，包括防火、防盗及其它自然灾害、意外事故、人为因素等。

11.3 工作环境管理

应注意工作人员工作环境内所有相关的个人信息管理，防止未经授权的、无意的、恶意的使用、泄露、损毁、丢失。工作环境包括：

a）出入管理；

b）工作桌面；

c）计算机桌面；

d）计算机接口；

e）计算机管理（文件、文件夹等）；

f）其它相关管理。

11.4 网络行为管理

应制定网络管理措施，采用相应的技术手段，引导、约束通过网络利用、传播个人信息的行为，构建规范、科学、合理、文明的网络秩序。

11.5 IT环境安全

应在整体信息安全体系建设中，充分考虑个人信息及相关因素的特点，加强个人信息安全防护，预防安全隐患和安全威胁。如网络基础平台、系统平台、应用系统、安全系统、数据等的安全，及信息交换中的安全防范、病毒预防和恢复、非传统信息安全等。

11.6 个人信息数据库安全

11.6.1 要求

个人信息管理机构应保证个人信息数据库存储、保存的个人信息的准确性、完整性、保密性和可用性，并随时更新，以保证个人信息的最新状态。

11.6.2 管理安全

个人信息管理者应履行6.4规定的责任和义务，建立个人信息数据库管理机制。包括：

a）个人信息数据库管理和使用制度；

b）个人信息数据库管理者的职责；

c）维护和记录；

d）事故处理。

11.6.3 使用安全

应根据个人信息自动和非自动处理的特点，制定相应的个人信息数据库管理策略，包括访问/调用控制、权限设置、密钥管理等，防止个人信息的不当使用、毁损、泄漏、删除等。

11.6.4 备份和恢复

应制定个人信息数据库备份和恢复机制，并保证备份、恢复的完整性、可靠性和准确性。

11.7 移动设备安全

11.7.1 管理安全

个人信息管理者应制定与个人信息相关的移动设备、媒介的管理制度，采用管理和技术措施，并建立设备使用追踪回溯机制，防止数据毁损、泄漏、删除、遗失等。

11.7.2 终端安全

个人信息主体对所保有的移动设备，应提高安全意识，根据不同的物理环境和使用环境，采取相应的安全防范措施，避免个人信息泄漏。

11.8 个人安全

在多种情况下，个人信息主体应提高安全意识，采取相应和适当的措施，防止不当收集、使用、利用个人信息，以保护个人信息主体权益。这些情况可包括：

a）各种网络环境下与个人信息相关的各种行为、活动；

b）各种工作环境下与个人信息相关的各种行为、活动；

c）各种生活环境下与个人信息相关的各种行为、活动；

d）各种社会活动中与个人信息相关的各种行为、活动等。

12 过程管理

12.1 PISMS内审

12.1.1 管理

a）应审核个人信息管理相关活动和行为、PISMS、PISMS实施和运行过程；

b）内审应由与审核对象无直接关系人实施；

c）内审应提出过程改进和完善建议。

12.1.2 计划

应根据相关法律、规范和实际需求制定PISMS内审计划：

a）内审目标和原则；

b）内审策略和控制措施；

c）组织、协调相关资源；

d）内审周期、时间；

e）职责、责任；

f）内审实施；

g）其它必要的措施。

12.1.3 实施

应根据PISMS内审计划，定期独立、公平、公正地实施内审，并形成内审报告。

12.2 过程改进

12.2.1 服务台管理

服务台应接受个人信息主体、各类组织和人员提出的个人信息管理活动、PISMS的相关意见、建议、咨询、投诉等，并采取相应的处理措施，及时反馈。

12.2.2 跟踪和监控

PISMS内审机构应实时跟踪、监控PISMS的实施、运行，及时发现潜在的安全风险、缺陷和存在的问题，提出整改建议。

12.2.3 持续改进

个人信息管理机构应依据相关法规、内审报告、需求变化、服务台反馈、跟踪监控结果等，采用PDCA模式，定期评估、分析PISMS运行状况，并持续改进和完善：

a）分析、判断PISMS实施、运行中的缺陷和漏洞；

b）制定预防和改进措施；

c）实时预防、改进；

d）跟踪改进结果。

12.3 应急管理

个人信息管理者应制定应急预案，评估、分析收集、处理、使用个人信息过程中可能出现的个人信息泄露、丢失、损坏、篡改、不当使用等事故，采取相应的预防措施和处理。预案应包括：a）事故的评估、分析；

b）事故的处理流程；

c）事故的应急机制；

d）事故的处理方案；

e）事故记录和报告制度；

f）事故的责任认定。

13 例外

13.1 敏感个人信息

敏感的个人信息应包括：

a）有关思想、宗教、信仰、种族、血缘的事项；

b）有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项；

c）有关政治权利的事项；

d）有关健康、医疗及性生活的相关事项等。

13.2 收集例外

不应收集、处理、使用敏感的个人信息。经个人信息主体同意的例外，但个人信息管理者应遵循以下规则：

a）应合理、合法、适度、目的明确，并经个人信息主体确认同意；

b）应直接收集，不应间接收集、被动收集或违背个人信息主体意愿收集；

c）应采取特别的保护措施，保证敏感个人信息安全和个人信息主体权益；

d）一经处理、使用完毕，立即完全、彻底销毁。

13.3 法律例外

法律特别规定的个人信息收集例外，个人信息管理者应遵循以下规则：

a）应依据相关法规，合理、合法、适度，且目的明确：

1）法律特别规定的；

2）保护国家安全、公共安全、国家利益、制止刑事犯罪；

3）保护个人信息主体或公众的权利、生命、健康、财产等重大利益等；

b）基于明确目的，可不必事先征得个人信息主体同意，但应经由专门机构确定；

c）应保证限于收集目的和使用范围内；

d）应采取特别的保护措施，保证个人信息安全和个人信息主体权益；

e）一经处理、使用完毕，立即完全、彻底销毁，避免个人信息泄漏、转移。

员工信息安全规范

编号：SM-ZD-46667 员工信息安全规范 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：____________________ 审核：____________________ 批准：____________________ 本文档下载后可任意修改

员工信息安全规范 简介：该制度资料适用于公司或组织通过程序化、标准化的流程约定，达成上下级或不同的人员之间形成统一的行动方针，从而协调行动，增强主动性，减少盲目性，使工作有条不紊地进行。文档可直接下载或修改，使用时请详细阅读内容。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1）计算机信息登记与使用维护： 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置； 每位员工有责任保护公司的计算机资源和设备，以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的格式，一律采用AD域名_所属地区编号组成；

例如某台计算机名为SSSS_100201，SSSS为地区AD 域名，100为地区编号，201代表该地区第201个账户。 2）必须在所有个人计算机上激活下列安全控制： 所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。 3）当员工离开办公室或工作区域时： 必须立即锁定计算机或者激活带密码保护的屏幕保护程序； 如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域； 妥善保管所有包含公司涉密内容的文件，如锁进文件柜。 4）防范计算机病毒和其他有害代码： 每位员工由公司配备的计算机上都必须安装和运行公司授权使用的防病毒软件； 员工必须开启防病毒软件实时扫描保护功能，至少每周进行一次全硬盘扫描，在网络条件许可的情况下每天进行一

2016年信息技术与信息安全公需科目考试(86分)

1.关于渗透测试，下面哪个说法是不正确的（）？（单选 题2分） A.渗透测试过程包括了对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。 B.渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试，是一个渐进的并且逐步深入的过程。 C.渗透测试是通过模拟恶意黑客的攻击方法，来评估信息系统安全的一种评估方法。 D.执行情况良好的渗透测试无法证明不充分的安全可能导致重大损失，对于网络安全组织价值不大。 2.如果使用大量的连接请求攻击计算机，使得所有可用的系统资源都被消耗殆尽，最终计算机无法对正常的服务请求进行处理，这种攻击手段属于（）。（单选题2分） A.口令破解 B.拒绝服务攻击 C.IP欺骗 D.网络监听 3.发生信息安全紧急事件时，可采取（）措施。（单选题2 分） A.事件分析 B.以上采取的措施都对

C.抑制、消除和恢复 D.切断不稳定因素 4.关于U盾，下面说法不正确的是（）？（单选题2分） A.内置微型智能卡处理器 B.使用动态口令来保证交易安全 C.提供数字签名和数字认证的服务 D.是办理网上银行业务的高级安全工具 5.风险分析阶段的主要工作就是（）。（单选题2分） A.判断安全事件造成的损失对单位组织的影响 B.完成风险的分析和计算，综合安全事件所作用的信息资产价值及脆弱性的严重程度，判断安全事件造成的损失对单位组织的影响，即安全风险 C.完成风险的分析 D.完成风险的分析和计算 6.C类地址适用于（）。（单选题2分） A.大型网络 B.以上答案都不对 C.小型网络 D.中型网络 7.禁止涉密计算机连接互联网主要为了防止涉密计算机（）， 进而造成涉密信息被窃取。（单选题2分） A.感染蠕虫病毒

应该如何保护我们个人信息安全

1.应该如何保护我们个人信息安全？ 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时，最安全的办法就是将该计算机与其他上网的计算机切断连接。这样，可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说，网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时，使用加密技术。在计算机通讯中，采用密码技术将信息隐蔽起来，再将隐蔽后的信息传输出去，使信息在传输过程中即使被窃取或截获，窃取者也不能了解信息的内容，发送方使用加密密钥，通过加密设备或算法，将信息加密后发送出去。接收方在收到密文后，使用解密密钥将密文解密，恢复为明文。如果传输中有人窃取，他也只能得到无法理解的密文，从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料，不要随便在网络上泄露包括电子邮箱等个人资料。现在，一些网站要求网民通过登记来获得某些“会员”服务，还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意，要养成保密的习惯，仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话，可以化被动为主动，用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时，可以简单地改动姓名、邮政编号、社会保险号的几个字母，这就会使输入的信息跟虚假的身份相联系，从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼，不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料，在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中。在保护网络隐私权方面，防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件，反制Cookie和彻底删除档案文件。如前所述，建立Cookie 信息的网站，可以凭借浏览器来读取网民的个人信息，跟踪并收集网民的上网习惯，对个人隐私权造成威胁和侵害。网民可以采取一些软件技术，来反制Cookie软件。另外，由于一些网站会传送一些不必要的信息给网络使用者的计算机中，因此，网民也可以通过每次上网后清除暂存在内存里的资料，从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护，除了对未成年人进行隐私知识和媒介素养教育外，应在家长或监护人的帮助下，借助相关的软件技术进行。

信息安全技术各章节期末试题

信息安全技术各章节期末复习试题 1 信息安全概述 1.1单选题 1.网络安全的特征包含保密性，完整性，（D ）四个方面。第9章 A可用性和可靠性 B 可用性和合法性C可用性和有效性D可用性和可控性 3.可以被数据完整性机制防止的攻击方式是（B） A 假冒B抵赖C数据中途窃取D数据中途篡改 4.网络安全是在分布网络环境中对（D ）提供安全保护。第9章 A.信息载体 B.信息的处理.传输 C.信息的存储.访问 D.上面3项都是 5.ISO 7498-2从体系结构观点描述了5种安全服务，以下不属于这5种安全服务的是（B ）。 A.身份鉴别 B.数据报过滤 C.授权控制 D.数据完整性 6.ISO 7498-2描述了8种特定的安全机制，以下不属于这8种安全机制的是（A ）。 A.安全标记机制 B.加密机制 C.数字签名机制 D.访问控制机制 7.用于实现身份鉴别的安全机制是（A）。第10章 A.加密机制和数字签名机制 B.加密机制和访问控制机制 C.数字签名机制和路由控制机制 D.访问控制机制和路由控制机制 8.在ISO/OSI定义的安全体系结构中，没有规定（D ）。 A.数据保密性安全服务 B.访问控制安全服务 C.数据完整性安全服务 D.数据可用性安全服务 9.ISO定义的安全体系结构中包含（B ）种安全服务。 A.4 B.5 C.6 D.7 10.（D）不属于ISO/OSI安全体系结构的安全机制。 A.通信业务填充机制 B.访问控制机制 C.数字签名机制 D.审计机制 11.ISO安全体系结构中的对象认证服务，使用（B ）完成。 A.加密机制 B.数字签名机制 C.访问控制机制 D.数据完整性机制 12.CA属于ISO安全体系结构中定义的（D）。第10章 A.认证交换机制 B.通信业务填充机制 C.路由控制机制 D.公证机制 13.数据保密性安全服务的基础是（D ）。第2章 A.数据完整性机制 B.数字签名机制 C.访问控制机制 D.加密机制 14.可以被数据完整性机制防止的攻击方式是（D ）。 A.假冒源地址或用户的地址欺骗攻击 B.抵赖做过信息的递交行为 C.数据中途被攻击者窃听获取 D.数据在途中被攻击者篡改或破坏

GBT 35273-2017-信息安全技术-个人信息安全规范

《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容： 6.1 个人信息保存时间最小化 对个人信息控制者的要求包括： a) 个人信息保存期限应为实现目的所必需的最短时间； b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。 6.2 去标识化处理 收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。 6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括： a) 传输和存储个人敏感信息时，应采用加密等安全措施； b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。 6.4 个人信息控制者停止运营 当个人信息控制者停止运营其产品或服务时，应： a) 及时停止继续收集个人信息的活动； b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体； c) 对其所持有的个人信息进行删除或匿名化处理。 《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告 对个人信息控制者的要求包括： a) 应制定个人信息安全事件应急预案； b) 应定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程； c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置： 1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门； 2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患； 3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式； 4) 按照本标准9.2的要求实施安全事件的告知。 d) 根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。 9.2 安全事件告知 对个人信息控制者的要求包括： a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息； b) 告知内容应包括但不限于：

(完整word版)2016信息安全概论考查试题

湖南科技大学2016 - 2017 学年信息安全概论考试试题 一、名词解释(15分，每个3分) 信息隐藏：也称数据隐藏，信息伪装。主要研究如何将某一机密信息隐藏于另一公开信息的载体中，然后会通过公开载体的信息传输来传递机密信息。 宏病毒：使用宏语言编写的一种脚本病毒程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库和演示文档等数据文件中，利用宏语言的功能将自己复制并繁殖到其他数据文档里。 入侵检测：通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。 花指令：是指利用反汇编时单纯根据机器指令字来决定反汇编结果的漏洞，在不影响程序正确性的前提下，添加的一些干扰反汇编和设置陷阱的代码指令，对程序代码做变形处理。缓冲区溢出攻击：指程序运行过程中放入缓冲区的数据过多时，会产生缓冲区溢出。黑客如成功利用缓冲溢出漏洞，可以获得对远程计算机的控制，以本地系统权限执行任意危害性指令。 二、判断题（对的打√，错的打×，每题1分，共10分） 1. 基于账户名／口令认证是最常用的最常用的认证方式（√） 2. 当用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这属于钓鱼攻击（√） 3. ＲＳＡ算法的安全性归结于离散对数问题（×） 4. 量子不可克隆定理、不确定性原理,构成了量子密码的安全性理论基础（√） 5. 访问控制的安全策略是指在某个安全区域内用语所有与安全相关活动的一套控制规则（√） 6. 反弹连接是木马规避防火墙的技术，适合动态IP入侵（×） 7. 驱动程序只能在核心态下运行（×） 8. 混沌系统生成的混沌序列具有周期性和伪随机性的特征（×） 9. 最小特权思想是指系统不应给用户超过执行任务所需特权以外的特权（√） 10. 冲击波蠕虫病毒采用UPX压缩技术，利用RPC漏洞进行快速传播（√） 三、选择题（30分，每题2分） (1) 按照密钥类型，加密算法可以分为（D ）。 A. 序列算法和分组算法 B. 序列算法和公钥密码算法 C. 公钥密码算法和分组算法 D. 公钥密码算法和对称密码算法 (2) 以下关于CA认证中心说法正确的是（C ）。 A. CA认证是使用对称密钥机制的认证方法 B. CA认证中心只负责签名，不负责证书的产生 C. CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份 D. CA认证中心不用保持中立，可以随便找一个用户来做为CA认证中心 (3) Web从Web服务器方面和浏览器方面受到的威胁主要来自（ D ）。 A. 浏览器和Web服务器的通信方面存在漏洞 B. Web服务器的安全漏洞 C. 服务器端脚本的安全漏洞 D. 以上全是

个人信息的保护和安全措施

个人信息的保护和安全措施 一、广电公众平台将尽一切合理努力保护获得的用户个人信息，并由专门的数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处理或使用，广电公众平台已经并将继续采取以下措施保护用户的个人信息： 通过采取加密技术对用户个人信息进行加密保存，并通过隔离技术进行隔离。在个人信息使用时，例如个人信息展示、个人信息关联计算，广电公众平台会采用包括内容替换、加密脱敏等多种数据脱敏技术增强个人信息在使用中安全性。设立严格的数据使用和访问制度，采用严格的数据访问权限控制和多重身份认证技术保护个人信息，避免数据被违规使用。 二、保护个人信息采取的其他安全措施 1、通过建立数据分类分级制度、数据安全管理规范、数据安全开发规范来管理规范个人信息的存储和使用。 2、建立数据安全专项部门，负责安全应急响应组织来推进和保障个人信息安全。 3、个人信息安全事件的通知 1）如发生个人信息引发的安全事件，广电公众平台将第一事件向相应主管机关报备，并即时进行问题排查，开展应急措施。 2）通过与全量用户发送通知提醒更改密码。还可能通过电话、短信等各种方式触达用户知晓，在公共运营平台运营宣传，制止数据

泄露。 尽管已经采取了上述合理有效措施，并已经遵守了相关法律规定要求的标准，但广电公众平台仍然无法保证用户的个人信息通过不安全途径进行交流时的安全性。因此，用户个人应采取积极措施保证个人信息的安全，如：定期修改账号密码，不将自己的账号密码等个人信息透露给他人。 网络环境中始终存在各种信息泄漏的风险，当出现意外事件、不可抗力等情形导致用户的信息出现泄漏时，广电公众平台将极力控制局面，及时告知用户事件起因、广电公众平台采取的安全措施、用户可以主动采取的安全措施等相关情况。

信息安全等级保护管理办法(公通字〔2007〕43号)

信息安全等级保护管理办法（公通字[2007]43号） 作者 : 来源 : 公安部、国家保密局、国家密码管理局、 字体：大中小国务院信息工作办公室时间：2007-06-22 第一章总则 第一条为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。 第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

信息安全管理体系ISMS2016年6月考题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由（）方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是（）保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的（） A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是（） A、a8mom9y5fub33 B、1234 C、Cnas D、Password

9、开发、测试和（）设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、（）或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前， （）和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在（）合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于（） A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时，应考虑（） A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C

互联网个人信息安全保护指南

互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求（信息系统安全等 级保护基本要求） 3术语和定义 3.1 个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法，第七十六条（五）] 注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017，定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017，定义3.5] 3.6 个人信息使用

信息安全技术课后习题答案 俞承杭版

信息安全技术复习资料 第一章 1.对于信息的功能特征，它的____基本功能_____在于维持和强化世界的有序性 动态性。 2.对于信息的功能特征，它的____社会功能____表现为维系社会的生存、促进人类文明的进步和自身的发展。 3.信息技术主要分为感测与识别技术、__信息传递技术__、信息处理与再生技术、信息的施用技术等四大类。 4.信息系统是指基于计算机技术和网络通信技术的系统，是人、____规程_________、数据库、硬件和软件等各种设备、工具的有机集合。 5.在信息安全领域，重点关注的是与____信息处理生活周期________相关的各个环节。 6.信息化社会发展三要素是物质、能源和____信息________。 7.信息安全的基本目标应该是保护信息的机密性、____完整性________、可用性、可控性和不可抵赖性。 8.____机密性________指保证信息不被非授权访问，即使非授权用户得到信息也无法知晓信息的内容，因而不能使用。 9.____完整性________指维护信息的一致性，即在信息生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。 10._____可用性_______指授权用户在需要时能不受其他因素的影响，方便地使用所需信息。这一目标是对信息系统的总体可靠性要求。 11.____可控性________指信息在整个生命周期内都可由合法拥有者加以安全的控制。 12.____不可抵赖性________指保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为。 13.PDRR模型，即“信息保障”模型，作为信息安全的目标，是由信息的____保护____、信息使用中的___检测____、信息受影响或攻击时的____响应____和受损后的___恢复____组成的。 14.当前信息安全的整体解决方案是PDRR模型和___安全管理_________的整合

注册个人信息保护专业人员白皮书.doc

谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期：2019年 4 月 中国信息安全测评中心 中电数据服务有限公司

注册个人信息保护专业人员（CISP-PIP） 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息，请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能，为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司，以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初，经中国信息安全测评中心授权，中电数据成立个人信息保护专业人员考试中心，开展注册个人信息保护专业人员（CISP-PIP）知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识，具备个人信息保护理论基础和实践能力，可在数据保护、信息审计、组织合规与风险管理等领域发挥专长，有效提升相关企业数据安全意识和保护能力，强化我国公民个人信息和国家重要数据安全保护水平。

目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6

解析新版《个人信息安全规范》中的个人信息保护负责人制度

解析新版《个人信息安全规范》中的个人信息保护负责人制度 2020-08-03 《网络安全法》出台后，特别是2018年5月1日《信息安全技术 个人信息安全规范》（“旧版规范”）生效以来，不少企业已经搭建起个人信息保护制度框架。数据合规体系是动态的有机体，需要静态的制度框架，更需要合规人员的动态推动，将制度融入商业决策与交易中。即将于2020年10月1日生效的《信息安全技术 个人信息安全规范》（“新版规范”或“《安全规范》”）针对个人信息保护负责人的规定，较旧版规范而言更为具体且务实。 一、为什么要建立个人信息保护负责人制度 个人信息保护负责人是指全面实施统筹组织公司个人信息保护工作、对个人信息安全负直接责任的公司人员。设立个人信息保护负责人对企业落地数据合规制度至关重要。具体而言，科学有效的个人信息保护负责人制度既可提高企业法律风险防御能力，亦可增强其核心竞争力。 （一）提高企业风险防御能力 个人信息保护不力会给企业带来巨大损失：政府调查与处罚轻则迫使企业整改、重则颠覆既有商业模式、甚至导致企业与主要负责人承担刑事责任；个人信息安全事件如果不能及时、妥善处理，企业所面对的信任危机可能比处罚带来的社会影响更为深远；广大民众不断觉醒的个人信息保护意识更是促使企业时刻不得松懈。个人信息保护负责人既可以帮助企业在日常工作中未雨绸缪又可能在危机事件中力挽狂澜，提高企业防御风险的综合能力。 2017年3月，有消费者认为其个人信息遭到泄露而将某航空公司起诉至法院。法院综合认定被告存在泄露个人信息的高度可能，同时认为法律对经营者采取技术措施和其他必要措施保护消费者个人信息施以强制规定。但是，被告未能证明其已履行法定的个人信息保护义务。[1]2019年12月，同一家航空公司因类似事由被起诉，但法院认为被告在自身掌握信息阶段不存在泄露个人信息的事实。原因在于，航空公司不仅对可查看订单信息的管理系统进行数据脱敏设置，还建立起严密的数据安全管理制度、就数据存储安全进行专门认证、与专业第三方进行合作。[2] 根据公开信息，前述航空公司于2018年任命首席数据官，全面负责企业的数据保护与合规运营工作。该航空公司也由此成为国内首家设立数据保护官的企业。[3]虽然任命首席数据官与两份截然相反的判决没有直接关系，但从判决书中航空公司的举证来看，其在一两年间确实就个人信息保护采取了系列技术措施与组织措施，而任命首席数据官不仅是一种合规宣示，对于推动保护措施的落地显然也至关重要。 （二）增强企业核心竞争力 中国企业传统上将法律合规定位为后台支持部门，该等定位在业务拓展特别是开发海外市场时的局限性日益凸显。有能力的个人信息保护负责人有助于树立良好的企业形象，在与监管机构、合作伙伴、甚至竞争对手打交道的过程中，给人以专业、可信的印象，对于增强企业核心竞争力大有脾益。 如何在各国纷繁复杂的法律规定下实现合规，需要个人信息保护负责人的统筹规划。对敏感个人数据加紧审查的国际趋势，尤其是中美经贸摩擦下的监管升级，[4]更是要求企业出海前审慎开展

2016下半年信息安全工程师简答题真题加答案

阅读下列说明和图，回答问题1至问题4，将解答填入答题纸的对应栏内。 【说明】 研究密码编码的科学称为密码编码学，研究密码破译的科学称为密码分析学，密码编码学和密码分析学共同组成密码学。密码学作为信息安全的关键技术，在信息安全领域有着广泛的应用。 【问题1】（9分） 密码学的安全目标至少包括哪三个方面？具体内涵是什么？ （1）保密性：保密性是确保信息仅被合法用户访问，而不被地露给非授权的用户、实体或过程，或供其利用的特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。 （2）完整性：完整性是指所有资源只能由授权方或以授权的方式进行修改，即信息未经授权不能进行改变的特性。信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。 （3）可用性：可用性是指所有资源在适当的时候可以由授权方访问，即信息可被授权实体访问并按需求使用的特性。信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。 【问题2】（3分） 对下列违规安全事件，指出各个事件分别违反了安全目标中的哪些项？ (1)小明抄袭了小丽的家庭作业。 (2)小明私自修改了自己的成绩。 (3)小李窃取了小刘的学位证号码、登陆口令信息，并通过学位信息系统更改了小刘的学位信息记录和登陆口令，将系统中小刘的学位信息用一份伪造的信息替代，造成小刘无法访问学位信息系统。 （1）保密性 （2）完整性 （3）可用性 【问题3】（3分） 现代密码体制的安全性通常取决于密钥的安全，为了保证密钥的安全，密钥管理包括哪些技术问题？ 答：密钥管理包括密钥的产生、存储、分配、组织、使用、停用、更换、销毁等一系列技术问题。

信息安全技术与实践习题答案第3-4章

1、 消息认证是验证消息的完整性，当接收方收到发送方的报文时，接收方能够验证收到的报文是真实的和未被篡改，即验证消息的发送者是真正的而非假冒的（数据起源认证）；同时验证信息在传送过程中未被篡改、重放或延迟等。消息认证和信息保密是构成信息系统安全的两个方面，二者是两个不同属性上的问题：即消息认证不能自动提供保密性，保密性也不能自然提供消息认证功能。 2、 消息鉴别码（Message Authentication Code ）MAC是用公开函数和密钥产生一个固定长度的值作为认证标识，并用该标识鉴别信息的完整性。 MAC是消息和密钥的函数，即MAC = C K（M），其中M是可变长的消息，C 是认证函数，K是收发双方共享的密钥，函数值C K（M）是定长的认证码。认证码被附加到消息后以M‖MAC方式一并发送给接收方，接收方通过重新计算MAC以实现对M的认证。 3、 数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，并与解密的摘要信息进行对比，若相同则说明收到的信息完整，在传输过程中未被修改；否则说明信息被修改。 1）签名应与文件是一个不可分割的整体，可以防止签名被分割后替换文件，替换签名等形式的伪造。 2）签名者事后不能否认自己的签名。 3）接收者能够验证签名，签名可唯一地生成，可防止其他任何人的伪造。 4）当双方关于签名的真伪发生争执时，一个仲裁者能够解决这种争执。 4、 身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程。它通过特定的协议和算法来实现身份认证。身份认证的目的是防止非法用户进入系统； 访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许才能访问，违反预定安全规则的访问将被拒绝。访问控制是为了防止合法用户对系统资源的非法使用。 5、 1）基于口令的认证技术：当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。 2）双因子认证（Two-factor Authentication）：一个因子是只有用户本身知道的密码，可以是默记的个人认证号（PIN）或口令；另一个因子是只有该用户拥有的外部物理实体—

员工信息安全规范(正式)

编订：__________________ 单位：__________________ 时间：__________________ 员工信息安全规范(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号：KG-AO-3205-69 员工信息安全规范(正式) 使用备注：本文档可用在日常工作场景，通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范，从而使得组织内人员按照既定标准、规范的要求进行操作，使日常工作或活动达到预期的水平。下载后就可自由编辑。 1、适用范围 本标准规定了公司员工必须遵循的个人计算机和其他方面的安全要求，规定了员工保护公司涉密信息的责任，并列出了大量可能遇到的情况下的安全要求。 本标准适用于公司所有员工，包括子公司的员工，以及其他经授权使用公司内部资源的人员。 2、计算机安全要求 1）计算机信息登记与使用维护： 每台由公司购买的计算机的领用、使用人变更、配置变更、报废等环节必须经过IT部的登记，严禁私自变更使用人和增减配置； 每位员工有责任保护公司的计算机资源和设备，以及包含的信息。 每位员工必须把自己的计算机名字设置成固定的

格式，一律采用AD域名_所属地区编号组成； 例如某台计算机名为SSSS_100201，SSSS为地区AD域名，100为地区编号，201代表该地区第201个账户。 2）必须在所有个人计算机上激活下列安全控制：所有计算机（包括便携电脑与台式机）必须设有系统密码；系统密码应当符合一定程度的复杂性要求，并不定期更换密码；存储在个人计算机中的包含有公司涉密信息的文件，需要加密存放。 3）当员工离开办公室或工作区域时： 必须立即锁定计算机或者激活带密码保护的屏幕保护程序； 如果办公室或者工作区域能上锁，最后一个离开的员工请锁上办公室或工作区域； 妥善保管所有包含公司涉密内容的文件，如锁进文件柜。 4）防范计算机病毒和其他有害代码： 每位员工由公司配备的计算机上都必须安装和运

个人信息安全问题及对策

专题讲座：浅析个人信息安全问题及对策 对个人隐私的侵犯和保护问题从来就不是一个新话题。但在信息时代，个人信息安全问题已经成为一个严重的社会问题，引起了广泛关注。 据中国青年报社会调查中心通过网络对2422名公众的一项调查显示，88.8％的人表示自己有因为个人信息泄露而遭遇困扰的经历。据美国一家非营利机构统计，自2005年1月至今，在美国发生的各类大大小小的信息安全事故中，总共已有约2.2亿份个人信息记录遗失或被窃取，这些触目惊心的数据和事实充分表明了当前个人信息安全问题的严重性和普遍性。 个人信息的主要内容 我们这里所说的个人信息，特指存储于个人计算机或网络上一切与个人利益有关的数字信息。一般说来，用户在网络上经常使用和产生的个人信息，通常可分为以下几类。 一是个人基本资料，如姓名、年龄、性别、生日、党派、职业、学历、家庭成员、身份证号码等。 二是个人联系方式，如手机号码、固定电话、电子邮箱、通信地址、QQ和MSN等即时通信工具号码等等。 三是个人财务账号，如网银账号、游戏账号、网上股票交易账号、电子交易账号等与经济利益有关的账号。

四是个人计算机特征，如个人计算机使用的操作系统版本、上网ID、论坛ID、本机IP地址等。五是个人网上活动痕迹，即用户在使用网络过程中产生的活动踪迹，如网页浏览记录、网上交易记录、论坛和聊天室发言记录等。六是个人文件数据，即用户不愿被公开浏览、复制、传递的私人文件，如照片、录像、各类文档等。 个人信息泄漏的危害 任何一个人生存和发展都需要保持一定的私密空间，需要保留一些不希望透露给外界的信息，如个人的身份信息、社会经历、生活习惯和兴趣爱好等。这些信息内容不仅涉及到个人的名誉，影响着社会对自己的评价，而且关系到个人正常生活状态的维持，甚至日常社会交往的开展。个人信息的泄漏通常会带来日常生活被骚扰、个人隐私被曝光等不良后果，严重的情况下会导致财产被窃，或个人形象及声誉受到侵害。 对于保密工作者和涉密人员而言，由于工作性质和身份的特殊性，泄漏个人信息的后果就没有这么简单了。黑客一旦掌握这些看似无关紧要的个人资料，就会变得有隙可乘，会处心积虑地以此作为突破口加以深入利用，有可能带来一系列更加严重的后续问题，甚至导致恶性泄密案件的发生。具体说来，如果不小心被黑客获取了足够的个人信息，很可能会产生多种安全隐患。

保护个人信息安全的六大措施

保护个人信息安全的六大措施 现今，数据泄露渐成常态，在此种环境下，如何保护个人的信息安全，成为每个人都应该注意并为之采取措施的问题。 1.网上注册内容时不要填写个人私密信息 互联网时代用户数和用户信息量已然和企业的盈利关联了起来，企业希望尽可能多地获取用户信息。但是很多企业在数据保护上所做的工作存在缺陷，时常会有用户信息泄露事件发生，对于我们普通用户而言，无法干预到企业的采取数据安全保护措施，只能从己方着手，尽可能少地暴露自己的用户信息。 2.尽量远离社交平台涉及的互动类活动 现在很多社交平台，会有一些填写个人信息即可生成有趣内容并可以和朋友分享的活动，看似有趣的表面，实质上却以游戏的手段获取了大量的用户信息，遇到那些奔着个人隐私信息去的“趣味”活动，建议不要参与。 3.安装病毒防护软件 不管是计算机还是智能手机，都已经成为信息泄露的高发地带，往往由于不小心间点击一个链接、下载一个文件，就成功被不法分子攻破，安装防病毒软件进行病毒防护和病毒查杀成为设备使用时的必要手段。 4.不要连接未知WiFi 现在公共场所常常会有些免费WiFi，有些是为了人们提供便利而专门设置的，但是不能忽视的是不法分子也会在公共场所设置钓鱼WiFi，一旦连接到他们的钓鱼WiFi，我们的设备就会被他们反扫描，如果在使用过程中输入账号密码等信息，就会被对方获得。在公众场所尽量不要去连接免费WiFi。 5.警惕手机诈骗 科技在进步，骗子的手段也变得层出不穷，常见莫过于利用短信骗取手机用户的信息。更有可能进行财产诈骗，让受害者遭受重大损失。警惕手机短信里的手机账户异常、银行账户异常、银行系统升级等信息，有可能是骗子利用伪基站发送的诈骗信息。遇到这种短信不要管它，去联系官方工作人员，询问情况。 6.妥善处理好涉及到个人信息的单据 在快递单上会有我们的手机、地址等信息，一些消费小票上也包含部分姓名、银行卡号、消费记录等信息，翼火蛇提示对于已经废弃掉的单据，需要进行妥善处置。

GBT35273-2020《信息安全技术个人信息安全规范》变化分析

GB/T 35273-2020《信息安全技术个人信息安全规范》变化分析 2020年3月6日，国家正式发布GB/T35273-2020《信息安全技术个人信息安全规范》，此标准是在2017年发布的《个人信息安全规范》的基础上经多次修订、并将于2020年10月1日正式实施。 《个人信息安全规范》共分为十个章节，其中包括范围，规范性引用文件，术语和定义，个人信息安全基本原则，个人信息的收集，个人信息的保存，个人信息的使用，个人信息的委托处理、共享、转让、公开披露，个人信息安全事件处置以及组织的管理要求。 核心变化概述 GB/T 35273-2020《信息安全技术个人信息安全规范》，与GB/T 35273-2017相

比，主要变化在于： 一、增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目的所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等。 二、修改了“征得授权同意的例外”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”等。

逐条变化 安言咨询在2020版规范发布之初，即组织内部专业人员对2017年规范及2020版规范进行差异对比，形成《个人信息安全规范差异对比》，如下图，如有需要，请关注公众号并在后台留下您的邮箱，我们会在3月20日前逐一发送。 《个人信息安全规范差异对比》样例 《个人信息安全规范差异对比》样例 总结 《个人信息安全规范》其内容的丰富和可操作性在起草之初就引起实务界的瞩目，成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。 2020版相比2017年版更加贴近行业实践，增强了企业合规工作的可操作性。内