DB13/T 5001-2019 信息安全技术 信息系统个人信息保护技术与管理规范

附件大小:0.41MB
附件格式:1个直链文件,格式为pdf
所属分类:其他规范
分享会员:
分享时间:
最后更新:
资源简介/截图:

ICS 35.030
L 09 DB13
河北省 地方标准
DB 13/T 5001—2019
信息安全技术 信息系统个人信息保护技术与管理规范
2019 - 07 - 04 发布 2019 - 08 - 01 实施
河北省市场监督管理局 发 布

DB13/T 5001,DB13/T 5001-2019,个人信息保护技术,信息安全技术,信息系统,DB13/T 5001-2019 信息安全技术 信息系统个人信息保护技术与管理规范

1 范围
本标准规定了信息系统个人信息处理过程中收集、加工、转移、删除四个阶段安全要求,提出了
信息系统个人信息保护的技术要求和管理要求。
本标准适用于信息系统个人信息安全保护应用单位信息系统的建设和管理,也适用于管理机构指
导涉及信息系统个人信息保护的安全建设、检查、监督,或信息系统使用单位自查等。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的,凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 2887-2011 计算机场地通用规范
GB/T 9361-2011 计算机场地安全要求
GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南
GB/T 31167-2014 信息安全技术 云计算服务安全指南
GB/T 31168-2014 信息安全技术 云计算服务安全能力要求
GB/T 35273-2017 信息安全技术 个人信息安全规范
3 术语和定义
GB/Z 28828、GB/T 35273中界定的术语和定义适用于本文件。为了便于使用,以下重复列出了GB/Z
28828、GB/T 35273中某些术语和定义。
3.1
个人信息最小元素集 minimum collection of personal information
实现产品或服务核心业务功能和满足法律法规要求所必需使用的个人信息集合。
3.2
信息系统 information system
计算机信息系统,由计算机(含移动通信终端)及其相关的配套的设备、设施(含网络)构成的,
按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.3
个人信息 personal information
指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包
括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
3.4
个人信息主体 subject of personal information
个人信息所标识的自然人。
3.5
个人信息管理者 administrator of personal information
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
3.6
个人信息获得者 receiver of personal information
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
3.7
个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健 康受到损害或
歧视性待遇等的个人信息。
3.8
个人一般信息 personal general information
除个人敏感信息以外的个人信息。
3.9
个人信息处理 personal information handing
处置个人信息的行为,包括收集、加工、转移、删除。
3.10
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息 主体的过程。
3.11
匿名化 anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能 被复原的过程。
4 信息系统个人信息处理过程安全要求
4.1 概述
本文件按照GB/Z 28828中5.1的要求,从收集、加工、转移和删除4个主要环节对信息系统个人信
息处理过程提出以下安全要求,信息处理基本原则应满足GB/Z 28828中4.2的要求。
4.2 收集
4.2.1 告知和警示
本项目包括但不限于:
a) 应制定相应制度,将个人信息收集的目的、范围、方法和手段、处理方式等明确告知或警示
个人信息主体,只收集能够达到已告知目的的个人信息最小元素集,并征得个人信息主体授
权同意,例外情况应满足 GB/T 35273 中 5.4 的要求;
b) 应在进行个人信息收集前,确认数据来源的合法性,如果是通过交易得来的数据,明确交易
对象和过程的合法性,个人信息的合法性应满足 GB/T 35273 中 5.1 的要求;
c) 收集未成年人个人信息前,应征得未成年人或其监护人的明示同意,未满 14 周岁的,应征得
其监护人的明示同意;
d) 应采用个人信息主体易知悉的方式,通过技术手段明确告知、警示和承诺相关事项,具体内 容应满足 a)项要求;

资源链接请先登录(扫码可直接登录、免注册)
十年老网站,真实资源、每天更新、会员免费畅享!
高速直链,非网盘分享!浏览器直接下载、拒绝套路!
本站已在工信部及公安备案,真实可信!
手机扫码一键登录、无需填写资料及验证,支持QQ/微信/微博(建议QQ,支持手机快捷登录)
①升级会员方法:一键登录后->用户中心(右上角)->升级会员菜单
②注册登录、单独下载/升级会员、下载失败处理等任何问题,请加客服微信
不会操作?点此查看“会员注册登录方法”

投稿会员:llff11358
我的头像

您必须才能评论!

手机扫码、免注册、直接登录

 注意:QQ登录支持手机端浏览器一键登录及扫码登录
微信仅支持手机扫码一键登录

账号密码登录(仅适用于原老用户)