引  言

　　為指導(dǎo)互聯(lián)網(wǎng)企業(yè)建立健全公民個(gè)人信息安全保護(hù)管理制度和技術(shù)措施， 有效防范侵犯公民個(gè)人

　　信息違法行為， 保障網(wǎng)絡(luò)數(shù)據(jù)安全和公民合法權(quán)益， 公安機(jī)關(guān)結(jié)合偵辦侵犯公民個(gè)人信息網(wǎng)絡(luò)犯罪案

　　件和安全監(jiān)督管理工作中掌握的情況， 組織北京市網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、 北京郵電大學(xué)和公安部第三研究所

　　相關(guān)專(zhuān)家， 研究起草了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指引（ 征求意見(jiàn)稿）》。

　　對(duì)指引中的具體事項(xiàng)， 法律法規(guī)另有規(guī)定的， 需遵照其規(guī)定執(zhí)行。

　　個(gè)人信息安全保護(hù)指引

　　1 范圍

　　本指引規(guī)定了個(gè)人信息安全保護(hù)的安全管理機(jī)制、 安全技術(shù)措施和業(yè)務(wù)流程的安全。

　　本指引適用于指導(dǎo)個(gè)人信息持有者在個(gè)人信息生命周期處理過(guò)程中開(kāi)展安全保護(hù)工作， 也適用于網(wǎng)

　　絡(luò)安全監(jiān)管職能部門(mén)依法進(jìn)行個(gè)人信息保護(hù)監(jiān)督檢查時(shí)參考使用。

　　2 規(guī)范性引用文件

　　下列文件對(duì)于本文件的應(yīng)用是必不可少的。 凡是注日期的引用文件， 僅注日期的版本適用于本文件。

　　凡是不注日期的引用文件， 其最新版本（ 包括所有的修改單） 適用于本文件。

　　GB/T 22239—2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

　　GB/T 25069—2010 信息安全技術(shù) 術(shù)語(yǔ)

　　GB/T 35273—2017 信息安全技術(shù) 個(gè)人信息安全規(guī)范

　　3 術(shù)語(yǔ)和定義

　　3.1

　　個(gè)人信息 personal information

　　以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。

　　注： 個(gè)人信息包括姓名、 出生日期、 身份證件號(hào)碼、 個(gè)人生物識(shí)別信息、 住址、 通信通訊聯(lián)系方式、 通信記錄和內(nèi)容、 賬號(hào)密碼、 財(cái)產(chǎn)信息、 征信信息、 行蹤軌跡、 住宿信息、 健康生理信息、 交易信息等。

　　[GB/T 35273-2017， 定義 3.1]

　　3.2

　　個(gè)人信息主體 personal data subject

　　個(gè)人信息所標(biāo)識(shí)的自然人。

　　[GB/T 35273-2017， 定義 3.3]

　　3.3

　　個(gè)人信息生命周期 personal information life cycle

　　包括個(gè)人信息主體收集、 保存、 使用、 委托處理、 共享、 轉(zhuǎn)讓和公開(kāi)披露、 銷(xiāo)毀個(gè)人信息在內(nèi)的全部生命歷程。

　　3.4

　　個(gè)人信息持有者 personal information holder

　　對(duì)個(gè)人信息進(jìn)行控制和處理的組織或個(gè)人。

　　3.5

　　個(gè)人信息持有 personal information hold

　　對(duì)個(gè)人信息及相關(guān)資源、 環(huán)境、 管理體系等進(jìn)行計(jì)劃、 組織、 協(xié)調(diào)、 控制的相關(guān)活動(dòng)或行為。

　　3.6

　　個(gè)人信息收集 collection of personal information

　　個(gè)人信息持有者獲取個(gè)人信息的行為

　　3.7

　　個(gè)人信息使用 usage of personal information

　　通過(guò)自動(dòng)或非自動(dòng)方式對(duì)個(gè)人信息進(jìn)行操作， 例如收集、 記錄、 組織、 排列、 存儲(chǔ)、 改編或變更、 檢索、 咨詢(xún)、 使用、 披露、 傳播、 保護(hù)或以其他方式提供、 調(diào)整或組合、 限制、 刪除或銷(xiāo)毀等。

　　3.8

　　個(gè)人信息刪除 removal of personal information

　　在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息的行為， 使其保持不可被檢索、 訪問(wèn)的狀態(tài)。

　　[GB/T 35273-2017， 定義 3.9]

　　4 管理機(jī)制

　　4.1 管理制度

　　4.1.1 管理制度內(nèi)容

　　a) 應(yīng)制定個(gè)人信息保護(hù)的總體方針和安全策略等相關(guān)規(guī)章制度和文件， 其中包括本機(jī)構(gòu)的個(gè)人信息保護(hù)工作的目標(biāo)、 范圍、 原則和安全框架等相關(guān)說(shuō)明；

　　a) 應(yīng)制定個(gè)人信息的保護(hù)管理制度， 其中包括個(gè)人信息生命周期的工作內(nèi)容；

　　b) 應(yīng)制定工作人員對(duì)個(gè)人信息日常管理的操作規(guī)程；

　　c) 應(yīng)建立個(gè)人信息管理制度體系， 其中包括安全策略、 管理制度、 操作規(guī)程和記錄表單；

　　d) 應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案。

　　4.1.2 管理制度制定發(fā)布

　　a) 應(yīng)指定專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；

　　b) 應(yīng)明確安全管理制度的制定程序和發(fā)布方式， 對(duì)制定的安全管理制度進(jìn)行論證和審定， 并形成論證和評(píng)審記錄；

　　c) 應(yīng)明確管理制度的發(fā)布范圍， 并對(duì)發(fā)文及確認(rèn)情況進(jìn)行登記記錄。

　　4.1.3 管理制度執(zhí)行落實(shí)

　　a) 應(yīng)對(duì)相關(guān)制度執(zhí)行情況進(jìn)行審批登記；

　　b) 應(yīng)保存記錄文件， 確保實(shí)際工作流程與相關(guān)的管理制度內(nèi)容相同；

　　c) 應(yīng)定期匯報(bào)總結(jié)管理制度執(zhí)行情況。

　　4.1.4 管理制度評(píng)審改進(jìn)

　　a) 應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審， 存在不足或需要改進(jìn)的予以修訂； 應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審， 發(fā)現(xiàn)存在不足或需要改進(jìn)應(yīng)及時(shí)進(jìn)行修訂；

　　b) 安全管理制度評(píng)審應(yīng)形成記錄， 如果對(duì)制度做過(guò)修訂， 應(yīng)更新所有下發(fā)的相關(guān)安全管理制度。

　　4.2 管理機(jī)構(gòu)

　　4.2.1 管理機(jī)構(gòu)的崗位設(shè)置

　　a) 應(yīng)設(shè)置指導(dǎo)和管理個(gè)人信息保護(hù)工作機(jī)構(gòu)， 明確定義各個(gè)機(jī)構(gòu)的職責(zé)；

　　b) 最高管理者或最高管理者應(yīng)設(shè)置專(zhuān)門(mén)崗位從事個(gè)人信息保護(hù)的工作；

　　c) 應(yīng)明確設(shè)置安全主管、 安全管理各個(gè)方面的負(fù)責(zé)人、 機(jī)房管理員、 系統(tǒng)管理員、 網(wǎng)絡(luò)管理員和安全管理員等各個(gè)崗位， 清晰、 明確定義其職責(zé)范圍。

　　4.2.2 管理機(jī)構(gòu)的人員配置

　　a) 應(yīng)明確安全管理崗位人員的配備， 包括數(shù)量、 專(zhuān)職還是兼職情況等； 配備負(fù)責(zé)數(shù)據(jù)保護(hù)的專(zhuān)門(mén)人員；

　　b) 應(yīng)建立安全管理崗位人員信息表， 登記機(jī)房管理員、 系統(tǒng)管理員、 數(shù)據(jù)庫(kù)管理員、 網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息， 安全管理員不應(yīng)兼任網(wǎng)絡(luò)管理員、 系統(tǒng)管理員、 數(shù)據(jù)庫(kù)管理員等崗位。

　　4.3 管理人員

　　4.3.1 管理人員的錄用

　　a) 應(yīng)設(shè)立專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)人員的錄用工作；

　　b) 應(yīng)明確人員錄用時(shí)對(duì)人員的條件要求， 對(duì)被錄用人的身份、 背景和專(zhuān)業(yè)資格進(jìn)行審查， 對(duì)技術(shù)人員的技術(shù)技能進(jìn)行考核；

　　c) 錄用后應(yīng)簽署相應(yīng)的針對(duì)個(gè)人信息的保密協(xié)議。

　　d) 應(yīng)建立管理文檔， 說(shuō)明錄用人員應(yīng)具備的條件（ 如學(xué)歷、 學(xué)位要求， 技術(shù)人員應(yīng)具備的專(zhuān)業(yè)技術(shù)水平， 管理人員應(yīng)具備的安全管理知識(shí)等） ；

　　e) 應(yīng)記錄錄用人身份、 背景和專(zhuān)業(yè)資格等， 記錄審查內(nèi)容和審查結(jié)果等；

　　f) 應(yīng)記錄錄用人錄用時(shí)的技能考核文檔或記錄， 記錄考核內(nèi)容和考核結(jié)果等；

　　g) 應(yīng)簽訂保密協(xié)議， 其中包括保密范圍、 保密責(zé)任、 違約責(zé)任、 協(xié)議的有效期限和責(zé)任人簽字等內(nèi)容。

　　4.3.2 管理人員的離崗

　　a) 人員離崗時(shí)應(yīng)辦理調(diào)離手續(xù)， 簽署調(diào)離后個(gè)人信息保密義務(wù)的承諾書(shū)；

　　b) 應(yīng)對(duì)即將離崗人員具有控制方法， 及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限， 取回其身份認(rèn)證的配件，諸如身份證件、 鑰匙、 徽章以及機(jī)構(gòu)提供的軟硬件設(shè)備；

　　c) 應(yīng)形成對(duì)離崗人員的安全處理記錄（ 如交還身份證件、 設(shè)備等的登記記錄）；

　　d) 應(yīng)具有按照離職程序辦理調(diào)離手續(xù)的記錄。

　　4.3.3 管理人員的考核

　　a) 應(yīng)設(shè)立專(zhuān)人負(fù)責(zé)定期對(duì)接觸個(gè)人信息數(shù)據(jù)工作的工作人員進(jìn)行全面、 嚴(yán)格的安全審查、 意識(shí)考核和技能考核；

　　b) 應(yīng)按照考核周期形成考核文檔， 考核人員應(yīng)包括各個(gè)崗位的人員。

　　4.3.4 管理人員的教育培訓(xùn)

　　a) 應(yīng)制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各崗位員工進(jìn)行基本的安全意識(shí)教育培訓(xùn)和崗位技能培訓(xùn)；

　　b) 應(yīng)對(duì)違反違背制定的安全策略和規(guī)定的人員進(jìn)行懲戒；

　　c) 應(yīng)定期考查安全管理員、 系統(tǒng)管理員和網(wǎng)絡(luò)管理員其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、 安全責(zé)任和懲戒措施等的理解程度；

　　d) 應(yīng)制定安全教育和培訓(xùn)計(jì)劃文檔， 明確培訓(xùn)方式、 培訓(xùn)對(duì)象、 培訓(xùn)內(nèi)容、 培訓(xùn)時(shí)間和地點(diǎn)等，培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識(shí)、 崗位操作規(guī)程等；

　　e) 應(yīng)形成安全教育和培訓(xùn)記錄， 記錄包含培訓(xùn)人員、 培訓(xùn)內(nèi)容、 培訓(xùn)結(jié)果等。

　　4.3.5 外部人員訪問(wèn)

　　a) 應(yīng)建立關(guān)于物理環(huán)境的外部人員訪問(wèn)的安全措施：

　　1) 制定外部人員允許訪問(wèn)的設(shè)備、 區(qū)域和信息的規(guī)定；

　　2) 外部人員訪問(wèn)前需要提出書(shū)面申請(qǐng)；

　　3) 外部人員訪問(wèn)被批準(zhǔn)后應(yīng)有專(zhuān)人全程陪同或監(jiān)督；

　　4) 外部人員訪問(wèn)情況應(yīng)登記備案。

　　b) 應(yīng)建立關(guān)于網(wǎng)絡(luò)通道的外部人員訪問(wèn)的安全措施：

　　1) 外部人員訪問(wèn)時(shí)應(yīng)進(jìn)行身份認(rèn)證；

　　2) 應(yīng)根據(jù)外部訪問(wèn)人員的身份劃分不同的訪問(wèn)權(quán)限和訪問(wèn)內(nèi)容；

　　3) 應(yīng)對(duì)外部訪問(wèn)人員的訪問(wèn)時(shí)間進(jìn)行限制；

　　4) 對(duì)外部訪問(wèn)人員對(duì)個(gè)人信息的操作進(jìn)行記錄。

　　5 技術(shù)措施

　　5.1 基本要求

　　應(yīng)按照GB/T 22239—2008 7.1第三級(jí)的物理安全、 網(wǎng)絡(luò)安全、 主機(jī)安全、 應(yīng)用安全、 數(shù)據(jù)安全及備份恢復(fù)要求進(jìn)行安全保護(hù)， 并滿(mǎn)足以下要求：

　　5.1.1 網(wǎng)絡(luò)和通信安全

　　5.1.1.1 網(wǎng)絡(luò)架構(gòu)

　　a) 應(yīng)為個(gè)人信息處理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域， 并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；

　　b) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)作為重點(diǎn)區(qū)域部署， 并設(shè)有邊界防護(hù)措施。

　　5.1.1.2 通信傳輸

　　a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中個(gè)人信息的完整性；

　　b) 應(yīng)采用密碼技術(shù)保證通信過(guò)程中個(gè)人信息字段或整個(gè)報(bào)文的保密性。

　　5.1.1.3 邊界防護(hù)

　　應(yīng)確?？缭竭吔绲脑L問(wèn)和個(gè)人信息流通過(guò)邊界設(shè)備提供的受控接口進(jìn)行通信。

　　5.1.1.4 訪問(wèn)控制

　　應(yīng)在個(gè)人信息處理系統(tǒng)邊界根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則。

　　5.1.1.5 入侵防范

　　應(yīng)在個(gè)人信息處理系統(tǒng)邊界部署入侵防護(hù)設(shè)備， 檢測(cè)、 防止或限制從外部、 內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

　　5.1.1.6 惡意代碼和垃圾郵件防范

　　應(yīng)在個(gè)人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除， 并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。

　　5.1.1.7 安全審計(jì)

　　a) 應(yīng)在個(gè)人信息處理系統(tǒng)的網(wǎng)絡(luò)邊界、 重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)， 審計(jì)應(yīng)覆蓋到每個(gè)用戶(hù)， 應(yīng)對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)；

　　b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、 用戶(hù)、 事件類(lèi)型、 事件是否成功及其他與審計(jì)相關(guān)的信息；

　　c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 定期備份并避免受到未預(yù)期的刪除、 修改或覆蓋等；

　　d) 審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求；

　　e) 應(yīng)能夠?qū)h(yuǎn)程訪問(wèn)的用戶(hù)行為、 訪問(wèn)互聯(lián)網(wǎng)的用戶(hù)行為等單獨(dú)進(jìn)行行為審計(jì)和數(shù)據(jù)分析。

　　5.1.2 設(shè)備和計(jì)算

　　5.1.2.1 身份鑒別

　　a) 應(yīng)對(duì)登陸個(gè)人信息處理系統(tǒng)的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別；

　　b) 應(yīng)確保身份鑒別標(biāo)識(shí)不易被冒用；

　　c) 身份鑒別信息應(yīng)定期更換并有一定的復(fù)雜度；

　　d) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)啟用登陸失敗處理功能， 采取諸如結(jié)束會(huì)話、 限制非法登錄次數(shù)和自動(dòng)退出等措施；

　　e) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)， 應(yīng)采取措施防止身份鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)；

　　f) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)采用口令、 密碼技術(shù)、 生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別， 且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

　　5.1.2.2 訪問(wèn)控制

　　a) 應(yīng)對(duì)登陸個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備的用戶(hù)分配賬戶(hù)和權(quán)限；

　　b) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)重命名或刪除默認(rèn)賬戶(hù)， 修改默認(rèn)賬戶(hù)的默認(rèn)口令；

　　c) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)及時(shí)刪除或停用多余的、 過(guò)期的賬戶(hù)， 避免共享賬戶(hù)的存在；

　　d) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)進(jìn)行角色劃分， 并授予管理用戶(hù)所需的最小權(quán)限，實(shí)現(xiàn)管理用戶(hù)的權(quán)限分離；

　　e) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)由授權(quán)主體配置訪問(wèn)控制策略， 訪問(wèn)控制策略應(yīng)規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；

　　f) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備的訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí)或進(jìn)程級(jí)， 客體為文件、 數(shù)據(jù)庫(kù)表級(jí)；

　　g) 個(gè)人信息處理系統(tǒng)和存儲(chǔ)個(gè)人信息的設(shè)備應(yīng)對(duì)個(gè)人信息設(shè)置安全標(biāo)記， 并控制主體對(duì)有安全標(biāo)記資源的訪問(wèn)。

　　5.1.2.3 安全審計(jì)

　　a) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)啟用安全審計(jì)功能， 并且審計(jì)覆蓋到每個(gè)用戶(hù)， 應(yīng)對(duì)重要的用戶(hù)行為和重要的安全事件進(jìn)行審計(jì)；

　　b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、 用戶(hù)、 事件類(lèi)型、 事件是否成功及其他與審計(jì)相關(guān)的信息；

　　c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 進(jìn)行定期備份并避免受到未預(yù)期的刪除、 修改或覆蓋等；

　　d) 審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求；

　　e) 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)， 防止未經(jīng)授權(quán)的中斷。

　　5.1.2.4 入侵防范

　　a) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)遵循最小安裝的原則， 只安裝需要的組件和應(yīng)用程序；

　　b) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、 默認(rèn)共享和高危端口；

　　c) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制；

　　d) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)能夠發(fā)現(xiàn)存在的已知漏洞， 并在經(jīng)過(guò)充分測(cè)試評(píng)估后， 及時(shí)修補(bǔ)漏洞；

　　e) 個(gè)人信息處理和存儲(chǔ)設(shè)備應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)的入侵行為， 并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

　　5.1.2.5 惡意代碼防范和程序可信執(zhí)行

　　應(yīng)采取免受惡意代碼攻擊的技術(shù)措施或可信驗(yàn)證機(jī)制對(duì)系統(tǒng)程序、 應(yīng)用程序和重要配置文件/參數(shù)進(jìn)行可信執(zhí)行驗(yàn)證， 并在檢測(cè)到其完整性受到破壞時(shí)采取恢復(fù)措施。

　　5.1.2.6 資源控制

　　a) 應(yīng)限制單個(gè)用戶(hù)或進(jìn)程對(duì)個(gè)人信息處理和存儲(chǔ)設(shè)備系統(tǒng)資源的最大使用限度；

　　b) 應(yīng)提供重要節(jié)點(diǎn)設(shè)備的硬件冗余， 保證系統(tǒng)的可用性；

　　c) 應(yīng)對(duì)重要節(jié)點(diǎn)進(jìn)行監(jiān)視， 包括監(jiān)視 CPU、 硬盤(pán)、 內(nèi)存等資源的使用情況；

　　d) 應(yīng)能夠?qū)χ匾?jié)點(diǎn)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警。

　　5.1.3 應(yīng)用和數(shù)據(jù)

　　5.1.3.1 身份鑒別

　　a) 個(gè)人信息處理應(yīng)用應(yīng)對(duì)登陸的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別， 該身份標(biāo)識(shí)應(yīng)具有唯一性， 鑒別信息應(yīng)具有復(fù)雜度并要求定期更換；

　　b) 個(gè)人信息處理應(yīng)用應(yīng)提供并啟用登陸失敗處理功能， 并在多次登陸后采取必要的保護(hù)措施；

　　c) 個(gè)人信息處理應(yīng)用應(yīng)強(qiáng)制用戶(hù)首次登陸時(shí)修改初始口令；

　　d) 用戶(hù)身份鑒別信息丟失或失效時(shí)， 應(yīng)采取技術(shù)措施保證鑒別信息重置過(guò)程的安全；

　　e) 應(yīng)采取口令、 密碼技術(shù)、 生物技術(shù)等兩種或兩種以上的組合鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別， 且其中一種鑒別技術(shù)使用密碼技術(shù)來(lái)實(shí)現(xiàn)；

　　5.1.3.2 訪問(wèn)控制

　　a) 個(gè)人信息處理應(yīng)用應(yīng)提供訪問(wèn)控制功能， 并對(duì)登陸的用戶(hù)分配賬戶(hù)和權(quán)限；

　　b) 應(yīng)重命名或刪除默認(rèn)賬戶(hù)， 修改默認(rèn)賬戶(hù)的默認(rèn)口令；

　　c) 應(yīng)及時(shí)刪除或停用多余的、 過(guò)期的賬戶(hù)， 避免共享賬戶(hù)的存在；

　　d) 應(yīng)授予不同賬戶(hù)為完成各自承擔(dān)任務(wù)所需的最小權(quán)限， 在它們之間形成相互制約的關(guān)系；

　　e) 應(yīng)由授權(quán)主體配置訪問(wèn)控制策略， 訪問(wèn)控制策略規(guī)定主體對(duì)客體的訪問(wèn)規(guī)則；

　　f) 訪問(wèn)控制的粒度應(yīng)達(dá)到主體為用戶(hù)級(jí)， 客體為文件、 數(shù)據(jù)庫(kù)表級(jí)、 記錄或字段級(jí)；

　　g) 個(gè)人信息應(yīng)設(shè)置安全標(biāo)記， 控制主體對(duì)有安全標(biāo)記資源的訪問(wèn)；

　　5.1.3.3 安全審計(jì)

　　a) 個(gè)人信息處理應(yīng)用應(yīng)提供安全審計(jì)功能， 審計(jì)應(yīng)覆蓋到每個(gè)用戶(hù)， 應(yīng)對(duì)重要的用戶(hù)行為和重要的安全事件進(jìn)行審計(jì)；

　　b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、 用戶(hù)、 事件類(lèi)型、 事件是否成功及其他與審計(jì)相關(guān)的信息；

　　c) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)， 定期備份， 并避免受到未預(yù)期的刪除、 修改或覆蓋等；

　　d) 審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)的要求；

　　e) 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)， 防止未經(jīng)授權(quán)的中斷。

　　5.1.3.4 軟件容錯(cuò)

　　a) 應(yīng)提供個(gè)人信息的有效性校驗(yàn)功能， 保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的內(nèi)容符合個(gè)人信息處理應(yīng)用設(shè)定要求；

　　b) 應(yīng)能夠發(fā)現(xiàn)個(gè)人信息處理應(yīng)用軟件組件可能存在的已知漏洞， 并能夠在充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞；

　　c) 應(yīng)能夠在故障發(fā)生時(shí)， 繼續(xù)提供一部分功能， 并能夠?qū)嵤┍匾拇胧?/p>

　　5.1.3.5 資源控制

　　a) 在通信雙方中的一方在一段時(shí)間內(nèi)未做任何響應(yīng)時(shí)， 另一方應(yīng)能夠自動(dòng)結(jié)束會(huì)話；

　　b) 應(yīng)對(duì)個(gè)人信息處理系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；

　　c) 應(yīng)能夠?qū)蝹€(gè)用戶(hù)的多重并發(fā)會(huì)話進(jìn)行限制。

　　5.1.3.6 數(shù)據(jù)完整性

　　a) 應(yīng)采取校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性， 包括但不限于鑒別數(shù)據(jù)和個(gè)人信息；

　　b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性， 包括但不限于鑒別數(shù)據(jù)和個(gè)人信息；

　　5.1.3.7 數(shù)據(jù)保密性

　　a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性， 包括但不限于鑒別數(shù)據(jù)和個(gè)人信息；

　　b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性， 包括但不限于鑒別數(shù)據(jù)和個(gè)人信息；

　　5.1.3.8 數(shù)據(jù)備份恢復(fù)

　　a) 應(yīng)提供個(gè)人信息的本地?cái)?shù)據(jù)備份與恢復(fù)功能；

　　b) 應(yīng)提供異地實(shí)時(shí)備份功能， 利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；

　　c) 應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余， 保證系統(tǒng)的高可用性。

　　5.1.3.9 剩余信息保護(hù)

　　a) 應(yīng)保證鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前得到完全清除；

　　b) 應(yīng)保證存有個(gè)人信息的存儲(chǔ)空間被釋放或重新分配前得到完全清除。

　　5.2 增強(qiáng)要求

　　5.2.1 云計(jì)算安全增強(qiáng)要求

　　a) 應(yīng)使用校驗(yàn)技術(shù)或密碼技術(shù)保證虛擬機(jī)遷移過(guò)程中， 個(gè)人信息的完整性， 并在檢測(cè)到完整性受到破壞時(shí)采取必要的恢復(fù)措施；

　　b) 應(yīng)使用密碼技術(shù)保證虛擬機(jī)遷移過(guò)程中， 個(gè)人信息的保密性， 防止在遷移過(guò)程中的個(gè)人信息泄露；

　　5.2.2 物聯(lián)網(wǎng)安全擴(kuò)展增強(qiáng)要求

　　物聯(lián)網(wǎng)感知節(jié)點(diǎn)設(shè)備采集信息回傳應(yīng)采用密碼技術(shù)保證通信過(guò)程中個(gè)人信息的保密性。

　　6 業(yè)務(wù)流程

　　6.1 收集

　　個(gè)人信息的收集行為應(yīng)滿(mǎn)足以下要求：

　　a) 個(gè)人信息收集前， 應(yīng)向被收集的個(gè)人信息主體公示本機(jī)構(gòu)收集的目的、 范圍、 方法和手段、 處理方式等信息；

　　b) 個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán)；

　　c) 個(gè)人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議， 不應(yīng)有超范圍收集的現(xiàn)象；

　　d) 應(yīng)確保收集個(gè)人信息過(guò)程的安全性：

　　1） 收集個(gè)人信息之前， 應(yīng)有對(duì)被收集人進(jìn)行身份認(rèn)證的機(jī)制， 該身份認(rèn)證機(jī)制應(yīng)具有相應(yīng)安全性；

　　2） 收集個(gè)人信息時(shí)， 信息在傳輸過(guò)程中應(yīng)進(jìn)行加密等保護(hù)處理；

　　3） 收集個(gè)人信息的系統(tǒng)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求；

　　4） 收集個(gè)人信息時(shí)應(yīng)有對(duì)收集內(nèi)容進(jìn)行安全檢測(cè)和過(guò)濾的機(jī)制， 防止非法內(nèi)容提交。

　　6.2 保存

　　個(gè)人信息的保存行為應(yīng)滿(mǎn)足以下要求：

　　a) 收集到的個(gè)人信息應(yīng)采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理；

　　b) 應(yīng)對(duì)保存的個(gè)人信息根據(jù)收集、 使用目的、 被收集人授權(quán)設(shè)置相應(yīng)的保存時(shí)限；

　　c) 應(yīng)對(duì)保存的個(gè)人信息在超出設(shè)置的時(shí)限后予以刪除；

　　d) 保存信息的主要設(shè)備， 應(yīng)對(duì)個(gè)人信息數(shù)據(jù)提供備份和恢復(fù)功能， 確保數(shù)據(jù)備份的頻率和時(shí)間間隔， 并使用不少于以下一種備份手段：

　　1) 具有本地?cái)?shù)據(jù)備份功能；

　　2) 將備份介質(zhì)進(jìn)行場(chǎng)外存放；

　　3) 具有異地?cái)?shù)據(jù)備份功能。

　　6.3 應(yīng)用

　　個(gè)人信息的應(yīng)用應(yīng)滿(mǎn)足以下要求：

　　a) 對(duì)個(gè)人信息的應(yīng)用， 應(yīng)符合與個(gè)人信息主體簽署的相關(guān)協(xié)議和規(guī)定， 不應(yīng)超范圍應(yīng)用個(gè)人信息；

　　注： 經(jīng)過(guò)匿名化或脫敏的方式處理的個(gè)人信息數(shù)據(jù)可用于歷史、 統(tǒng)計(jì)或科學(xué)目的， 可以超出與信息主體簽署的相關(guān)使用協(xié)議和約定， 但應(yīng)提供適當(dāng)?shù)谋Ｗo(hù)措施進(jìn)行保護(hù)。

　　b) 個(gè)人信息主體應(yīng)擁有控制本人信息的權(quán)限， 包括：

　　1) 允許對(duì)本人信息的訪問(wèn)；

　　2) 允許對(duì)本人信息的修改， 包括糾正不準(zhǔn)確和不完整的數(shù)據(jù)；

　　c) 應(yīng)對(duì)個(gè)人信息的接觸者設(shè)置相應(yīng)的訪問(wèn)控制措施， 包括：

　　1) 對(duì)被授權(quán)訪問(wèn)個(gè)人信息數(shù)據(jù)的工作人員按照最小授權(quán)的原則， 只能訪問(wèn)最少夠用的信息，只具有完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限；

　　2) 對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程， 如批量修改、 拷貝、 下載等；

　　3) 對(duì)特定人員超限制處理個(gè)人信息時(shí)配置相應(yīng)的責(zé)任人或負(fù)責(zé)機(jī)構(gòu)進(jìn)行審批， 并對(duì)這種行為進(jìn)行記錄。

　　d) 應(yīng)對(duì)必須要通過(guò)界面展示的個(gè)人信息進(jìn)行去標(biāo)識(shí)化的處理。

　　6.4 刪除

　　a) 個(gè)人信息相關(guān)存儲(chǔ)設(shè)備， 應(yīng)在個(gè)人信息超過(guò)保存時(shí)限之后進(jìn)行刪除；

　　b) 個(gè)人信息相關(guān)存儲(chǔ)設(shè)備， 將存儲(chǔ)的個(gè)人信息數(shù)據(jù)進(jìn)行刪除之后應(yīng)采取措施防止通過(guò)技術(shù)手段恢復(fù)；

　　c) 對(duì)存儲(chǔ)過(guò)個(gè)人信息的設(shè)備在進(jìn)行新信息的存儲(chǔ)時(shí)， 應(yīng)將之前的內(nèi)容全部進(jìn)行刪除；

　　d) 廢棄存儲(chǔ)設(shè)備， 應(yīng)在進(jìn)行刪除后再進(jìn)行處理。

　　6.5 第三方委托處理

　　a) 在對(duì)個(gè)人信息委托處理時(shí)， 不應(yīng)超出該信息主體授權(quán)同意的范圍；

　　b) 在對(duì)個(gè)人信息的相關(guān)處理進(jìn)行委托時(shí)， 應(yīng)對(duì)受托方的數(shù)據(jù)安全能力進(jìn)行評(píng)估；

　　c) 對(duì)個(gè)人信息進(jìn)行委托處理時(shí)， 應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本規(guī)范；

　　d) 應(yīng)向受托方進(jìn)行對(duì)個(gè)人信息數(shù)據(jù)的使用和訪問(wèn)的授權(quán)；

　　e) 受托方對(duì)個(gè)人信息的相關(guān)數(shù)據(jù)進(jìn)行處理完成之后， 應(yīng)對(duì)存儲(chǔ)的個(gè)人信息數(shù)據(jù)的內(nèi)容進(jìn)行刪除。

　　6.6 共享和轉(zhuǎn)讓

　　如存在個(gè)人信息共享和轉(zhuǎn)讓行為時(shí)， 應(yīng)滿(mǎn)足以下要求：

　　a) 共享和轉(zhuǎn)讓行為應(yīng)經(jīng)過(guò)合法性、 必要性評(píng)估；

　　b) 在對(duì)個(gè)人信息進(jìn)行共享和轉(zhuǎn)讓時(shí)應(yīng)進(jìn)行安全影響評(píng)估， 應(yīng)對(duì)受讓方的數(shù)據(jù)安全能力進(jìn)行評(píng)估，并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；

　　c) 在共享、 轉(zhuǎn)讓前應(yīng)向個(gè)人信息主體告知轉(zhuǎn)讓該信息的目的、 數(shù)據(jù)接收方的類(lèi)型等信息；

　　d) 在共享、 轉(zhuǎn)讓前應(yīng)得到個(gè)人信息主體的授權(quán)同意；

　　e) 應(yīng)記錄共享、 轉(zhuǎn)讓信息內(nèi)容， 將共享、 轉(zhuǎn)讓情況中包括共享、 轉(zhuǎn)讓的日期、 數(shù)據(jù)量、 目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行登記；

　　f) 在共享、 轉(zhuǎn)讓后應(yīng)了解接收方對(duì)個(gè)人信息的保存、 使用情況和個(gè)人信息主體的權(quán)利， 例如訪問(wèn)、更正、 刪除、 注銷(xiāo)等。

　　6.7 公開(kāi)披露

　　個(gè)人信息原則上不得公開(kāi)披露。 如存在該行為， 應(yīng)滿(mǎn)足以下要求：

　　a) 公開(kāi)披露行為應(yīng)經(jīng)過(guò)合法性、 必要性評(píng)估；

　　b) 應(yīng)對(duì)該行為進(jìn)行安全影響評(píng)估， 并按照評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；

　　c) 在披露前應(yīng)向個(gè)人信息主體告知披露的目的、 類(lèi)型等；

　　d) 在公開(kāi)披露前應(yīng)得到個(gè)人信息主體的明示同意；

　　e) 應(yīng)記錄公開(kāi)披露的信息內(nèi)容， 將公開(kāi)披露情況中包括公開(kāi)披露的日期、 數(shù)據(jù)量、 目的和數(shù)據(jù)接收方的基本情況在內(nèi)的信息進(jìn)行記錄。

　　6.8 應(yīng)急處置

　　a) 應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制；

　　b) 應(yīng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；

　　c) 應(yīng)定期組織相關(guān)個(gè)人信息事件安全事件演練；

　　d) 應(yīng)制定相關(guān)制度信息， 在個(gè)人信息處理過(guò)程中發(fā)生應(yīng)急事件時(shí)具有上報(bào)有關(guān)主管部門(mén)的機(jī)制；

　　e) 應(yīng)對(duì)進(jìn)行個(gè)人信息處理的相關(guān)內(nèi)部人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練；

　　f) 應(yīng)了解知曉應(yīng)急處置策略和規(guī)程；

　　g) 應(yīng)記錄信息安全事件信息， 在應(yīng)急事件發(fā)生后對(duì)事件內(nèi)容進(jìn)行記錄， 包括發(fā)現(xiàn)事件的人員、 事件、 涉及的個(gè)人信息和人數(shù)、 發(fā)生事件的系統(tǒng)名稱(chēng)等；

　　h) 應(yīng)對(duì)事件造成的影響進(jìn)行評(píng)估， 并采取必要的措施對(duì)事態(tài)進(jìn)行控制；

　　i) 應(yīng)將事件的情況告知受影響的個(gè)人信息主體。