报告预览

2018年数据安全标准与产业实践.pdf

编号：95584

PDF 29页 2.31MB 下载积分：VIP专享

下载报告请您先登录！

2018年数据安全标准与产业实践.pdf

1、数据安全标准与产业实践目录数据安全国家标准进展个人信息保护标准与产业实践数据安全能力标准与产业实践数据安全国家标准进展数据安全的政策和标准习近平总书记在中央政治局第二次集体学习国家大数据战略会议上强调要切实保障我国数据安全。网络安全法：国家建立和完善网络安全标准体系。提及数据16处：数据安全、个人信息保护、数据跨境流动、国家层面的数据安全等。数据安全国家标准是对国家法律法规和政策规章的细化支撑，也是大数据安全保障体系的重要组成部分。网络安全法刑法（九）法律民法总则.网络数据安全管理办法个人信息和重要数据出境安全评估办法行政法规/部门规章关键信息基础设施保护条例.GB/T 35273 个人信

2、息安全规范GB/T 35274 大数据服务安全能力要求标准规范数据出境安全评估指南.人大关于加强网络信息保护的决定数据安全国家标准制定项目序号序号名称名称状态状态立项时间立项时间1信息安全技术个人信息安全规范GB/T 信息安全技术大数据服务安全能力要求GB/T 信息安全技术大数据安全管理指南报批稿20164信息安全技术数据安全能力成熟度模型报批稿20175信息安全技术数据交易服务安全要求报批稿20176信息安全技术数据出境安全评估指南征求意见稿20177信息安全技术个人信息去标识化指南报批稿20178信息安全技术个人信

3、息安全影响评估指南征求意见稿20179信息安全技术个人信息安全工程指南草案201810信息安全技术健康医疗信息安全指南草案201811信息安全技术政务信息共享数据安全规范草案2018现有22项数据安全标准项目，已发布2项大数据安全国家标准，在研9项国家标准数据安全国家标准制定和研究项目What：要求什么？How：怎样做到？Why：如何判断？SC27的数据安全标准序号标准名称标准状态编辑1ISO/IEC 20547-4信息技术大数据参考架构第4部分：安全与隐私保护第四版工作组草案中国、德国2ISO/IEC 19086-4云计算服务水平协议（SLA）框架第4 部分：安全与隐私保护FDI

4、S最终国际标准草案美国3ISO/IEC 27040:2015 信息技术安全技术存储安全已出版4ISO/IEC 27030信息技术安全技术物联网的安全和隐私指南第一版工作组草案日本、美国5ISO/IEC 27045大数据安全与隐私过程NP新标准立项中国、加拿大6大数据安全与隐私实现指南SP标准研究项目中国、加拿大7数据安全SC层面研究组中国、美国SC27的隐私保护标准SC27隐私保护标准体系隐私保护标准体系Privacy Management StandardsIS 29151:2017Privacy extension to 27002IS 27018:2014Specific t

5、o cloud27552(under development)Privacy extension to 27001 and 27002Contains two annexes(A and B)of controls,for PII Controllers and ProcessorsRelationship to GDPR is also provided in an informative annex个人信息安全规范内容内容对象对象范围范围状态状态亮点亮点本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。涉及个人信息处理活动的各类组织个人信息保护

6、七大原则权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则适用于规范各类组织个人信息处理活动，也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。GB/T 25273-2017个人信息去标识化指南为个人信息去标识化工作的开展建立整体的原则，并指导、规范个人信息去标识化工作的方法和过程，提升组织机构的合规能力。本标准一方面可以为个人信息处理相关方提供去标识化的指导，另一方面则为第三方机构测评提供依据。本标准旨在在实现数据可用性和个人信息安全平衡的前提下，促进数据的共享开放。个人信息安全影响评估指南本标准规定了个人信息

7、安全影响评估的基本概念、框架、方法和流程。本标准适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。边界分析涉及的个人信息处理活动安全保护措施有效性分析个人权益影响分析影响程度分析可能性分析风险评价个人信息保护标准数据收集数据保存加工处理数据使用数据共享个人信息安全规范（GB/T 35273）基础标准个人信息安全影响评估（草案）效果验证标准个人信息去标识化指南（报批稿）关键技术支撑标准大数据服务安全能力要求（GB/T 35274-2017）标准化对象：大数据服务提供者（组织）标准主要内容：本标准规定了大数据

8、服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。标准适用范围：可为政府部门、企事业单位等组织机构的大数据服务安全能力建设提供参考，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估数据安全能力成熟度模型对象对象内容内容状态状态范围范围亮点亮点各类组织定义了数据安全能力成熟度模型，基于组织的数据生命周期，从组织建设、人员能力、制度流程以及技术工具四个能力维度，针对组织在大数据环境下的电子化数据的数据安全过程域，构建规范性的大数据安全能力成熟度评估方法。国际标准研究项目同步推进适用于组织机构评估自身的数据安全能力，也适用于第三方机构对组织机构的数据安

9、全能力进行评估。报批稿数据交易服务安全要求内容内容对象对象范围范围状态状态亮点亮点规定了通过数据交易服务机构进行的数据交易服务所涉及的交易参与方、交易对象和交易过程的安全要求通过数据交易服务机构进行的数据交易服务保障了交易参与方安全、交易对象安全、交易过程安全适用于提供数据交易服务的组织进行安全自评估，也适用于第三方机构对数据交易服务组织进行安全测评。报批稿数据处境安全评估指南内容内容对象对象范围范围状态状态功能功能提出了个人信息和重要数据出境的安全评估原则、流程、要点和方法。个人信息和重要数据出境安全评估可为网络运营者进行数据出境安全管理制度和能力建设提供参考。适用于网络运营者、网络安全服务

10、机构等开展个人信息和重要数据出境安全评估。征求意见稿个人信息保护产业实践网络运营者产品和服务普遍问题21354不主动向用户展示隐私条款，或展示的内容晦涩冗长。隐私条款笼统不清，对收集、使用个人信息的目的、方式、范围、保存期限和地点等没有明确说明。没有为用户提供访问、更正、删除其个人信息的途径，不给用户提供撤回授权、关闭权限、注销账户的方式。征求用户授权同意时，仅通过默认勾选、“一揽子”打包授权等形式，未给用户足够的选择权。大量收集与所提供服务无直接关联的个人信息，超越与用户的约定，擅自扩大范围收集、使用个人信息，私自共享、转让个人信息。标准试点开展GB/T 35273-2017信息安全技术个

11、人信息安全规范标准试点示范Carry out the pilot demonstration of GB/T 35273-2017 Information SecurityTechnology-Personal Information Security Specification在中央网信办、工业和信息化部、公安部、国家标准委等4部门指导下，TC260开展了10款产品和服务的隐私条款评审。Implement the review of privacy policies on 10 kinds of productsand services under the guidance of Cyber

12、space Administration ofChina,the Ministry of Industry and Information Technology,theMinistry of Public Security and SAC.试点效果 10款产品和服务在隐私政策方面均有不同程度的提升。10款产品和服务在隐私政策中，均明示其收集、使用个人信息的规则，并征求用户的明确授权。其中，8款产品和服务做到了向用户主动提示、并提供更多选择权。其中，5款产品和服务在满足以上功能的基础上，还提供了更便利的在线“一站式”撤回和关闭授权，在线访问、更正、删除其个人信息，在线注销账户等功能。个人信息保护

13、倡议签署倡议参评的十家互联网企业，主动发起了个人信息保护倡议，表示将：尊重用户知情权和控制权遵守用户授权保障用户信息安全保障产品和服务的安全可信联合抵制黑色产业链倡导行业自律接受社会监督个人信息保护合规实践发布隐私政策是个人信息控制者遵循公开透明原则的重要体现，是保证个人信息主体知情权的重要手段，还是约束自身行为和配合监督管理的重要机制。隐私政策应清晰、准确、完整地描述个人信息控制者的个人信息处理行为。隐私政策模版隐私政策模版编写要求编写要求本政策仅适用于XXXX的XXXX产品或服务，包括。最近更新日期：XXXX年XX月。如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系：

14、电子邮件：电话：传真：该部分为适用范围。包含隐私政策所适用的产品或服务范围、所适用的用户类型、生效及更新时间等。本政策将帮助您了解以下内容：1.我们如何收集和使用您的个人信息2.我们如何使用 Cookie 和同类技术3.我们如何共享、转让、公开披露您的个人信息4.我们如何保护您的个人信息5.您的权利6.我们如何处理儿童的个人信息7.您的个人信息如何在全球范围转移8.本政策如何更新9.如何联系我们XXXX深知个人信息对您的重要性，并会尽全力保护您的个人信息安全可靠。我们致力于维持您对我们的信任，请在使用我们的产品（或服务）前，仔细阅读并了解本隐私政策。该部分为隐私政策的重点说明，是隐私政策的一个

15、要点摘录。目的是使个人信息主体快速了解隐私政策的主要组成部分、个人信息控制者所做声明的核心要旨。个人信息保护合规实践5.3收集个人信息时的授权同意a)收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型，以及收集、使用个人信息的规则（例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等），并获得个人信息主体的授权同意；5.5收集个人敏感信息时的明示同意a)收集个人敏感信息时，应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿

16、望表示；个人信息保护合规实践7.8个人信息主体注销账户对个人信息控制者的要求包括：a)通过注册账户提供服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且该方法应简便易操作；b)个人信息主体注销账户后，应删除其个人信息或做匿名化处理。评审后期影响评审对象后期对APP进行跟进，抽查的百款互联网产品中，社交类、影视娱乐类、网购类、生活服务类的互联网产品隐私条款更新比例大，专项工作对APP隐私条款有一定的促进效果。数据安全能力标准产业实践数据安全过程域根据数据生命周期的不同，将数据安全分为24个数据生命周期各阶段安全的过程域和16个数据生命周期通用安全过程域划分数据安全能力成熟度模型推广应用标准试点的重点行业领域通过数据安全成熟度模型标准试点，提升组织安全能力，促进数据安全有序流动。标准地方试点-贵州、四川、宁夏谢谢！中国电子技术标准化研究院

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2018年数据安全标准与产业实践.pdf）为本站（云闲）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

2018年数据安全标准与产业实践.pdf

2018年数据安全标准与产业实践.pdf