标准规范下载简介
GB/T 41479-2022 信息安全技术 网络数据处理安全要求.pdf简介:
GB/T 41479-2022是中国国家标准,全称为《信息安全技术 网络数据处理安全要求》。这是一个关于信息安全领域的新标准,主要针对网络数据处理过程中的安全规定。该标准旨在提供一套详细且系统的方法,以确保在收集、存储、处理和传输网络数据过程中,能够防止数据泄露、篡改、丢失或未经授权的访问,从而保护个人和组织的敏感信息。
该标准涵盖了网络数据处理安全的各个方面,包括但不限于数据加密、访问控制、安全审计、安全策略和程序、数据备份与恢复、安全事件管理等,以期提供一个全面的数据安全保护框架,帮助企业和组织识别和管理安全风险,提升网络安全防护能力。
值得注意的是,GB/T标准是推荐性标准,意味着它给出了行业最佳实践和建议,但并不具有强制性。然而,由于网络数据处理安全的重要性,越来越多的企业和机构会选择遵循这个标准,以确保其数据安全符合国际和行业的最新要求。
GB/T 41479-2022 信息安全技术 网络数据处理安全要求.pdf部分内容预览:
下列文件中的内容通过文中的规范性引 件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安全技术术语 GB/T35273一2020信息安全技术个人信息安全规范
GB/T 414792022
4数据处理安全总体要求
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目
JGJT251-2011 建筑钢结构防腐蚀技术规程.pdfGB/T 414792022
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级 管理。
者应对数据处理的全生存周期进行记录,确保数
5数据处理安全技术要求
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供 服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求: a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T352732020 中5.5要求; b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意; 注:GB/T35273—2020中5.6规定的情形除外。 c) 改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护 政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护 政策; d) 明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤 回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务; e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导 用户同意收集个人信息;
网络运营者为提供服务而必需处理个人信息的,应遵循合法、正当、必要的原则,不应收集与其提供 服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息,且遵守以下要求: a)应制定和公开个人信息保护政策并严格遵守,个人信息保护政策应符合GB/T35273一2020 中5.5要求; b)收集个人信息前,应明示个人信息保护政策,并征得个人信息主体同意; 注:GB/T35273—2020中5.6规定的情形除外。 c) 改变处理个人信息的目的、类型、范围、用途的,应及时告知个人信息主体,修改个人信息保护 政策,并重新征得个人信息主体同意,涉及个人信息保护政策变动的应修改个人信息保护 政策; d) 明示所提供产品或服务的类型,以及该产品或服务所必需的个人信息,不应因用户不同意或撤 回同意,提供该产品或服务所必需个人信息以外的信息,而拒绝提供该产品或服务; e) 不应仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为目的,强制要求、误导 用户同意收集个人信息;
GB/T 414792022
)收集敏感个人信息前,应取得个人信息主体的单独同意,确保单独同意是在完全知情的基础上 自主给出的、具体的、清晰明确的意愿表示; g)收集不满十四周岁未成年人个人信息前,应取得未成年人的父母或其他监护人的单独同意; h 从个人信息主体以外的其他途径获得个人信息的,应了解个人信息来源、个人信息提供方已获 得的个人信息处理授权同意范围,并按照本文件的要求履行安全保护义务。
网络运营者应对数据存储活动采取安全措施,包括: a)存储重要数据和个人信息等敏感网络数据,应采用加密、安全存储、访问控制、安全审计等安全措施; b)存储重要数据和个人信息,不应超过与重要数据和个人信息主体约定的存储期限或个人信息 主体授权同意有效期; c)存储个人生物特征识别信息的,应遵守GB/T35273一2020中6.3b)和c)的要求及生物特征 识别信息保护相关国家标准要求。 数据接收方存储数据时,应按要求采取安全措施并以合同进行约定
5.4.1定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下: a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信 息的服务选项; 注:宜参照GB/T35273—2020的7.5。 b)在向个人信息主体提供新闻、博客类信息服务的过程中,网络运营者利用算法自动合成文字 图片、音视频等信息,应明确告知用户
5.4.2 第三方应用管理
网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理,包括: a) 应通过合同等形式,明确双方的数据安全保护责任和义务; b) 应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及 时督促整改,必要时停止接入; 网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应 与第三方应用运营者承担连带责任; 宜对接入或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定要求,对审计 发现超出双方约定的行为及时停止接入。
网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、 公共安全、经济安全和社会稳定的,应立即停止加工活动。
运营者在应对数据传输活动采取安全措施,包括
a)传输重要数据和敏感 息时,应采用加密、脱敏等安全措施; b)向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定
网络运营者利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全 经济安全和社会稳定。
5.9私人信息和可转发信息的处理方式
处理: 宜对以私人选项发送的信息予以严格保护,不提供转发功能: b)宜对以可转发选项发送的信息,或者转发此类信息的,同时发送信息始发者在该平台上的账号 名称,该账号名称唯一且不可更改。
5.10个人信息查阅、更正、删除及用户账号注销
网络运营者应建立渠道和机制,及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账 号的请求,不应对请求设置不合理条件,应遵守GB/T35273—2020中8.7有关响应个人信息主体请求 的要求。
5.11投诉、举报受理处置
网络运营者应建立投诉、举报受理处置 布侵害他 义发布信息的投诉、举报的,
受投诉举报起,受理时间不超过3d。受理后进行调查取证,对于查实的编造、传播虚假信息,发布 电人名誉、隐私、知识产权和其他合法权益信息,以及假冒、仿冒、盗用他人名义发布信息的投诉、 依法采取停止传输、消除等处置措施
5.12访问控制与审计
网络运营者开展数据处理活动时,应: a 基于数据分类分级,明确相关人员的访问权限,防止非授权访问。 b) 对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计 流程,并严格执行。
5.13数据删除和名化
5.13数据删除和匿名化处理
符合GB/T35273一2020中8.3的要求或符合以下情形时,网络运营者应及时对个人信息做删除 或匿名化处理: a)个人信息超出双方约定的存储期限; b)网络产品和服务停止运营; c)个人信息主体注销账号,或者当用户撤回同意。 存储重要数据和个人信息的介质进行报废处理时,网络运营者应采用物理损毁等方式销毁介质,以 确保重要数据和个人信息不能被恢复,
6数据处理安全管理要求
辽2015J101 工程做法.pdf6.2人力资源保障与考核
GB/T414792022
A.2个人信息服务协议
指定机构在提供信息服务过程中,以人 户选择。 利用人脸识别信息进行身份验证的,不宜留存可提取人脸识别信息的原始图像
指定机构提供信息查阅服务,应通过境内手机号码等能够确认身份的方式核验查阅人身份,防止非 授权查阅他人个人信息
公开、向他人提供个人信息及改变个人信息用途
指定机构收集掌握的个人信息,未经个人信息主体同意,不得公开或者非法向他人提供,不得改变
新疆2020建筑装饰定额.pdfGB/T 414792022
A.8应对工作结束后的个人信息处理