网络安全流程规范

发布 2023-09-01 16:05:50 阅读 4798

全国人民代表大会常务委员会为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护****和社会公共利益,作出了相关决定。

一、网络服务提供者和其他企业事业单位在业务活动中如何保障个人隐私?

1.任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得**或者非法向他人提供公民个人电子信息。

2.在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得**或者非法向他人提供。

3.应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。

二、如何处理个人信息泄露问题?

1.任何组织和个人对窃取或者以其他非法方式获取、**或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

2.有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、**或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。

国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得**或者非法向他人提供。

三、如何处理对于违反本决定的行为?

对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭**、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

一、相关术语和定义

1.信息系统 information system

即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。

2.个人信息 personal information

可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。

3.个人信息主体 subject of personal information

个人信息指向的自然人。

4.个人信息管理者 administrator of personal information

决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。

5.个人信息获得者 receiver of personal information

从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。

6.第三方测评机构 third party testing and evaluation agency

独立于个人信息管理者的专业测评机构。

7.个人敏感信息 personal sensitive information

个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

8.个人一般信息 personal general information

除个人敏感信息以外的个人信息。

9.个人信息处理 personal information handling

处置个人信息的行为,包括收集、加工、转移、删除。

10.默许同意 tacit consent

在个人信息主体无明确反对的情况下,认为个人信息主体同意。

11.明示同意 expressed consent

个人信息主体明确授权同意,并保留证据。

二、个人信息保护角色和职责。

1.个人信息主体。

在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。

2.个人信息管理者。

负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。

管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。

接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。

3.个人信息获得者

当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。

4.第三方测评机构

从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。

三、个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则有:

1.目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。

2.最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。

3.公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。

4.个人同意原则——处理个人信息前要征得个人信息主体的同意。

5.质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。

6.安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。

7.诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。

8.责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。

一、总体要求。

1.网络与信息安全的基本概念。

网络与信息安全包括下列三个基本属性:

机密性(confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。

完整性(integrity):确保网络设施和信息及其处理的准确性和完整性。

可用性(**ailability):确保被授权用户能够在需要时获取网络与信息资产。

需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。

2.安全标准综述。

本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:

1)组织与人员。

集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。

公司应与外部安全专家和其他相关组织加强沟通与协作。

中国移动的所有岗位职责中必须包含安全内容,并尽量实现职责分隔。公司应实施人员考察制度。公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。

中国移动的所有员工都应当接受网络与信息安全培训。

第三方访问和外包服务必须受到控制,应事先进行风险评估,分析安全影响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。

公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利与义务及违约责任,保障客户与公司双方的利益。

2)网络与信息资产管理。

公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。

根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。

3)物理与环境安全。

公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。根据不同的安全需求等级,公司应划分不同的安全区域,例如:机房、办公区和第三方接入区。

针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定,加强安全区域的保护。

公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵守相应的安全要求。

4)通信与运营管理安全。

公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。

公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。

涉及安全方面的审批工作应由安全机构人员负责。

公司应加强防范意识,采取有效措施,预防和控制恶意软件。

网络安全操作规范

一 账号管理。1.1账号的设置必须遵循 唯一性 必要性 最小授权 的原则。唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要 职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关...

网络安全操作规范

一 账号管理。1.1账号的设置必须遵循 唯一性 必要性 最小授权 的原则。唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要 职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关...

网络安全操作规范

一 账号管理。1.1账号的设置必须遵循 唯一性 必要性 最小授权 的原则。唯一性原则是指每个账号对应一个用户,不允许多人共同拥有同一账号。必要性原则是指账号的建立和分配应根据工作的必要性进行分配,不能根据个人需要 职位进行分配,禁止与所管理主机系统无关的人员在系统上拥有用户账号,要根据工作变动及时关...