ISO IEC29151-2017个人身份信息保护实践指南

格式：pdf
大小：71.06 MB
文档页数：106

下载文档原格式

移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南说明书

II
GB/T XXXXX—XXXX
信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南
1 范围
本文件针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南，以增强App收集个人信息行为的明示程度，并为App用户提供更多个人信息保护方面的控制机制。
5 总则
移动智能终端对App个人信息处理活动的管理宜遵循以下原则： a) 公开透明：以合理方式记录、提示 App 处理个人信息情况，确保用户对 App 个人信息处理行为
6 移动智能终端上的 App 个人信息处理活动安全风险 ........................................ 3
7 移动智能终端管理措施 ................................................................ 4 7.1 透明化展示个人信息处理活动 ...................................................... 4 7.1.1 App 使用个人信息提示 ......................................................... 4 7.1.2 App 调用个人信息行为记录 ..................................................... 4 7.1.3 用户个人信息集中展示 ........................................................ 5 7.2 App 个人信息处理行为管理......................................................... 5 7.2.1 唯一设备识别码访问控制 ...................................................... 5 7.2.2 敏感数据访问提示和控制 ...................................................... 5 7.2.3 存储空间使用 ................................................................ 6 7.2.4 App 安装风险管理............................................................. 6 7.2.5 App 更新风险管理............................................................. 6 7.2.6 App 退出/停用及卸载风险管理 .................................................. 6 7.3 用户控制 App 收集个人信息行为 .................................................... 6 7.3.1 系统权限能力增强 ............................................................ 6 7.3.2 App 自启动与关联启动管理 ..................................................... 7 7.4 预置应用软件处理个人信息行为管理 ................................................ 7

解读国标GBT《信息安全技术个人信息安全规范》

解读国标GBT 35273-2017《信息安全技术个人信息安全规范》发布时间：2018-01-28浏览：578按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布，将于2018年5月1日实施。

本文重点提炼个人信息的保存、个人信息安处理以及组织的管理要求等方面内容，解读国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》。

一、《信息安全技术个人信息安全规范》第六点“个人信息的保存”，对个人信息控制者对个人信息的保存提出具体要求，包括以下内容：6.1 个人信息保存时间最小化对个人信息控制者的要求包括：a) 个人信息保存期限应为实现目的所必需的最短时间;b) 超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理。

6.2 去标识化处理收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。

6.3 个人敏感信息的传输和存储对个人信息控制者的要求包括：a) 传输和存储个人敏感信息时，应采用加密等安全措施;b) 存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。

6.4 个人信息控制者停止运营当个人信息控制者停止运营其产品或服务时，应：a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。

二、《信息安全技术个人信息安全规范》第九点“个人信息安全事件处置”，对个人信息控制者处理个人信息安全事件的方式方法提出具体要求，包括以下内容：9.1 安全事件应急处置和报告对个人信息控制者的要求包括：a) 应制定个人信息安全事件应急预案;b) 应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程;c) 发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：1) 记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门;2) 评估事件可能造成的影响，并采取必要措施控制事态，消除隐患;3) 按《国家网络安全事件应急预案》的有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式;4) 按照本标准9.2的要求实施安全事件的告知。

CNAS-CC15：2013 (MD5)《管理体系审核时间_QMS、EMS、OHSMS_》

1.0 引言
1.0.1 本部分为认证机构制定用于确定对不同规模、不同复杂程度、从事各类活动的客户实施审核所需时间的程序文件提供了要求和指南。本部分旨在促进认证机构之间在审核时间上的一致性，以及同一认证机构在相似客户的审核时间上的一致性。 1.0.2 认证机构应确定对每个申请方和获证客户实施第一阶段和第二阶段初次审核、监督审核和再认证审核所需的审核时间。 1.0.3 本部分没有规定审核时间的最小值和最大值，但提供了认证机构程序文件中应采用的根据拟审核客户具体情况确定适宜审核时间的框架。 1.0.4 宜注意，在认可评审中发现个别不符合本部分（包括本部分的附表）的情况，并不自动导致对 CNAS-CC01 的不符合。但是，这种情况可能导致对审核完整性的进一步调查。此时，宜特别注意调查偏离本部分的原因。 1.0.5 如果发现认证机构频繁地出现与本部分不一致的情况，则认证机构可能因不能合理地确保为审核组提供充足的时间，以在认证过程中实施足够完整的审核，而构成不符合 CNAS-CC01。
CNቤተ መጻሕፍቲ ባይዱS-CC15
管理体系审核时间(QMS、EMS、OHSMS)
Duration of Management System Audit (QMS, EMS, OHSMS)
中国合格评定国家认可委员会
2013 年 10 月 10 日发布
2014 年 01 月 01 日实施
CNAS-CC15：2013
2013 年 10 月 10 日发布
2014 年 01 月 01 日实施
CNAS-CC15：2013
第 2 页共 31 页
前言
CNAS 作为国际认可论坛（IAF）成员，等同采用 IAF 发布的强制性文件 IAF MD5:2013《强制性文件 QMS 和 EMS 审核时间》作为本文件第 1 部分，适用于质量管理体系（QMS）认证机构和环境管理体系（EMS）认证机构；并参考 IAF MD5:2013 制定本文件第 2 部分，适用于职业健康安全管理体系（OHSMS）认证机构。

ISO17025-2017实验室数据控制与信息管理程序

XXXXXXXX有限公司数据控制和信息管理程序文件编号：版本：编制：审核：批准：XXXXX有限公司发布数据控制和信息管理程序1.0目的为保证检测数据和信息的采集、计算、处理、记录、报告、存储、传输的准确、可靠、有效和保密，特编制本程序。

2.0范围2.1检测数据和信息的采集；2.2临界数据和信息的处理；2.3检测数据和信息的计算和处理；2.4数据和信息的修约；2.5数据和信息的判定；2.6数据和信息的转移；2.7错误数据和信息的更正；2.8可疑数据和信息的处理；2.9计算机以及数据和信息的管理。

3.0职责3.1 技术负责人：a)组织编制、修订和批准自动化测量程序软件；b)组织对自动测量软件的验证；c)检测室负责人:d)定本部门检测原始数据和信息的采集方法；e)组织制定自动化设备的操作规程。

3.2 监督员:a)校核检测数据和信息和判定结果；b)对可疑数据和信息进行验证。

3.3 检测员:a)认真采集和记录原始数据和信息;b)按规范计算和处理数据和信息。

3.4 技术负责人应当维护本程序的有效性。

4.0程序4.1数据和信息的采集4.1.1检测室负责人应按照本部门承检标准和检测细则的要求，规定出每一类承检产品或项目的检测原始数据和信息的采集方式和格式。

4.1.2如采用自动采集或打印原始数据和信息，检测室负责人应对采集数据和信息所用的测量系统实施验证和控制，控制方法参见本程序第4.4.4条。

4.1.3采集的原始数据和信息应进行修约或截尾，遵循先修约后运算的原则，最终报出数据和信息的有效位数应当遵循标准的规定或多出标准规定一位。

4.2临界数据和信息的处理4.2.1当测得值接近临界控制值时，检测人员应当增加测量次数，以观察测量结果的发散趋势。

如果连续观测到的测量值趋于平稳或收敛，则可以按照数据和信息处理的规定或程序进行数据和信息处理。

4.2.2如果连续观测到的测量值趋于发散，应查找发散原因，以判断是测量仪器还是被测物品的问题。

保护客户机密信息和所有权程序(ISO17025-2017)

文件制修订记录1.0目的保护客户机密信息和所有权不受侵犯，使客户的正当利益不受侵害，维护实验室的诚实性和公正性。

2.0范围:2.1本程序文件包括以下领域涉及的机密：2.2.1客户提供的物品及其技术资料；2.2.2客户的专利权；2.2.3客户送检物品检测结果的所有权；2.2.4对参加能力验证和比对实验室检测结果的保密。

3.0职责：3.1最高管理者:3.1.1落实保护客户机密信息和所有权的各项措施实施所需的资源和责任人，对员工进行保密和保护所有权的教育。

3.2质量主管:3.2.1对各项保密和保护所有权措施的实施进行监督检查；3.2.2对监督检查中发现的问题及时向最高管理者报告；3.2.3批准借阅保密资料；3.3资料管理员:3.3.1按照本程序的要求做好技术文件和资料的保密管理；3.4物品管理员:3.4.1认真做好与客户的物品交接，记录客户对物品及资料的保密要求；3.4.2做好物品和资料在实验室内的传递交接记录，并对在检过程中物品及资料的保密进行监督检查；3.4.3对违反保密和侵权的行为进行制止，直至向最高管理者进行汇报。

3.5检测和/或校准人员:3.5.1对检测和/或校准过程、原始记录、证书和报告内容做好保密工作。

3.6质量主管应当维护本程序的有效性。

4.0工作程序4.1物品和技术资料的交接4.1.1物品管理员在接受客户委托的检测任务时,应向客户了解被测物品及其技术资料的保密要求，按其要求安全存放。

4.1.2物品管理员在与客户完成物品和技术资料的登记和交接后，双方应在交接文件上签名确认，对有保密要求的，应在该文件上加注“保密”标记。

4.1.3对需要保密的物品和资料，物品管理员应采取隔离保管措施,直至客户取回全部样品和技术资料。

物品管理员承担在此期间的保密责任，防止在交接中出现丢失和泄密。

4.1.4对需要在实验室内进行传递检测的物品及资料，物品管理员和检测和/或校准人员应做好交接记录，检测和/或校准人员应按保密要求和实验室的规定做好物品及其技术资料在检测过程中的管理，承担在此期间的保密责任。

等保2.0之大数据层面测评(大数据安全测评)

大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长及的数据量规模巨大到无法通过人工，在合理时间内达到截取、管理、处理、并整理成为人类所能解读的形式的信息。
大数据是指无法在可承受的时间范围内用常规软件工具进行捕捉、管理和处理的数据集合。
略，重要数字资产的范围确定和相关使用流程，数据类别和级别评审和变更的要求
第四级：与第三级要求相同
大数据等级保护对象大数据的定级大数据的安全保护大数据基本要求大数据测评
32
大数据测评
测评类型时间对象范围切入点
粒度
系统测评
大数据测评
业务系统测评
业务系统测评通过之后
业务系统
大数据
8
大数据的安全保护等级
大数据的定级
数据资源可单独定级当安全责任主体相同，大数据、大数据平台和应
用可作为一个整体对象定级
10
大数据的定级
组件
大数据大数据应用大数据平台
基础设施
责任主体
数据所有者
大数据应用服务提供者大数据平台服务提供者
基础设施提供者
11
定级对象
大数据大数据系统
4
大数据等级保护对象
多样性（variety)
价值性（Value）
……
速度（velocity)
体量（volume)
真实性（veracity)
多变性（variability)
5
大数据等级保护对象
数据拥有者和管理者的分离；单一系统对数据的保
护不足；
保护措施的如何延续
；数据价值的提升与
不确定性；
数据生命期超出原生

关于人脸采集细则

● 02
第2章人脸采集细节
人脸采集场所要求
充足的光线条件
保证画面清晰明亮
适宜的环境温度
保证设备正常运作和用户舒适度
合适的采集角度
保证人脸特征清晰可见
人脸采集设备要求
像素和分辨率的要求
保证采集图像清晰度和数据质量
设备的维护和保养
保证设备长期正常运作和数据稳定采
集
设备的安装和调试
人脸采集设备的安装和调试
安装设备的位置
- 选取合适的位置，避免光线和人流干扰 - 考虑周围环境和设备的安全因素
设备的调试
- 确认设备是否正常运作，设备连接及信息输出是否正常 - 确认采集设备的正确分辨率和参数设置 - 确认采集数据的格式和存储位置
设备的维护和保养
- 定期清理设备外观和内部元件，保证设备正常运作 - 定期检查设备的连接及信息输出，保证数据正常采集 - 定期备份和清理数据，保证数据的质量和安全
人脸采集数据格式和存储
人脸采集中，常见的数据格式有JPEG、BMP、 PNG三种。JPEG格式具有高压缩比和较高的图像质量，适用于图像传输和共享；BMP格式具有无损压缩和快速读取特点，适用于需要快速读取图像数据的场景；PNG格式具有透明、无损压缩和无版权等优势，适用于需要保留图像背景的场景。
人脸采集数据的应用和推广
01 人脸识别在公安系统的应用
人脸识别在公安系统中有广泛的应用，包括视频监控、刑侦技术、出入境管理等方面，可以辅助警察进行犯罪嫌疑人的追踪和抓捕，提高破案效率和解
02 决人案脸件能识力别。在金融系统的应用
人脸识别在金融系统中有广泛的应用，包括身份认证、支付认证、风险控制等方面，可以提高金融业务的安全性和操作便捷性，降低经营成本和运营风

CNAS-CC170：2015 信息安全管理体系认证机构要求 (1)

2015 年 12 月 30 日发布
2016 年 04 月 01 日实施
CNAS-CC170:2015
第 3 页共 37 页
前言
本文件等同采用国际标准ISO/IEC 27006:2015《信息技术安全技术信息安全管理体系审核认证机构的要求》。本文件是CNAS对信息安全管理体系认证机构的专用认可准则，与管理体系认证机构基本认可准则CNAS-CC01:2015《管理体系认证机构要求》共同构成CNAS对信息安全管理体系认证机构的认可准则。本文件的附录A、C和D是资料性附录，附录B是规范性附录。为了便于使用，对ISO/IEC 27006:2015做了下列编辑性修改： 1) 针对认证机构的管理时，用词汇“程序”表示“procedure”；针对客户的管理时，用词汇“规程”表示“procedure”； 2) 针对认证机构的管理时，用词汇“政策”表示“policy”；针对客户的信息安全方面的管理时，用词汇“策略”表示“policy”，针对客户的管理体系方面的管理时，用“方针”表示“policy”；本文件代替了 CNAS-CC17:2012。
CNAS-CC170:2015
第 1 页共 37 页
目次
目次 ..................................................................... 1 前言 ..................................................................... 3 引言 ..................................................................... 4 1 范围 .................................................................... 5 2 规范性引用文件 .......................................................... 5 3 术语和定义 .............................................................. 5 4 原则 .................................................................... 5 5 通用要求 ................................................................ 5 5.1 法律与合同事宜 ........................................................ 5 5.2 公正性的管理 .......................................................... 5 5.3 责任和财力 ............................................................ 6 6 结构要求 ................................................................ 6 7 资源要求 ................................................................ 6 7.1 人员能力 .............................................................. 6 7.2 参与认证活动的人员 .................................................... 9 7.3 外部审核员和外部技术专家的使用 ....................................... 10 7.4 人员记录 ............................................................. 10 7.5 外包 ................................................................. 10 8 信息要求 ............................................................... 10 8.1 公开信息 ............................................................. 10 8.2 认证文件 ............................................................. 11 8.3 认证的引用和标志的使用 ............................................... 11 8.4 保密 ................................................................. 11 8.5 认证机构与其客户间的信息交换 ......................................... 11 9 过程要求 ............................................................... 11 9.1 认证前的活动 ........................................................ 11 9.2 策划审核 ............................................................ 14 9.3 初次认证 ............................................................ 15 9.4 实施审核 ............................................................ 16 9.5 认证决定 ............................................................ 17 9.6 保持认证 ............................................................ 17 9.7 申诉 ................................................................ 18

XX市智慧老兵云上服务平台项目建设要求

XX市智慧老兵云上服务平台项目建设要求一、项目概况XX市智慧老兵云上服务平台项目，主要内容：退役军人数据颗粒化、智慧军休迭代升级、优待证证码合一、智慧军供系统。

二、建设内容及要求(-)退役军人数据颗粒化基于数据颗粒化的能力建设退役军人数据颗粒化底座、智能预警中心、大数据分析报表、退役军人全息档案画像等业务应用。

1退役军人数据颗粒化底座：通过建设退役军人数据颗粒化，实现全市数据退役军人相关数据汇聚，并形成数据的统一标准和规范，重点建设围绕退役军人的“人员、思权、优抚、双拥、安置、军休”六个主题库；根据业务需求建设“家庭户、政策查询、困难状况、就业创业、上访述求、志愿服务、褒扬激励、失信矫正、随军家属、自主择业军转干部”十大专题库，并通过数据编目实现数据共享。

2.智能预警中心：通过自定义规则阈值、通过大数据模型对比比较，实时监测，生成预警任务，预警类型包括重大节日预警、死亡预警、失业预警、信访预警、矫正预警、健康预警、困难预警等。

预警任务可配置不同的任务级别，每种预警任务够各自的处理流程，也可以自动下发给工作人员处理。

任务在全市服务站内流转，任务完成后，可进行满意度评价以及模型修正，达到全流程闭环。

3.大数据分析报表：通过数据可视化能力可以快速的输出对应的数据报表,并且可分析数据的趋势，辅助领导和管理部门做决策和指导。

4.退役军人全息档案：展现出退役军人个人基础数据以及对应的关联数据, 如亲属情况、就业情况、帮扶记录等全方位数据。

（二）智慧军休迭代升级XX智慧军休数字李生驾驶舱：基于数据颗粒化建设成果迭代升级数字挛生驾驶舱展示内容，展现军休管理、军休康养、军休活动、网络军休所、X军休、军休党建、军休生活、干休所地图、干休所详情。

进入人员全息后，展现老干部的基础信息、关联信息和健康信息和生活情况等；同时，接入华数智能设备，展示智能设备数据。

干休所数字孳生驾驶舱：基于现有数字挛生地图，展示干休所军休党建、康养、活动、生活、管理情况和所属老干部情况。

ISO17025-2017人员管理程序

文件制修订记录1.0目的：为管理所有可能影响实验室活动的人员(内部人员和外部人员)，确保人员在能力、公正性、判断力以及工作诚实性方面的可信度，能够适应实验室当前和预期的工作任务需要及管理体系的要求，特制定本程序。

2.0适用范围：本程序适用于影响实验室活动的内部人员和外部人员的管理。

3.0职责：3.1 主任3.1.1负责检测中心岗位任职能力要求的批准。

3.1.2负责检测中心人员任职资格授权批准。

3.2 技术负责人3.2.1负责检测中心岗位任职能力要求的审核。

3.2.2负责人员任职资格、持续能力的评估。

3.3 质量负责人3.3.1 负责提出综合组的年度培训需求。

3.3.2 负责评价综合组人员的培训效果。

3.3.3 负责综合组人员的能力评价。

3.3.4 负责组织建立检测中心人员技术档案，并对员工的培训与资格确认、授权记录进行存档。

3.3.5负责安排组织实施培训。

4.0程序：4.1确定人员能力要求4.1.1 由综合组负责组织各用人部门，确定各岗位任职资格等能力要求，编制《岗位说明书》。

4.1.2 《岗位说明书》经技术负责人审核，主任批准。

4.2 人员选择人员的选择，按照公司规章制度执行。

4.3 人员培训4.3.1 培训计划4.3.1.1 每年末，综合组各实验室根据当前的情况和未来的发展趋势以及《岗位说明书》提出下一年培训需求，包括培训达到目的、培训课程、培训对象、培训方式、培训月份、考核方式等，具体实施按公司制度执行。

4.3.1.2 如安装新仪器或内、外审出现不符合整改等需要增加的培训，综合组应予以记录。

4.3.2 培训对象a.新进人员或转岗人员；b.须经资格评估、持证上岗人员；c.新检测标准/方法的检测人员，操作新配置检测设备人员；d.各类管理人员和其他需培训人员。

4.4 培训内容培训内容包括(但不限于)以下方面内容：AS认可准则和相关指南的培训；b.质量手册、程序文件等相关文件的宣贯；c.公正行为教育和业务相关的政策、法律、法规；d. 新检测标准/方法；e. 设备操作使用及维护、维修、保养；f. 安全培训及检测中心相关制度的宣贯等；4.5 培训的实施按照公司的规章制度执行。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。