返回目录:财经要闻
郭盈、周润松(中国软件评测中心)
随着GDPR(通用数据保护条例)在欧洲的落地,我国也开始启动并跟进个人信息保护的具体实施策略与相关管理方法。但是,多数企业和拥有个人信息的机构仅知道个人信息保护的重要性,参照已发布的《信息安全技术个人信息安全规范》来完善和管理拥有的个人信息数据,但具体的实践还有待深入理解和实施。
为了让企业和拥有个人信息的机构更好的管理和保护个人信息数据,中国评测中心的大数据与人工智能检测认证部专家分享了相关实践经验。从技术和管理层面给出相关建议,实践证明该方法在一定程度上可保障个人信息数据的安全性。
从概念上澄清,让大家精确理解个人信息、个人信息主体、个人信息的生命周期、个人信息的拥有者等基本概念。
概念主要以GB/T 35273-2017标准为依据。其中,个人信息,以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或反映特定自然人活动状况的各种信息。常见的如,姓名、生日、账号、住址、行踪轨迹、交易信息等等;个人信息主体,个人信息所表示的自然人,人为主体;个人信息的生命周期,个人信息主体的收集、保存、使用、委托处理、共享、转让、披露、销毁等全生命周期;个人信息拥有者,对个人信息进行控制和处理的组织或个人。
在个人信息的保护上,可以从安全的管理和技术两方面进行落地。目前企业和拥有个人信息的机构可采用信息系统安全等级保护中三级及以上的标准来实施落地,同时结合个人信息自身的特点加以完善和补充。
在管理层面上,应该从管理制度和管理人员两方面落实。在落实制度和人员方面,重点以个人信息全生命周期特点为基础。应制定个人信息保护的规章制度、确定保护的范围、原则,明确日常个人信息数据管理的具体操作流程,并制定相关的个人信息安全事件应急预案和应急响应措施。加强机构对个人信息管理制度的落实情况,如通过记录留痕被查的方式定期进行检查,并定期总结汇报、评审制度的缺陷,查缺补漏。在管理人员上,应该进行人员机构设置、人员的权限设置与职责分配、人员的流动管理、考核模式、个人信息安全培训,特别是对外部人员访问数据的管理机制的落实,包括准入、访问控制、退出、记录并审计等。
在技术层面上,涉及个人信息的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复几个方面进行保护。同时,对于个人信息存储或使用基于云基础设施,请按照云计算安全扩展要求保护,对于终端采集,可参照物联网扩展要求,信息的采集回传采用密码技术保证个人信息采集传输中的通信安全。
除了上述等级安全技术要求外,可借鉴中国软件评测中心对数据安全全生命周期的技术分析进行适当安全加固。数据采集层面,可采用通信加密、数据标签管理;数据存储层面,可采用全盘加密、文件加密、数据加密、网络加密、数据备份、数据副本、数据血缘;数据使用层面,可采用堡垒机、DLP、防爬、动态脱敏、同态计算;数据交换层面,可采用交换宝、网闸、数据水印、多方计算、差分隐私;数据传输层面,可采用网络传输加密、应用协议校验、双向认证、数据安全网关;数据销毁层面,可采用逻辑销毁和物理销毁等。