收藏
下载资源

电信和互联网用户个人电子信息保护标准介绍.pdf

上传人:灯火****19 文档编号:135428829 上传时间:2020-06-15 格式:PDF 页数:40 大小:2.71MB
返回 下载 相关 举报
电信和互联网用户个人电子信息保护标准介绍.pdf_第1页
第1页 / 共40页
电信和互联网用户个人电子信息保护标准介绍.pdf_第2页
第2页 / 共40页
电信和互联网用户个人电子信息保护标准介绍.pdf_第3页
第3页 / 共40页
电信和互联网用户个人电子信息保护标准介绍.pdf_第4页
第4页 / 共40页
电信和互联网用户个人电子信息保护标准介绍.pdf_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《电信和互联网用户个人电子信息保护标准介绍.pdf》由会员分享,可在线阅读,更多相关《电信和互联网用户个人电子信息保护标准介绍.pdf(40页珍藏版)》请在金锄头文库上搜索。

1、电信和互联网用户个人信息保护电信和互联网用户个人信息保护 安全防护标准介绍安全防护标准介绍 中国通信企业协会 通信网络安全专业委员会专家组 封莎 2014年6月 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测 标准制定背景和流程 附 2013年网络安全防护检查发现的突出问题 标准制定背景 p 2007年 为保证电信网络安全防护工作整体 规范 科学 有序地 开展 工业和信息化部开始组织制定 电信网和互联网安全防护 系列标准 以加快推进电信网络安全

2、防护工作 该系列标准将随着 网络和业务的发展不断地扩充和完善 截止2013年已发布50项标准 p 2012年发布 全国人大常委会关于加强网络信息保护的决定 2013年出台 电信和互联网用户个人信息保护规定 工业和信息 化部令第24号 网络用户信息保护受到高度重视 p 然而 我国网络个人信息保护技术和管理标准体系还不完善 急需 制定网络用户信息保护通用技术和管理技术标准 及时对网络用户 信息的通用技术和管理保障提出全面性的安全防护要求 提高通信 网络整体的安全防护水平 标准制定流程 p 电信和互联网用户个人信息保护安全防护标准的制定受工业和信息化部委托 由工业和信息化部电信研究院牵头 中国互联网

3、络信息中心 北京和升达 信息安全技术有限公司 北京新浪互联信息服务有限公司 深圳腾讯计算机 系统有限公司 中国电信集团公司 中国移动通信集团公司 中国联合网络 通信集团有限公司共同组成起草组参与标准起草 p 标准编制过程 p 2013年11月18日 电信网和互联网安全防护特设组 在北京召开 2013年第1次会议讨论本标准的征求意见稿 p 2013年12月27日和30日 电信网和互联网安全防护特设组 在北京 召开2013年第2次会议讨论本标准的送审稿 p 电信和互联网用户个人信息保护安全防护标准包含 电信和互联网用户个人信息保护安全防护标准包含 p 电信和互联网用户个人电子信息保护通用技术要求和

4、管理要 电信和互联网用户个人电子信息保护通用技术要求和管理要 求 求 p 电信和互联网用户个人电子信息保护检测要求 电信和互联网用户个人电子信息保护检测要求 主要规范电信和互联网用户个人电子信息分类别的技术和管理方面的安全 防护要求和检测要求 主要适用于电信和互联网存储和处理用户个人电子信息的相关系统 p 以上两项标准已起草完成 正在进行报批发布流程 以上两项标准已起草完成 正在进行报批发布流程 标准制定流程 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准

5、安全防护检测 标准制定背景和流程 附 2013年网络安全防护检查发现的突出问题 电信和互联网用户个人电子信息保护标准安全防护范围 p 电信和互联网行业用户信息电信和互联网行业用户信息是指电信业务经营者和互联网信息服务提供者在提供服 务的过程中以电子形式存储和使用的用户姓名 出生日期 身份证件号码 住址 电话号码 账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使 用服务的时间 地点 通信内容等信息 p 电信和互联网行业用户信息具体包括 电信和互联网行业用户信息具体包括 一 身份信息 指能够单独或相互结合识别特定用户身份的信息 如用户基本资 料 通讯录信息和虚拟身份信息等 二 鉴权信

6、息 指用于鉴定用户身份是否合法的信息 如用户登录各种业务系统 的账号和密码 服务密码等 三 日志信息 指用户使用电信业务过程中产生的信息 如用户消费信息 位置 信息 使用服务的时间及使用相关业务的记录等 四 内容信息 指用户使用电信业务过程中所传递的信息内容 如短信内容记录 移动上网内容及记录 应用平台上交互的信息内容等 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测 标准制定背景和流程 附 2013年网络安全防护检查发现的突出问题 电信和互联

7、网用户个人电子信息保护标准安全防护内容 p 电信和互联网用户个人电子信息的生命周期可分为电信和互联网用户个人电子信息的生命周期可分为收集 存储 操作 收集 存储 操作 转移 删除转移 删除五个环节 对电信和互联网用户个人电子信息的安全防护五个环节 对电信和互联网用户个人电子信息的安全防护 要求贯穿于五个环节中 要求贯穿于五个环节中 收集环节 指对电信和互联网用户个人电子信息进行获取并记录的过程 存储环节 指电信和互联网用户个人电子信息在通信网络单元中存储的过程 操作环节 指电信和互联网用户个人电子信息收集者操作使用信息的过程 转移环节 指电信和互联网用户个人电子信息从收集者向第三者的流转过程

8、包括向公众或特定对象公开 合作伙伴间信息共享 委托加工等情形 删除环节 指使电信和互联网用户个人电子信息在信息系统中不再可用的过 程 电信和互联网用户个人电子信息保护标准安全防护范围 电信和互联网用户个人电子信息保护标准安全防护内容 电信和互联网用户个人电子信息保护标准安全防护要求 电信和互联网用户个人电子信息保护标准安全防护检测 标准制定背景和流程 附 2013年网络安全防护检查发现的突出问题 电信和互联网用户个人电子信息保护标准安全防护要求 p 收集环节收集环节 管理要求管理要求 a a 收集用户个人电子信息应当有正当 明确的收集用户个人电子信息应当有正当 明确的 目的 目的 b b 收集

9、用户个人电子信息时 应满足以下条收集用户个人电子信息时 应满足以下条件件 之一之一 1 1 法律法规法律法规明确明确授权或经授权或经用户用户同意 同意 2 2 与与用户有用户有合法合法的的合同关系 合同关系 3 3 用户用户自自行行公开或公开或已已合法公开合法公开的信息 的信息 c c 收集用户个人电子信息收集用户个人电子信息前前应应采采用用户用用户能够知能够知 悉悉的的方式方式 至少向至少向用户明确用户明确告知如告知如下下事事项 项 1 1 收集用户个人电子信息的目的 收集用户个人电子信息的目的 方式方式 类别类别 和和留留存时存时限 限 2 2 用户个人电子信息的用户个人电子信息的使使用用

10、范围范围 包括 包括披露或披露或 向其他组织向其他组织和和机构提供其机构提供其用户个人电子信息用户个人电子信息 的的范围 范围 3 3 用户个人电子信息的保护用户个人电子信息的保护措施 措施 4 4 提供提供用户个人电子信息用户个人电子信息后后可可能能存在的存在的风险风险 5 5 不提供不提供用户个人电子信息可用户个人电子信息可能出现能出现的的后果后果 6 6 用户个人电子信息管理用户个人电子信息管理者者的的名称名称 地址地址 联联系方式等系方式等信息信息 7 7 用户的用户的投诉渠道投诉渠道 d d 应应只只收集收集能够达到能够达到已已告知告知目的的目的的最少最少信信 息 息 不得不得收集收

11、集与其所告知与其所告知的收集目的的收集目的无无 直接关系直接关系的用户个人电子信息 的用户个人电子信息 e e 应应采采用已用已告知告知的的手段手段和和方式直接向方式直接向用户用户 收集用户个人电子信息 收集用户个人电子信息 不采取隐蔽手不采取隐蔽手 段或段或以以间接方式间接方式收集用户个人电子信息收集用户个人电子信息 电信和互联网用户个人电子信息保护标准安全防护要求 p 收集环节收集环节 技术要求技术要求 a a 通通过过在在线方式线方式进行用户进行用户身份身份信息收集时 应信息收集时 应使使用用加密传输加密传输以保以保障障用户在用户在线提交线提交信息的信息的 安全安全性性 b b 应对用户

12、应对用户设置访问控制设置访问控制 每每个用户个用户只能只能访问访问自自己己所所上上传传的用户信息 的用户信息 c c 用户用户鉴鉴权权信息应有信息应有位数位数要求 要求 并并有有复杂度复杂度要求要求 使使用用大写字母大写字母 小写字母小写字母 数字数字 标 标 点及特殊字符四种字符点及特殊字符四种字符中中至少至少三种三种的的组合组合 且且与与用户用户名无名无相相关性关性 d d 应对收集用户个人电子信息的操作进行应对收集用户个人电子信息的操作进行日志记录日志记录 并并对对日志记录日志记录中的中的身份身份信息和信息和鉴鉴权权信信 息进行息进行模糊化处模糊化处理 理 e e 身份身份信息 信息 鉴

13、鉴权权信息在用户信息在用户端显示端显示时应进行时应进行模糊化处模糊化处理 理 如如 用户 用户注册页面注册页面身份身份证号证号 码显示码显示 密密码找回页面码找回页面手机手机号码显示号码显示 密密码找回页面邮箱显示码找回页面邮箱显示 用户 用户输输入入密密码显示码显示等等 电信和互联网用户个人电子信息保护标准安全防护要求 p 存储环节存储环节 管理要求管理要求 a a 对于存储用户个人电子信息的存储对于存储用户个人电子信息的存储介质 介质 如如磁阵磁阵 硬盘硬盘和和磁带磁带等等 的的维维护 护 更换更换 升级升级和和销毁销毁等等操作和管理流程 应操作和管理流程 应制定严格制定严格的的登记登记和

14、和审审批批制度并落实制度并落实 b b 应应采取采取有有效效的管理的管理手段加手段加强强对对涉及涉及用户个人电子信息的用户个人电子信息的系系统统使使用移用移动动存储存储介质介质的管的管 控控 对 对向向移移动介质动介质输出输出用户个人电子信息的用户个人电子信息的情况情况进行进行日志记录日志记录 并定并定期期审核审核 电信和互联网用户个人电子信息保护标准安全防护要求 p 存储环节存储环节 技术要求技术要求 a a 应应采取采取技术技术手段手段保保障障用户个人电子信息的安全用户个人电子信息的安全性性和完和完整整性性 鉴鉴权权信息应信息应加密加密存储 存储 b b 作为作为后后台台的存储的存储系系统

15、须统须与前与前端端的用户信息收集的用户信息收集系系统统在在物物理上进行分理上进行分离离 不得不得共共用用服服 务器务器 c c 应应实实现现网网络络安全安全域划域划分 分 不同不同安全安全域域之间使之间使用防用防火墙火墙进行进行隔隔离离和和访问控制访问控制 存储 存储系系 统统应应处处于于内部内部安全安全域域 不不对互联网对互联网提供提供服务服务 并并与与用户信息收集用户信息收集系系统处统处于于不同不同安全安全 域域 d d 防防火墙火墙对存储对存储系系统统的的访问访问策略策略应应设置设置为为默认拒绝默认拒绝 只只对对特定特定的用户信息收集的用户信息收集系系统统 用户信息用户信息使使用用系系统

16、及统及管理管理终终端端开开放放访问访问权限权限 e e 用户个人电子信息用户个人电子信息必必须须存储在存储在境内境内 电信和互联网用户个人电子信息保护标准安全防护要求 p 操作环节操作环节 管理要求管理要求 业业务务人人员员要求要求 a a 对业对业务务人人员员操作用户个人电子信息的行为 应操作用户个人电子信息的行为 应建立建立明确的操作明确的操作审审批流程 批流程 定定期进行期进行 严严密密的的事后事后审核审核 b b 涉及涉及身份身份信息的操作 业信息的操作 业务务人人员员应应获获得得用户的用户的同意同意 并且并且按照按照正正常常的的鉴鉴权权流程通流程通过过 身份身份认认证证 c c 涉及涉及内容内容信息的信息的查询查询 业 业务务人人员员只能只能在在响响应用户应用户请请求时 求时 并且并且用户用户自身自身按照按照正正常常流流 程通程通过身份过身份鉴鉴权权的的情况情况下 下 协助协助用户用户查询查询 禁止禁止业业务务人人员擅员擅自自进行进行查询查询 电信和互联网用户个人电子信息保护标准安全防护要求 p 操作环节操作环节 管理要求管理要求 运运维维支撑支撑人人员员要求要求 a a 对

展开阅读全文
相关资源
相关搜索

当前位置:首页 > IT计算机/网络 > 其它相关文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号