数据安全技术 数据安全和个人信息保护社会责任指南.docx
《数据安全技术 数据安全和个人信息保护社会责任指南.docx》由会员分享,可在线阅读,更多相关《数据安全技术 数据安全和个人信息保护社会责任指南.docx(40页珍藏版)》请在三一办公上搜索。
1、ICS35.030CCS1.80G目中华人民共和国家标准GB/TXXXXX-XXXX数据安全技术数据安全和个人信息保护社会责任指南Datasecuritytechnology-Guidanceonsocialrcspnsibililyofdatasecurityandpersonalinformationprotection(点击此处添加与国际标准一致性程度的标识)(征求意见稿)在提交反愦意见时,请将您知道的相关专利连同支持性文件一并附上.XXXX-XX-XX发布XXXX-XX-XX实施目次前言I1范围12Be范性引用文件13术谱和定义14概述25组织治理和内部管理36合规性、创新性和价值体现
2、57公平运行、竞争与合作88用户权益保护119公益参与和社会发展1410社会责任耀行情况按寤16附录A(资料性)数据安全和个人保护社会货任评价方法18附录B(资料性)数据安全和个人信息保护社会货任实践案例30附录C(资料性)数据安全和个人信息保妒社会责任报告模板35参考文献37本文件按照GB打1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则:,的规定起草.本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京褰西科技发展有限贵住公F.中国科学院信息工程研究所、中国电子技术标准化斫究院、中国网络安全审查技术与认证中心、北京百度网讯科技有限公司
3、、北京快手科技有限公司、蚂蚊科技集团股份有限公司、国家信息技术安全研究中心、公安部第三研究所、膜讯科技(深圳)有限公司、贝壳找房(北京)科技有限公司、深圳赛西信息技术有限公司、JH天科技股份有限公司、北京抖音信息服务有限公司、广州竟远安全技术股份有限公司、完荚世界(北京软件科技发展有限公司等.本文件主要起草人:何过哲、商能、李敬、契华、朱明岬、落红卫、先建领、白晓媛、张朝、武杨、王海棠、宣埼、杨韬、王福彪、绘水林、李映靖、何倒、王昕、薛颖、黄篙等.数据安全技术数据安全和个人信息保护社会责任指南1楚图本文件为组织理耨数据安全和个人信息保护社会责任以及实施相关活动提供指南.本文件适用于处理数据的组
4、织,还适用于评价数据处埋组织履行数据安全和个人信息保护社会史任程度的第三方机构,2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改地)适用于本文件。GB/T352732020信息安全技术个人信息安全规范GB/T360002015社会贲住指南GH/T41479-2022信忠安全技术网络数据处埋安全要求3术语和定义GB/T360002015界定的以及下列术语和定义适用于本文件,社会责任socialresponsibility组织通过透明和合乎道使的行为为其决策和活动对
5、社会和环境的影响而担当的诜任。这些行为:一一致力于可持续发展,包括社会成员的健康和社会的福祉:考虑了利益相关方的期望:一一符合适用的法律,并与国际行为规范和一致;一一被融入整个组织并在组织关系中实施。注1:活动包括产品、服务和过程.注2I班关泰是指狙织在其影响走W内的酒动,IGB.T360(X)2015.定义3.163.2利益相关方stakeholdersM利益可能会受到组织决策或活动影响的个人或团体.IGB1T36000-2015,定义3/33.3消费者consumer出于私人目的而购买或使用财产、产品或眼务的个人,GB.-T360002015,定义3.19)3.4员工employee与组织
6、(3.22)通过劳动合同建立起劳动关系或存在事实劳动关系的个人。(GB/T360002015.定义3.203.5弱势群体vulnerablegroup因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况,乃至缺乏手段以实现其权利或享有平等机会的个体所组成的群体,GBT36000-2015.定义3.15)3.6组织organization对贡任、权限和关系做出安排并有明确目标,由人与设施结合而成的实体或团体.GBT360002015,定义3.224概述本文件旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的社会价值,最大限度地致力于可持续发展,祖织在其数据处理
7、活动湎足适用的法律法规要求的基础上,参照GB“360002015提出的拒员、透明、合乎道雄的行为、尊重利益相关方的利益、尊重法治.尊重国际行为规范、尊重人权的原则.根据本文件第5章至第9章中的五大主SS和相关议处.倘定具体的数据安全和个人信息保护社会员任范用及优先理项。如图I所示,五大主心包括:殂织治理,合规性、创新性和价值体现,公平运行、竞争与合作,用户权益保护,公益参与和社会发展.所有主题相互关联且相互补充,但由于有效的组织治理可确保组织能够针对其他主超和议遨采取行动,因此,组织冷埋是所有主题的中心.同时,社会说任披露是对祖织社会员任履行情况进行社会监督的通行做法和有效手段,也能梢助组织提
8、升声誉、获得更大范困认可。公平坛行、竟多与合作第十章社会费任履行情况披露合烧性创新性加价依体现为八章图1数据安全和个人信息保护社会贡任相关主题本文件第5政至第9率中的主SS和议题并不完全适用于所有组织,组织可结合所在地区的经济、社会和环境发展水平、自身行业特征、规模、性质、发展阶段及利益相关方期望,识别确定好项社会贡任主题和议题中适用的具体内容.组织或限业机构宜根据冏录A给出的评价方法,识别社会货任履行的薄弱环节,不断提升履行救据安全和个人信息保护社会责任的管理成熟度.需要强调的是评价得到的绩效等级并非代表社会责任工作是否到位,不同规模、发展阶段及行业特征的组织将可能分布在不同的绩效等级,参与
9、评价将为同等规模、同样发展阶段及问业组织进,步提升履行社会员任水平提供参考,助推其社会贡任工作持续开展,为社会发展进步做出贡献。5组织治理1.1 核心价值观及发展理念1.1.1 议题描述核心价值观,是指存在于组织内部并为组织全体员工认同且长久秉持的基本价值取向,是引领组织进行决策和活动的核心指导原则.发展理念,是指组织所担负的使命、所奏持的基本信念、所追求的创立宗旨、所遵循的发展哲学。从核心价值观和发展理念层面纳入数据安全和个人信息保护的IR要性对全面履行相关社会责任至关重要。1.1.2 相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一组织在已成文并广泛推广的核心价值观、发
10、展理念中阐述关于数据安全和个人信息保护相关的邺景、目标.注:B1l,在产品或服务的设计理念中体现数据安全和个人信息保护为依优先考虑的要案.1.2 管理层承诺或声明5. 2.1议逊描述管理层承诺或声明,是指对组织负有管理责任的人员作出的表态或说明.承诺和声明有利于推动管理层对数据安全和个人信息保护社会贡任相关工作予以Hi视,6. 2.2相关行动和期望组织宜采取的行动和达到的期望包括倒不限于以卜力面.组织的管理层在正式、公开的场合阐述组织数据安全和个人信息保护的组织战略、发展理念等,并以承诺、声明等形式予以强圜.一一粗织的管理层在内部宣贯、培训等场合向员工阐述组税数据安全和个人信息保护的祖织AS略
11、、发展理会等,以促进相关价值观、理念等得以到彻,7. 3社会责任工作方针与目标5. 3.1议题描述社会责任工作方针,是指fH于企业在经营过程中统领和指导本组织中长期社会责任实践.积极艰行社会说任的一系列准则和原则,通常包括了方案和措脩、监测和评估机制等.工作目标,是指组织根据实际情况需要所拟订的具体行动目标和指标。6. 3.2相关行动和期里组织宜采取的行动和达到的期望包括但不限于以下方面。一组织将数据安全、个人信息保护等方面的内容纳入组织的社会责任工作方针和目标中.注:阳单:H给出了发如布致第安全和个人皤息保护社会费任女我案例,可为俎次制定工作Il标提供警号,祖织将社会适任工作方针和目标形成具
12、体的纲领性文件,在组织内向有关部门及人员进行下发,使其能充分的沟通和理解,并在Fi常工作中将以贯彻执行。组织建立有效的检测与评估机制,保障社会员任工作方针与目标的履也顺M与可持续性。7. 4实施主体及资源支持5. 4.1议题描述实施主体.是指组织中具体实随数据安全和个人信息保护社会责任工作的部门或人员.资源支持.是指组织为推动数据安全和个人信息保妒社会4任工作提供人力、财务、环境等资源.实施主体和资源支持是数据安全和个人信息保护社会货任相关工作实施的前提条件,6. 4.2相关行动和期望如织宜枭取的行动和达到的期望包括但不限于以下方面。指定具体的高管担任实施数据安全和个人信息保护社会贲任工作的负
13、责人并明确其职责,如任命高管担任数据保护官(DPO)或首席隐私音(CPO)等职位,并由其负资履行相关的社会贡任。注1:担任负说人的Ift管职务、姓幺、联系方式至少在组炽层面予以公开.指定负责数据安全和个人信息保护社会责任工作的部门或人员,明确其履行社会责任的工作目标、工作职击和工作方案.注2:选样指定部n还是人员取决于组织的经营规模、处理故据的出领和人员配备情况.在相关部门或人员的工作职班中明确需定期向社会披乐社会责任履行情况,如定期发布包含数据安全和个人信息保护相关内容的社会责任报告.为换取数据安全和个人信息保护和关的社会反像信恩提供技术支持,以便于相关部门或人员全面了解利益相关方在数据安全
14、和个人信息保护社会五任方面的期望和诉求,并积极沟通回应。注3:变双社会反馈的信息集道包括I新同媒体报道、互联网社交,信息发布等平台的热议语圆、投诉.举报泰道等.为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算,5.5内部软贸和培训5 .5.1议题描述内部宣贯,是指班织通过宣传法律法规、政策、方窠等使姐织内部员工深刻理解并付诸于实践。内部培训,足指组织通过各种方式、手段ISf促员工在知识、技能、态度等方面有所改进,以达到预期目标.宣理和培训将推动数据安全和个人信息保妒社会责任相关工作在内部有更广泛的认可度,并促进内就员工对相关工作的配合意识,6 5.2相关行动和期望组织宜采取的行动和
15、达到的期望包括但不限于以下方面,一一组织在管理制度中明确贯彻落实数据安全和个人信息保护社会责任的相关内容。注】:一理制度中可包含落实社会击任的姐织柒构体霰、相关职击、目标、方案等.具体可参号5.3.54一一祖织定期(每年至少一次开展数据安全和个人伯息保护社会史任理念、制度、知识、案例等的宣传、培训工作。一一鼓励员工积极学习数据安全和个人信息保护相关的知识和技能,为其提供数据安全和个人信息保护相关知识技能培训,聘请数据安全和个人信息保护专家对负责落实社会责任要求的关隧商位人员(如负资人、相关部门贡任人、社会击任报告编制人等)进行曳点培训.注2:专家宜具备在IS行社会责任方面的经验.叁与过丰富的数
16、据安全和个人俗息保护的社会公益活动,井优先选择受到权威如枳表彰和社会广泛认可的与*,5.6内部监督和员工激励5. 6.1议题描述内部监督.是指组织对社.会贲任战略的实施、相关主体职责的履行以及各方面资源保障等情况进行赛超检查,评价组织内部管理的彳1效性,发现组织管理缺陷,井及时加以改进.员工海励,是指殂织通过有效的手段,激发员工的动力,充分桧匏潜力,以达到预期目标,监督和激励措施将推动数据安全和个人信息保护社会责任相关工作在内部有更加显著的执行力。6. 6.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.一一建立内部监督机制,由数据安全和个人信息保妒社会货任工作的部门或人员接
17、收内部人员反馈的监督意见,并推动相美意见得到处理,一一鼓励员工通过参与数据安全和个人信息保护的社会公益活动或相关实践活动、社会培训及资格考试等方式提升能力水平.一一将相关人员充分、积极、主动制行数据安全和个人怕恩保护社会史任职费和义务纳入到其绩效考核体系中,如取得枳极社会反响在绩效考核时予以加分,注:由权威布门授予稣谢信、奖状等方式可视为取得枳极社会影响.6合规性、创新性和价值体现6.1 产品或服务的合规性6.1.1 议懑描述产处或服务在数树安全和个人伯恩保护方面的合规性,是指产处或服务符合法律法规、规改、规莅性文件、相关标准等要求,以降低合规性风险。合规工作主要表现形式为组税开展剌度、文档、
18、策略、流程的隹设,完成内审、自评估、第三方评价、第三方审计,荻得专业机构认证等.6.1.2 相关行动和期里组织宜采取的行动和达到的期里包括但不限于以下方面.一一通过组织内自行发起或引入独立第三方对产品或服务遵循法律法规、规章、强制性标准的情况进行评估或审计,井形成评估或审计记录、认证、结论或报告以指殍产品或服务持续诙进.注1:谭化或审计的依据可番考推荐性的国*标小、行业标准、团体标准,以及业界广泛认可的技术现公:;注2:常用的评估依据丫力GB/T35273-2020.GBZT41479-2022笥。引入独立第三方评价后,取得产品或服务在数据安全和个人信息保妒方面的合规认证(包括国内与国际),与
19、监管部门、利益相关方、用户等保持沟通,接受数据安全与个人胞私监督与建议。通过对组织层面数捌安全和个人信息保护方面的管理体系、产品或服务的认证与监督,使知产品或服务能膨持续保持符合性.发布数据安全和个人信息保护相关的合规说明(或白皮书、报告、说明等),向外界展示数据安全和个人信息保护方面的耀说情况,增进用户对产品或服务所采取合规措施的理解。建立数据安全与个人保护相关陶急安全预防和处理管理体系机制、预案,建立与利益相关方、监管部门的沟通渠道及程序,提升数据安全和个人信息保护相关的安全突发事件响应能力和处罚候力。62技术的创新性和先进性6 .2.1议题描述技术的创新性和先进性,是指基于当前技术发展水
20、平,能更高效、低成本解决数据安全和个人信息保护相关特定问起.或能提升相关生产力水平,或对经济发展、社会进步有促进作用.组织通常以研究成果转化等方式,实现产品或服务在数据安全和个人信息保护水平的突破性诳展,为行业、社会创造经济效益、社会效益。创新性和先进性主要表现形式有专利、专业机构认证、国家或行业奖项、试点示范等。7 2.2相关行动和期望组织宜采取的行动和达到的期望包括但不限于以下方面.构建数匏安全和个人信息保护创新性和先进性的评价标准和指导方针,建立对技术创新的长期激励机制,包括管理制度、缄效考核、资金奖励等。参与卬报、实施数据安全和个人信息保护相关的科研项目.-产品或服务数据安全和个人信息
21、保护相关技术的创新及先进性获得外部认可,包括申报专利、成为优秀案例、然得奖项等.对具备数据安全和个人信息保护相关技术创新性、先进性且产业实践效果良好的产品或服务,通过参赛展示、试点应用等方式扩大其影响面、应用面.-将数据安全和个人信息保护专利申请及授权量、获取的科技奖项作为组织宣传的重要案材予以体现.搭建同行业交流机制或平台,交流分享创新性理会、方法,并为技术创新提供学术研究、国际交流等方面的有利条件。整合系列具有自主知识产权.在创新性和先进性上有显著优势的数据安全和个人信息保护相关技术,形成相关的产M或眼芬,并创立行业知名的品牌.为提升行业整体水平、在全洋能圉内展现竞争力有显著作用。63用户
22、使用的价值体现6.3.1议题描述刖户使用的价值体现,向用户提供其所僭的产品或眼务期间,根据数据处理的目的进行数据处理活动,充分限行数据安全和个人信息保护贵仔,并为用户提供保障其数据和个人信息权益的机制,通过数据安全和个人信息保护保陲或提升用户使用产品或服务的价值.6. 3.2相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一用户使用相应功能仅需提供该功能实现所必要的数据.注1:在用户使用功能时不便过置不合理的条件,如捆绑其他功健、帮加收岖数界的种类.设置过长的等待时间,增加无关的援修步虞等一一将数据安全和个人信息保护的功能谀置为基础功能的一部分.注2,延础服务通常不向用户额外
23、收取费用.一一通过不断优化数据处理的流程、步赚,以优化收集数据时机、场亮,然少收架数据的种类和存储时间,在不影响使用的前提下增加对数据的脱敏、去标识化、匿名化处理.一一在不影响用户权益的前提下,通过优化算法等方式进一步挖掘数据价值,提升服务质奴、提而响应效率,并强化安全保障等。一一提供必要的措施以保障用户对其数据的控制权,并优化用户行使权利的路径,包括对数据进行查询、复制、更正、捌除、转移等.注3:境外的组织面向境内用户1供的行使权利的路径时.充分老电了境内用户的沿宫,捱作等U惯.一一通过强化时数据处理活动进行审计、监测等机制,进一步提升及时发现、处况安全缺陷、安全风险的能力,预防用户权益殳损
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据安全技术 数据安全和个人信息保护社会责任指南 数据 安全技术 安全 个人信息 保护 社会 责任 指南
链接地址:https://www.31ppt.com/p-7179901.html