公安部等发布《互联网个人信息安全保护指南》（上）

4月10日，公安部网络安全保卫局、北京网络行业协会、公安部第三研究所在“全国互联网安全管理服务平台”官网联合发布《互联网个人信息安全保护指南》。

为深入贯彻落实《网络安全法》，指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，会同北京网络行业协会和公安部第三研究所等单位，研究制定了《互联网个人信息安全保护指南》。

现正式发布，供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。

　　▼

　　互联网个人信息安全保护指南

　　引言

　　为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。

　　1.范围

　　本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。

　　适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。

　　2.规范性引用文件

　　下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

　　GB/T25069—2010 信息安全技术 术语

　　GB/T35273—2017 信息安全技术 个人信息安全规范

　　GB/T22239 信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求）

　　3.术语和定义

　　3.1 个人信息

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

　　[中华人民共和国网络安全法，第七十六条（五）]

　　注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

　　3.2 个人信息主体

　　个人信息所标识的自然人。

　　[GB/T35273-2017，定义3.3]

　　3.3 个人信息持有

　　对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

　　3.4 个人信息持有者

　　对个人信息进行控制和处理的组织或个人。

　　3.5 个人信息收集

　　获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。

　　[GB/T35273-2017，定义3.5]

　　3.6 个人信息使用

　　通过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。

　　3.7 个人信息删除

　　在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。

　　[GB/T35273-2017，定义3.9]

　　3.8 个人信息生命周期

　　包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。

　　3.9 个人信息处理系统

　　处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。

　　4.管理机制

　　4.1 基本要求

　　个人信息处理系统的安全管理要求应满足GB/T22239相应等级的要求。

　　4.2 管理制度

　　4.2.1 管理制度内容

　　a)应制定个人信息保护的总体方针和安全策略等相关规章制度和文件，其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明；

　　b)应制定工作人员对个人信息日常管理的操作规程；

　　c)应建立个人信息管理制度体系，其中包括安全策略、管理制度、操作规程和记录表单；

　　d)应制定个人信息安全事件应急预案。

　　4.2.2 管理制度制定发布

　　a)应指定专门的部门或人员负责安全管理制度的制定；

　　b)应明确安全管理制度的制定程序和发布方式，对制定的安全管理制度进行论证和审定，并形成论证和评审记录；

　　c)应明确管理制度的发布范围，并对发文及确认情况进行登记记录。

　　4.2.3 管理制度执行落实

　　a)应对相关制度执行情况进行审批登记；

　　b)应保存记录文件，确保实际工作流程与相关的管理制度内容相同；

　　c)应定期汇报总结管理制度执行情况。

　　4.2.4 管理制度评审改进

　　a)应定期对安全管理制度进行评审，存在不足或需要改进的予以修订；

　　b)安全管理制度评审应形成记录，如果对制度做过修订，应更新所有下发的相关安全管理制度。

　　4.3管理机构

　　4.3.1 管理机构的岗位设置

　　a)应设置指导和管理个人信息保护的工作机构，明确定义机构的职责；

　　b)应由最高管理者或授权专人负责个人信息保护的工作；

　　c)应明确设置安全主管、安全管理各个方面的负责人，设立审计管理员和安全管理员等岗位，清晰、明确定义其职责范围。

　　4.3.2 管理机构的人员配置

　　a)应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等；配备负责数据保护的专门人员；

　　b)应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息，审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。

　　4.4 管理人员

　　4.4.1 管理人员的录用

　　a)应设立专门的部门或人员负责人员的录用工作；

　　b)应明确人员录用时对人员的条件要求，对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核；

　　c)录用后应签署相应的针对个人信息的保密协议；

　　d)应建立管理文档，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；

　　e)应记录录用人身份、背景和专业资格等，记录审查内容和审查结果等；

　　f)应记录录用人录用时的技能考核文档或记录，记录考核内容和考核结果等；

　　g)应签订保密协议，其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

　　4.4.2 管理人员的离岗

　　a)人员离岗时应办理调离手续，签署调离后个人信息保密义务的承诺书，防范内部员工、管理员因工作原因非法持有、披露和使用个人信息；

　　b)应对即将离岗人员具有控制方法，及时终止离岗人员的所有访问权限，取回其身份认证的配件，诸如身份证件、钥匙、徽章以及机构提供的软硬件设备；采用生理特征进行访问控制的，需要及时删除生理特征录入的相关信息；

　　c)应形成对离岗人员的安全处理记录（如交还身份证件、设备等的登记记录）；

　　d)应具有按照离职程序办理调离手续的记录。

　　4.4.3 管理人员的考核

　　a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核；

　　b)应按照考核周期形成考核文档，被考核人员应包括各个岗位的人员；

　　c)应对违反违背制定的安全策略和规定的人员进行惩戒；

　　d)应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度，并对考核记录进行记录存档。

　　4.4.4 管理人员的教育培训

　　a)应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训；

　　b)应制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等；

　　c)应形成安全教育和培训记录，记录包含培训人员、培训内容、培训结果等。

　　4.4.5 外部人员访问

　　a)应建立关于物理环境的外部人员访问的安全措施：

　　1)制定外部人员允许访问的设备、区域和信息的规定；

　　2)外部人员访问前需要提出书面申请并获得批准；

　　3)外部人员访问被批准后应有专人全程陪同或监督，并进行全程监控录像；

　　4)外部人员访问情况应登记备案。

　　b)应建立关于网络通道的外部人员访问的安全措施：

　　1)制定外部人员允许接入受控网络访问系统的规定；

　　2)外部人员访问前需要提出书面申请并获得批准；

　　3)外部人员访问时应进行身份认证；

　　4)应根据外部访问人员的身份划分不同的访问权限和访问内容；

　　5)应对外部访问人员的访问时间进行限制；

　　6)对外部访问人员对个人信息的操作进行记录。

　　5.技术措施

　　5.1 基本要求

　　个人信息处理系统其安全技术措施应满足GB/T22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

　　5.2 通用要求

　　5.2.1 通信网络安全

　　5.2.1.1 网络架构

　　a)应为个人信息处理系统所处网络划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

　　b)个人信息处理系统应作为重点区域部署，并设有边界防护措施。

　　5.2.1.2 通信传输

　　a)应采用校验技术或密码技术保证通信过程中个人信息的完整性；

　　b)应采用密码技术保证通信过程中个人信息字段或整个报文的保密性。

　　5.2.2 区域边界安全

　　5.2.2.1 边界防护

　　a)应对跨越边界访问通信信息进行有效防护；

　　b)应对非授权设备跨越边界行为进行检查或限制。

　　5.2.2.2 访问控制

　　应在个人信息处理系统边界根据访问控制策略设置访问控制规则。

　　5.2.2.3 入侵防范

　　应在个人信息处理系统边界部署入侵防护措施，检测、防止或限制从外部、内部发起的网络攻击行为。

　　5.2.2.4 恶意代码防范

　　应在个人信息处理系统的网络边界处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。

　　5.2.2.5 安全审计

　　a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计，审计应覆盖到每个用户、用户行为和安全事件；

　　b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功，以及个人信息的范围、类型、操作方式、操作人、流转双方及其他与审计相关的信息；

　　c)应对审计记录进行保护，定期备份并避免受到未预期的删除、修改或覆盖等；

　　d)审计记录的留存时间应符合法律法规的要求；

　　e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

　　5.2.3 计算环境安全

　　5.2.3.1 身份鉴别

　　a)应对登录个人信息处理系统的用户进行身份标识和鉴别，身份鉴别标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

　　b)个人信息处理系统应启用登录失败处理功能，采取诸如结束会话、限制非法登录次数和自动退出等措施；

　　c)个人信息处理系统进行远程管理时，应采取措施防止身份鉴别信息在网络传输过程中被窃听；

　　d)个人信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现，密码技术应符合国家密码主管部门规范。

　　5.2.3.2 访问控制

　　a)应对登录个人信息处理系统的用户分配账户和权限；

　　b)个人信息处理系统应重命名或删除默认账户，修改默认账户的默认口令；

　　c)个人信息处理系统应及时删除或停用多余的、过期的账户，避免共享账户的存在；

　　d)个人信息处理系统应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分离；

　　e)个人信息处理系统应由授权主体配置访问控制策略，访问控制策略应规定主体对客体的访问规则；

　　f)个人信息处理系统的访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

　　g)个人信息处理系统应对个人信息设置安全标记，并控制主体对有安全标记资源的访问。

　　5.2.3.3 安全审计

　　a)个人信息处理系统应启用安全审计功能，并且审计覆盖到每个用户，应对重要的用户行为和重要的安全事件进行审计；

　　b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

　　c)应对审计记录进行保护，进行定期备份并避免受到未预期的删除、修改或覆盖等；

　　d)审计记录的留存时间应符合法律法规的要求；

　　e)应对审计进程进行保护，防止未经授权的中断。

　　5.2.3.4 入侵防范

　　a)个人信息处理系统应遵循最小安装的原则，只安装需要的组件和应用程序；

　　b)个人信息处理系统应关闭不需要的系统服务、默认共享和高危端口；

　　c)个人信息处理系统应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

　　d)个人信息处理系统应能够发现存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

　　e)个人信息处理系统应能够检测到对重要节点的入侵行为并进行防御，并在发生严重入侵事件时提供报警；

　　5.2.3.5 恶意代码防范和程序可信执行

　　应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受到破坏时采取恢复措施。

　　5.2.3.6 资源控制

　　a)应限制单个用户或进程对个人信息处理和存储设备系统资源的最大使用限度；

　　b)应提供重要节点设备的硬件冗余，保证系统的可用性；

　　c)应对重要节点进行监视，包括监视CPU、硬盘、内存等资源的使用情况；

　　d)应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。

　　5.2.4 应用和数据安全

　　5.2.4.1 身份鉴别

　　a)个人信息处理系统应对登录的用户进行身份标识和鉴别，该身份标识应具有唯一性，鉴别信息应具有复杂度并要求定期更换；

　　b)个人信息处理系统应提供并启用登录失败处理功能，并在多次登录后采取必要的保护措施；

　　c)个人信息处理系统应强制用户首次登录时修改初始口令，当确定信息被泄露后，应提供提示全部用户强制修改密码的功能，在验证确认用户后修改密码；

　　d)用户身份鉴别信息丢失或失效时，应采取技术措施保证鉴别信息重置过程的安全；

　　e)应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别，且其中一种鉴别技术使用密码技术来实现。

　　5.2.4.2 访问控制

　　a)个人信息处理系统应提供访问控制功能，并对登录的用户分配账户和权限；

　　b)应重命名或删除默认账户，修改默认账户的默认口令；

　　c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

　　d)应授予不同账户为完成各自承担任务所需的最小权限，在它们之间形成相互制约的关系；

　　e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

　　f)访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；

　　g)个人信息应设置安全标记，控制主体对有安全标记资源的访问。

　　5.2.4.3 安全审计

　　a)个人信息处理系统应提供安全审计功能，审计应覆盖到每个用户，应对重要的用户行为和重要的安全事件进行审计；

　　b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

　　c)应对审计记录进行保护，定期备份，并避免受到未预期的删除、修改或覆盖等；

　　d)审计记录的留存时间应符合法律法规的要求；

　　e)应对审计进程进行保护，防止未经授权的中断。

　　5.2.4.4 软件容错

　　a)应提供个人信息的有效性校验功能，保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理系统设定要求；

　　b)应能够发现个人信息处理系统软件组件可能存在的已知漏洞，并能够在充分测试评估后及时修补漏洞；

　　c)应能够在故障发生时，继续提供一部分功能，并能够实施必要的措施。

　　5.2.4.5 资源控制

　　a)在通信双方中的一方在一段时间内未做任何响应时，另一方应能够自动结束会话；

　　b)应对个人信息处理系统的最大并发会话连接数进行限制；

　　c)应能够对单个用户的多重并发会话进行限制。

　　5.2.4.6 数据完整性

　　a)应采取校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据和个人信息；

　　b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据和个人信息。

　　5.2.4.7 数据保密性

　　a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据和个人信息；

　　b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据和个人信息。

　　5.2.4.8 数据备份恢复

　　a)应提供个人信息的本地数据备份与恢复功能，定期对备份数据进行恢复测试，保证数据可用性；

　　b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

　　c)应提供重要数据处理系统的热冗余，保证系统的高可用性。

　　5.2.4.9 剩余信息保护

　　a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

　　b)应保证存有个人信息的存储空间被释放或重新分配前得到完全清除。

　　5.3 扩展要求

　　5.3.1 云计算安全扩展要求

　　a)应确保个人信息在云计算平台中存储于中国境内，如需出境应遵循国家相关规定；

　　b)应使用校验技术或密码技术保证虚拟机迁移过程中，个人信息的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；

　　c)应使用密码技术保证虚拟机迁移过程中，个人信息的保密性，防止在迁移过程中的个人信息泄露。

　　5.3.2 物联网安全扩展要求

　　物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。