《信息安全技术 个人信息安全工程指南gbt 41817-2022》详细解读.pptx

《信息安全技术个人信息安全工程指南gb/t41817-2022》详细解读;;;;;;;;;涉及内容;个人信息处理活动必须符合国家法律法规和政策要求。;;GB/T39335—2020;;;;基于信息安全工程理论，针对个人信息处理活动，运用系统工程方法，构建的个人信息安全保障体系。;个人信息处理者定义;个人信息主体定义;;;;;目的;合法正当原则;5.3个人信息处理要求;;;;;通过实施适当的访问控制机制，确保只有经过授权的人员能够访问敏感个人信息。;保持个人信息的完整性;;建立审计和监控机制，记录个人信息的访问、修改和删除等操作，以便在必要时进行追溯和调查。;;;根据个人信息保护策略，设计具体的保护方案，包括数据加密、访问控制、安全审计等技术措施和管理制度。;;;;;;;估算工程成本;;;;;6.4法律法规与合规性要求;;;;认证与提升;;;6.2输入;;;产品服务个人信息需求;;;;;6.3.2职责划分;;明确个人信息处理活动的合法性、正当性、透明性，并识别可能对个人权益造成的损害和风险。;6.4.2个人信息安全事件处置;评估要求;权利内容;;个人信息安全工程实施结果;;;;7.2设计流程;;7.4注意事项;;角色定位;;信息安全工程师需要具备扎实的计算机基础知识，熟悉网络安全协议、加密算法、入侵检测等安全技术，以及掌握主流的安全工具和产品。;信息安全工程师的职业发展;;7.2.1需求分析输入;;;;;监督者;个人信息控制者职责;;明确个人信息处理活动的合法性与正当性，识别并降低处理活动中的个人信息泄露、篡改、丢失等风险。;;明确个人信息跨境提供的场景，包括跨境业务合作、数据出境等。;应急预案制定;;个人信息安全工程实施结果;输出内容应准确无误，真实反映个人信息安全工程的实际情况。;文档报告;;;制定并遵循安全的编码规范，防止因编码错误导致的个人信息安全问题。;8.3测试验证阶段;;;;熟练掌握网络安全、系统安全、应用安全等领域的知识，具备安全漏洞分析和风险防范能力。;信息安全工程师的职业发展;制定安全策略;;;;注入攻击;;;信息安全工程师;数据管理员;;;;;;;;;应详细记录工程实施过程中的关键步骤、方法、结果及遇到的问题，并提出改进建议。;输出要求;输出流程;;;测试方法;涵盖个人??息收集、存储、使用、加工、传输、提供、公开等各个环节的安全控制措施。;;;;个人信息安全工程的重要性;;;产品服务个人信息需求;;信息安全负责人;职责明确;;通过对组织的业务流程、系统架构、数据流动等进行全面分析，识别出潜在的个人信息安全风险。;9.4.2信息安全事件管理;;跟踪信息安全技术发展趋势;;;;输出要求;;;系统部署;用户反馈收集;;;技术能力;信息安全工程师的职业发展;;;;;;;;负责全面领导和协调个人信息保护工作，确保相关政策和标准的落实。;系统管理员;10.3.3协作与沟通;;;确定个人信息保护目标;;;;;输出的报告和建议必须准确无误，能够真实反映组织的个人信息安全状况。;;;;最小权限原则;A.4数据共享与披露安全;;禁用或限制不必要的用户账户，确保每个账户有唯一的用户名和密码。;为每个应用或用户仅分配所需的最小权限，以减少潜在的安全风险。;防火墙配置;;;GB/T41817-2022;THANKS