《数据安全技术 数据安全和个人信息保护社会责任指南.docx》由会员分享,可在线阅读,更多相关《数据安全技术 数据安全和个人信息保护社会责任指南.docx(40页珍藏版)》请在优知文库上搜索。
1、ICS35.030CCS1.80G目中华人民共和国家标准GB/TXXXXX-XXXX数据安全技术数据安全和个人信息保护社会责任指南Datasecuritytechnology-Guidanceonsocialrcspnsibililyofdatasecurityandpersonalinformationprotection(点击此处添加与国际标准一致性程度的标识)(征求意见稿)在提交反愦意见时,请将您知道的相关专利连同支持性文件一并附上.XXXX-XX-XX发布XXXX-XX-XX实施目次前言I1范围12Be范性引用文件13术谱和定义14概述25组织治理和内部管理36合规性、创新性和价值体现
2、57公平运行、竞争与合作88用户权益保护119公益参与和社会发展1410社会责任耀行情况按寤16附录A(资料性)数据安全和个人保护社会货任评价方法18附录B(资料性)数据安全和个人信息保护社会货任实践案例30附录C(资料性)数据安全和个人信息保妒社会责任报告模板35参考文献37本文件按照GB打1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则:,的规定起草.本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京褰西科技发展有限贵住公F.中国科学院信息工程研究所、中国电子技术标准化斫究院、中国网络安全审查技术与认证中心、北京百度网讯科技有限公司
3、、北京快手科技有限公司、蚂蚊科技集团股份有限公司、国家信息技术安全研究中心、公安部第三研究所、膜讯科技(深圳)有限公司、贝壳找房(北京)科技有限公司、深圳赛西信息技术有限公司、JH天科技股份有限公司、北京抖音信息服务有限公司、广州竟远安全技术股份有限公司、完荚世界(北京软件科技发展有限公司等.本文件主要起草人:何过哲、商能、李敬、契华、朱明岬、落红卫、先建领、白晓媛、张朝、武杨、王海棠、宣埼、杨韬、王福彪、绘水林、李映靖、何倒、王昕、薛颖、黄篙等.数据安全技术数据安全和个人信息保护社会责任指南1楚图本文件为组织理耨数据安全和个人信息保护社会责任以及实施相关活动提供指南.本文件适用于处理数据的组
4、织,还适用于评价数据处埋组织履行数据安全和个人信息保护社会史任程度的第三方机构,2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改地)适用于本文件。GB/T352732020信息安全技术个人信息安全规范GB/T360002015社会贲住指南GH/T41479-2022信忠安全技术网络数据处埋安全要求3术语和定义GB/T360002015界定的以及下列术语和定义适用于本文件,社会责任socialresponsibility组织通过透明和合乎道使的行为为其决策和活动对
5、社会和环境的影响而担当的诜任。这些行为:一一致力于可持续发展,包括社会成员的健康和社会的福祉:考虑了利益相关方的期望:一一符合适用的法律,并与国际行为规范和一致;一一被融入整个组织并在组织关系中实施。注1:活动包括产品、服务和过程.注2I班关泰是指狙织在其影响走W内的酒动,IGB.T360(X)2015.定义3.163.2利益相关方stakeholdersM利益可能会受到组织决策或活动影响的个人或团体.IGB1T36000-2015,定义3/33.3消费者consumer出于私人目的而购买或使用财产、产品或眼务的个人,GB.-T360002015,定义3.19)3.4员工employee与组织
6、(3.22)通过劳动合同建立起劳动关系或存在事实劳动关系的个人。(GB/T360002015.定义3.203.5弱势群体vulnerablegroup因具有一个或多个共同特点而易遭受歧视或处于不利的社会、经济、文化、政治或健康状况,乃至缺乏手段以实现其权利或享有平等机会的个体所组成的群体,GBT36000-2015.定义3.15)3.6组织organization对贡任、权限和关系做出安排并有明确目标,由人与设施结合而成的实体或团体.GBT360002015,定义3.224概述本文件旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的社会价值,最大限度地致力于可持续发展,祖织在其数据处理
7、活动湎足适用的法律法规要求的基础上,参照GB“360002015提出的拒员、透明、合乎道雄的行为、尊重利益相关方的利益、尊重法治.尊重国际行为规范、尊重人权的原则.根据本文件第5章至第9章中的五大主SS和相关议处.倘定具体的数据安全和个人信息保护社会员任范用及优先理项。如图I所示,五大主心包括:殂织治理,合规性、创新性和价值体现,公平运行、竞争与合作,用户权益保护,公益参与和社会发展.所有主题相互关联且相互补充,但由于有效的组织治理可确保组织能够针对其他主超和议遨采取行动,因此,组织冷埋是所有主题的中心.同时,社会说任披露是对祖织社会员任履行情况进行社会监督的通行做法和有效手段,也能梢助组织提
8、升声誉、获得更大范困认可。公平坛行、竟多与合作第十章社会费任履行情况披露合烧性创新性加价依体现为八章图1数据安全和个人信息保护社会贡任相关主题本文件第5政至第9率中的主SS和议题并不完全适用于所有组织,组织可结合所在地区的经济、社会和环境发展水平、自身行业特征、规模、性质、发展阶段及利益相关方期望,识别确定好项社会贡任主题和议题中适用的具体内容.组织或限业机构宜根据冏录A给出的评价方法,识别社会货任履行的薄弱环节,不断提升履行救据安全和个人信息保护社会责任的管理成熟度.需要强调的是评价得到的绩效等级并非代表社会责任工作是否到位,不同规模、发展阶段及行业特征的组织将可能分布在不同的绩效等级,参与
9、评价将为同等规模、同样发展阶段及问业组织进,步提升履行社会员任水平提供参考,助推其社会贡任工作持续开展,为社会发展进步做出贡献。5组织治理1.1 核心价值观及发展理念1.1.1 议题描述核心价值观,是指存在于组织内部并为组织全体员工认同且长久秉持的基本价值取向,是引领组织进行决策和活动的核心指导原则.发展理念,是指组织所担负的使命、所奏持的基本信念、所追求的创立宗旨、所遵循的发展哲学。从核心价值观和发展理念层面纳入数据安全和个人信息保护的IR要性对全面履行相关社会责任至关重要。1.1.2 相关行动和期望组织宜采取的行动和达到的期里包括但不限于以下方面.一一组织在已成文并广泛推广的核心价值观、发
10、展理念中阐述关于数据安全和个人信息保护相关的邺景、目标.注:B1l,在产品或服务的设计理念中体现数据安全和个人信息保护为依优先考虑的要案.1.2 管理层承诺或声明5. 2.1议逊描述管理层承诺或声明,是指对组织负有管理责任的人员作出的表态或说明.承诺和声明有利于推动管理层对数据安全和个人信息保护社会贡任相关工作予以Hi视,6. 2.2相关行动和期望组织宜采取的行动和达到的期望包括倒不限于以卜力面.组织的管理层在正式、公开的场合阐述组织数据安全和个人信息保护的组织战略、发展理念等,并以承诺、声明等形式予以强圜.一一粗织的管理层在内部宣贯、培训等场合向员工阐述组税数据安全和个人信息保护的祖织AS略
11、、发展理会等,以促进相关价值观、理念等得以到彻,7. 3社会责任工作方针与目标5. 3.1议题描述社会责任工作方针,是指fH于企业在经营过程中统领和指导本组织中长期社会责任实践.积极艰行社会说任的一系列准则和原则,通常包括了方案和措脩、监测和评估机制等.工作目标,是指组织根据实际情况需要所拟订的具体行动目标和指标。6. 3.2相关行动和期里组织宜采取的行动和达到的期望包括但不限于以下方面。一组织将数据安全、个人信息保护等方面的内容纳入组织的社会责任工作方针和目标中.注:阳单:H给出了发如布致第安全和个人皤息保护社会费任女我案例,可为俎次制定工作Il标提供警号,祖织将社会适任工作方针和目标形成具
12、体的纲领性文件,在组织内向有关部门及人员进行下发,使其能充分的沟通和理解,并在Fi常工作中将以贯彻执行。组织建立有效的检测与评估机制,保障社会员任工作方针与目标的履也顺M与可持续性。7. 4实施主体及资源支持5. 4.1议题描述实施主体.是指组织中具体实随数据安全和个人信息保护社会责任工作的部门或人员.资源支持.是指组织为推动数据安全和个人信息保妒社会4任工作提供人力、财务、环境等资源.实施主体和资源支持是数据安全和个人信息保护社会货任相关工作实施的前提条件,6. 4.2相关行动和期望如织宜枭取的行动和达到的期望包括但不限于以下方面。指定具体的高管担任实施数据安全和个人信息保护社会贲任工作的负
13、责人并明确其职责,如任命高管担任数据保护官(DPO)或首席隐私音(CPO)等职位,并由其负资履行相关的社会贡任。注1:担任负说人的Ift管职务、姓幺、联系方式至少在组炽层面予以公开.指定负责数据安全和个人信息保护社会责任工作的部门或人员,明确其履行社会责任的工作目标、工作职击和工作方案.注2:选样指定部n还是人员取决于组织的经营规模、处理故据的出领和人员配备情况.在相关部门或人员的工作职班中明确需定期向社会披乐社会责任履行情况,如定期发布包含数据安全和个人信息保护相关内容的社会责任报告.为换取数据安全和个人信息保护和关的社会反像信恩提供技术支持,以便于相关部门或人员全面了解利益相关方在数据安全
14、和个人信息保护社会五任方面的期望和诉求,并积极沟通回应。注3:变双社会反馈的信息集道包括I新同媒体报道、互联网社交,信息发布等平台的热议语圆、投诉.举报泰道等.为履行数据安全和个人信息保护社会责任提供专门、充足的财务预算,5.5内部软贸和培训5 .5.1议题描述内部宣贯,是指班织通过宣传法律法规、政策、方窠等使姐织内部员工深刻理解并付诸于实践。内部培训,足指组织通过各种方式、手段ISf促员工在知识、技能、态度等方面有所改进,以达到预期目标.宣理和培训将推动数据安全和个人信息保妒社会责任相关工作在内部有更广泛的认可度,并促进内就员工对相关工作的配合意识,6 5.2相关行动和期望组织宜采取的行动和
15、达到的期望包括但不限于以下方面,一一组织在管理制度中明确贯彻落实数据安全和个人信息保护社会责任的相关内容。注】:一理制度中可包含落实社会击任的姐织柒构体霰、相关职击、目标、方案等.具体可参号5.3.54一一祖织定期(每年至少一次开展数据安全和个人伯息保护社会史任理念、制度、知识、案例等的宣传、培训工作。一一鼓励员工积极学习数据安全和个人信息保护相关的知识和技能,为其提供数据安全和个人信息保护相关知识技能培训,聘请数据安全和个人信息保护专家对负责落实社会责任要求的关隧商位人员(如负资人、相关部门贡任人、社会击任报告编制人等)进行曳点培训.注2:专家宜具备在IS行社会责任方面的经验.叁与过丰富的数据安全和个人俗息保护的社会公益活动,井优先选择受到权威如枳表彰和社会广泛认可的与*,5.6内部监督和员工激励5. 6.1议题描述内部监督.是指组织对社.会贲任战略的实施、相关主体职责的履行以及各方面资源保障等情况进行赛超检查,评价组织内部管理的彳1效性,发现组织管理缺陷,井及时加以改进.员工海励,是指殂织通过有效的手段,激发