2020滴滴网络安全峰会报告：爱康集团信息安全建设-吴洋1222.pdf

《2020滴滴网络安全峰会报告：爱康集团信息安全建设-吴洋1222.pdf》由会员分享，可在线阅读，更多相关《2020滴滴网络安全峰会报告：爱康集团信息安全建设-吴洋1222.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、爱康集团信息安全建设 敏感数据守护之路 吴洋 2020.12.17 目录 个人信息保护思路02 背景介绍01 PIMS体系落地03 国内合规要求 国外合规要求 目标 工作内容 落地过程 理论指导 敏感数据保护实践04 影像数据如何处理？ 弱密码真的弱吗？ 01 背景介绍 国内 背景介绍01 中国人民共和国数据安全法 中华人民共和国个人信息保护法 中华人民共和国民法典，强调隐 私权和个人信息保护 国际爱康集团 ISO 27001 GDPR ISO 27701 数据敏感 数据类型多 数据量巨大 群体特殊 02 个人信息保护思路 个人信息工作开展的依据 02 个人PII信息 GB/T 35273-2

2、017：个人信息 以电子或者其他方式记录的，能够单独或者与其他 信息结合识别特定自然人身份或者反映特定自然人 活动情况的各种信息。 ISO 29100：个人可识别信息PII （a）可用于识别与此类信息相关的PII主体的任何信息，或 （b）与或可能直接或间接与PII主体相关联的任何信息。 个人信息一旦泄露，将导致个人信息 主体及收集、使用个人信息的组织和 机构丧失对个人信息的控制能力 一旦泄露、非法提供或滥用可能危害人身和 财产安全，极易导致个人名誉、身心健康受 到损害或歧视性待遇等的个人信息 某些个人信息在被超出授权合理界限时使用 （如变更处理目的、扩大处理范围等），可 能对个人信息主体权益带

3、来重大风险 可从信息本身的特殊性识 别出特定自然人 已知特定自然人，由该特 定自然人在其活动中产生 的信息 个人信息保护实施 02 短期 优先级 隐私政策及权限： 业务功能梳理 识别个人信息 安全技术符合性评估 个人信息合规整改： 用户权利的实现 隐私政策整改 短期目标 中期目标 长期目标 数据生命周期： q 第三方交互调研 q 管理制度调研 q 数据生命周期梳理 个人信息合规整改： q 隐私影响评估 q 系统隐私功能设计 q 隐私纠纷管理 构建个人信息保护体系： v 组织架构建立 v 管理流程搭建 v 信息泄露事件管理 v 默认隐私设计 长期 低 高 个人信息保护工作内容 02 信息保护 建立体系 收集分级矩阵 存储 加密 时限 使用 匿名化/去标识化 权限矩阵 传输多重认证 分级矩阵 02 机密秘密限制公开 用户数据PII用户记录用户浏览轨迹 员工数据工资密码除PII外基本信 息 经员