作为审核员,你应该关注《信息安全技术 个人信息保护指南》
随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。合理利用和有效保护个人信息已成为企业、个人和社会各界广泛关注的热点问题。为提高个人信息保护意识,保护个人合法权益,促进个人信息的合理利用,指导和规范利用信息系统处理个人信息的活动,在工业和信息化部信息安全协调司指导下,全国信息安全标准化技术委员会秘书处组织起草了《信息安全技术 个人信息保护指南》,已形成标准草案,现面向社会公开征求意见。标准定义:个人信息 personal information
能够被知晓和处理、与具体自然人相关、能够单独或与其他信息结合识别该具体自然人的任何信息。
7.5.4 顾客财产组织应爱护在组织控制下或组织使用的顾客财产。组织应识别、验证、保护和维护供其使用或构成产品一部分的顾客财产。如果顾客财产发生丢失、损坏或发现不适用的情况,组织应向顾客报告,并保持记录(见4.2.4)。注:顾客财产可包括知识产权和个人信息。
中华人民共和国刑法修正案(七)
七、在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
请某些人不要自作聪明的武断认定,自己认定的那些个人信息的内容可以作为顾客财产理解就一定是正确的,别人的理解就一定是错误的。聪明过头就是... ... 具体哪些内容可以作为个人信息,还是应以现行有效的法规、标准和指南(包括TC176的指南)为准。
目前,个人信息安全受到越来越多的威胁和危害。需要加大力度重视个人信息安全和保护了。感谢楼主提供这方面的新资料。大家都应该了解这方面的知识。 谢谢老师,支持你 GB 是强制性国家标准(GB-国标);GB应读作:哥博
GB/T是推荐性国家标准(T-推荐);GB/T读作:哥博特
GB/Z是指导性国家标准(Z-指导);GB/Z读作:哥博指
GB 指国家强制性标准,必须执行。不符合强制性标准的产品,禁止生产、销售和进口。
GB/T 指推荐性国家标准,推荐性国标是指生产、交换、使用等方面,通过经济手段或市场调节而自愿采用的国家标准。推荐性标准,国家鼓励企业自愿采用。但推荐性国标一经企业接受并采用,或各方商定同意纳入经济合同中,就成为各方必须共同遵守的技术依据,或由企业自我声明符合某推荐性标准时(如在产品包装、说明书上明示),具有法律上的约束性。对GB/T 推荐性标准,如果你引用的标准注日期了,那么采用注日期的版本,若没注日期,则采用最新版本。
GB/Z 是指导性标准,指导性国标是指生产、交换、使用等方面,由组织(企业)自愿采用的国家标准,一般不具有强制性,也不具有法律上的约束性,只是相关方约定参照的技术依据,起指导和规范某项活动的作用。但部分GBZ标准也规定了强制性的要求,如GBZ 126-2011《电子加速器放射治疗放射防护要求》就规定该标准第4章至第7章为强制性的,其余为推荐性的。
一般而言,下列标准属于国家强制性标准:
(一) 药品品质标准,食品添加剂品质及使用限量、有害物质限量标准,农、兽药品质及限量标准,农产品种子标准,饲料添加剂使用标准,疫病的防治标准(含检疫规程);
(二) 产品及产品生产、储运和使用中的安全、卫生标准,劳动安全、卫生标准,运输安全标准;
(三) 工程建设的质量、安全、卫生标准及国家需要控制的其他工程建设标准;
(四) 环境保护的污染物排放标准和环境质量标准;
(五) 信息、能源、资源、交通运输和服务的安全所需要的标准;
(六) 防止欺诈行为所需要的标准;
(七) 国家公共管理所需要的标准。
(八) 法律、行政法规规定强制执行的相关标准。
说明一点,不是所有的GB标准全文都是强制性条文规定,具体应看标准“前言”部分的说明,它会给你列出哪些是强制性条文,哪些是推荐性条文;对推荐性条文在有条件的情况下尽量按照标准规定执行(即部分强制性,部分推荐性),如GB 20597-2006。
rml 发表于 2012-3-16 22:44 static/image/common/back.gif
追加一个问题:你前面说,“GB 是强制性国家标准”,最后的“说明一点”又称“不是所有的GB标准全文都是强 ...
GB 类标准如没有指明哪些是“强制性条文”哪些是“推荐性条文”,一般全文都是强制性要求。
你举的GB50204-2002《混凝土结构工程施工质量验收规范》中的非强制性条文部分,在中国,往往与地方政府相关职能部门的“规定”“通知”结合在一起(如 闽建1号),才会被企业接受,成为具有地方特色的“强制性条文”。这是中国特色。
顺便提一下,你说的GB50204-2002《混凝土结构工程施工质量验收规范》2010年12月有局部修订,主要为第5.2.1、5.2.2条。
补充说明一下,部分GBZ标准也规定了强制性的要求,如GBZ 126-2011《电子加速器放射治疗放射防护要求》就规定该标准第4章至第7章为强制性的,其余为推荐性的。
还有GBZ/T类推荐性国家职业卫生标准,如GBZ/T 201.2-2011《放射治疗机房的辐射屏蔽规范 第2部分:电子直线加速器放射治疗机房》标准。
老chobo不是和阿咪子逗起闹,就是弯酸小后生。说这个瓜,那个神。自认为来自天府之国都芙蓉城皇城脚下,就心高气傲,看不起地方上的人。应该拖到凉山去好好改造一下。
即便是个指南或草案,也是审核的重要参考价值。18002和14002也是指南,虽然说是没有强制性,但确是审核员的审核指南。
在目前对个人信息争议纷纷的时候,出这个指南,对个人信息的理解还是有帮助的。
《信息安全技术 个人信息保护指南》标准提出了个人信息处理的七项原则:
3.2 目的明确原则
3.3 公开透明原则
3.4 质量保证原则
3.5 安全保障原则
3.6 合理处置原则
3.7 知情同意原则
3.8 责任落实原则
《信息安全技术 个人信息保护指南》标准提出了个人信息主体应享有的五项基本权利:
4.2 保密权
4.3 知情权
4.4 选择权
4.5 更正权
4.6 禁止权 rml 发表于 2012-3-17 11:32 static/image/common/back.gif
嘿嘿,
说瓜,还生怕人不晓得瓜。
偷换概念吗,也要做得象点嘛。指南都指得来把标准要求都修改了,那还 ...
指南都指得来把标准要求都修改了?
请具体说明,否则别人会理解成你说的“标准要求”只是你自己理解的标准要求。 ISO/TC 176/SC2 编写的《ISO9001:2008 常见问题解答》之 “审核员需要掌握标准的哪些内容?”
“具体哪些内容可以作为个人信息,还是应以现行有效的法规、标准和指南(包括TC176的指南)为准。”
TC176应该不属于法规和标准的范畴吧
wxsunhao 发表于 2012-3-17 16:46 static/image/common/back.gif
“具体哪些内容可以作为个人信息,还是应以现行有效的法规、标准和指南(包括TC176的指南)为准。”
TC176 ...
ISO19011是指南类标准吧?知道是谁编写的吗? rml 发表于 2012-3-17 11:32 static/image/common/back.gif
嘿嘿,
说瓜,还生怕人不晓得瓜。
偷换概念吗,也要做得象点嘛。指南都指得来把标准要求都修改了,那还 ...
你很有点栖龙潭老王现在的风格,东拉西扯,胡搅蛮缠。
7.5.4讲了顾客财产,注解又说明顾客财产可包括顾客的个人信息。问题来了,仅依据你口口声声的9001标准,你如何知道哪些可以作为9001标准里所提的应控制的顾客财产中的个人信息?如果一个核心标准可以解决大家对9001标准的准确理解和把握,TC176还编写那些指南、支持性标准、小册子干什么?吃饱了撑的?不用你告诉我什么可以作为审核准则,什么不可以作为审核准则,我比你更清楚我知道些什么,不知道些什么。
回答不出来的话,还是歇歇吧。不早了,洗洗睡吧,不是感冒了吗?注意保重您的贵体。
不过,你这句话倒是对的:“我不一定是对的!” 可要证明我是错的,也得拿出点靠谱的理由来吧。
rml 发表于 2012-3-18 12:40 static/image/common/back.gif
呵呵,要证明你是错的非常容易,要让你自己认识到错非常困难。因为你有自己的精神胜利法。你以为只要能祭 ...
连“本标准第7章的要求”是泛指第7章所有要求都不明白,非得想方设法、徒劳无功地去证明某些要求不在所指范围
这就是你所谓的理解能力?
下面是我在“关于ISO9001标准1.2删减应用的误读”(http://www.isofans.com/thread-38929-1-1.html)一帖中表述过的意见,你可以自己再去想想,你的理解能力与栖龙坛的老王有神马区别。
1L:
其中的“删减应仅限于本标准第7章的要求”,被不少人误读为:
“在组织声称符合本标准时,只要删减不影响组织提供满足顾客要求和适用法律法规要求的产品的能力或责任,本标准第7章的要求均可删减。”
27L:
你有仔细看我的帖子吗?“如果进行删减,应仅限于本标准第7章的要求,并且......”与“如果进行删减,应仅限于本标准第7章的任何要求,并且......”一样吗?我举的案例你理解吗?
32L:
你不是很喜欢研究94版、2K版以及2008版标准之间的变化吗,我给你起个头,你分析一下,2K版的9001标准1.2是这样写的:
除非删减仅限于第7章中那些不影响组织提供满足顾客和适用法律法规要求的产品的能力或责任的要求, 否则不能声称符合本标准。
Where exclusions are made, claims of conformity to this International Standard are not acceptable unless these exclusions are limited to requirements within clause 7, and such exclusions do not affect the organization's ability, or responsibility, to provide product that meets customer and applicable regulatory requirements.
51L:
你这是标准的正常表述,被误读后的表述为
1、不适用条款可考虑删减。(未考虑声称符合标准时)
2、条款删减限于第7章中的任何要求;
3、删减不能影响组织的能力和责任。
59L:
简单整理一下我的意思吧
1、9001标准1.2条款的{删减应仅限于“本标准第7章的要求”}中的“要求”一词不应被误读为“本标准第7章中的任何要求”;
我怀疑你对别人的文字以及标准要求是否具有基本的理解能力! rml 发表于 2012-3-18 14:16 static/image/common/back.gif
老年人行动不便,不兴搞连续轰炸哈。
俺是为了帮助恁。不看你才华横溢,俺怎么不对那些忙于考试、自顾不 ...
好吧,我也自己检讨一下。最后,请你欣赏一下王宗师的神奇逻辑。
rml 发表于 2012-3-18 14:49 static/image/common/back.gif
人无完人。
你所截的1,最后黄色荧光笔标识处,若针对前面8.2.2/8.2.3之外的其他不符合,显然是错误的。 ...
王宗师又有新观点,快去捧场。 个人信息保护确实重要!! kojak585 发表于 2012-3-16 21:20 http://www.isofans.com/static/image/common/back.gif
GB 是强制性国家标准(GB-国标);GB应读作:哥博
GB/T是推荐性国家标准(T-推荐);GB/T读作:哥博特
...
GB 是强制性国家标准(GB-国标);GB应读作:哥博
GB/T是推荐性国家标准(T-推荐);GB/T读作:哥博特
GB/Z是指导性国家标准(Z-指导);GB/Z读作:哥博指)
是谁规定非要这样读?什么哥博特、挤鼻涕的都不规范。 GB应读作:国标;GB/T应读作:国标推......
kojak585 发表于 2012-3-17 17:00 static/image/common/back.gif
ISO19011是指南类标准吧?知道是谁编写的吗?
咱否认指南了吗,否认指南类标准了吗?明明知道咱没有否认,你拿19011来说什么事呢。咱只否认了你所说的TC176的指南,在没有形成正式标准之前,任何的“指南”都只有参考作用,不是准则。
辩论可以,但不能先替我假定一个论点,然后再来批判,由此来证明你的观点的正确。你前面所说的“误解”也是这么回事。 kojak585 发表于 2012-3-16 21:20 static/image/common/back.gif
GB 是强制性国家标准(GB-国标);GB应读作:哥博
GB/T是推荐性国家标准(T-推荐);GB/T读作:哥博特
...
咱念成鸡比也不为错吧,或者我习惯直接念成国标也应该可以的吧,这个读法也有国标吗?
页:
[1]
2