为深入贯彻落实《网络安全法》，指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施，有效防范侵犯公民个人信优游游戏官网息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，会同北京网络行业协会和公安部第三研究所等单位，研究制定了《互联网个人信息安全保护指南》。

　　为有效防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人信息安全保护指南》，供互联网服务单位在个人信息保护工作中参考借鉴。

　　适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。

　　下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

　　以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码优游游戏官网等。

　　注：个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

　　对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

　　获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享优游游戏官网、转让、搜集公开信息间接获取等方式。

　　通过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。

　　在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。

　　包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。

　　处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。

　　个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。

　　a)  应制定个人信息保护的总体方针和安全策略等相关规章制度和文件，其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明；

　　c)   应建立个人信息管理制度体系，其中包括安全策略、管理制度、操作规程和记录表单；

　　b)   应明确安全管理制度的制定程序和发布方式，对制定的安全管理制度进行论证和审定，并形成论证和评审记录；

　　b)  安全管理制度评审应形成记录，如果对制度做过修订，应更新所有下发的相关安全管理制度。

　　c)   应明确设置安全主管、安全管理各个方面的负责人，设立审计管理员和安全管理员等岗位，清晰、明确定义其职责范围。

　　a)   应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等；配备负责数据保护的专门人员；

　　b)   应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息，审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。

　　b)   应明确人员录用时对人员的条件要求，对被录用人的身份、背景和专业资格进行审查，对技术人员的技术技能进行考核；

　　d)   应建立管理文档优游游戏官网，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）；

　　e)   应记录录用人身份、背景和专业资格等，记录审查内容和审查结果等；

　　f)   应记录录用人录用时的技能考核文档或记录，记录考核内容和考核结果等；

　　g)   应签订保密协议，其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

　　a)  人员离岗时应办理调离手续，签署调离后个人信息保密义务的承诺书，防范内部员工、管理员因工作原因非法持有、披露和使用个人信息；

　　b)  应对即将离岗人员具有控制方法，及时终优游游戏官网止离岗人员的所有访问权限，取回其身份认证的配件，诸如身份证件、钥匙、徽章以及机构提供的软硬件设备；采用生理特征进行访问控制的，需要及时删除生理特征录入的相关信息；

　　c)  应形成对离岗人员的安全处理记录（如交还身份证件、设备等的登记记录）；

　　a)  应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核；

　　d)  应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度，并对考核记录进行记录存档。

　　a)  应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训；

　　b)  应制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等；

　　c)  应形成安全教育和培训记录，记录包含培训人员、培训内容、培训结果等。

　　3)  外部人员访问被批准后应有专人全程陪同或监督，并进行全程监控录像；