接个人信息处理法律合规性评估(二)
术语和定义
5 个人信息处理设施相关术语
5.1 信息处理设施 information processing facilities
信息处理系统、服务或基础设施,或者物理放置场所。
5.2 信息系统 information system
应用、服务、信息技术资产或其他信息处理组件。
5.3 存储 storage
支持数据录入和检索的设备、功能或服务。
5.4 存储介质 storage media
承载电子数据的各类载体或设备,包括但不限于计算机硬盘、磁带、软盘、光盘、各种形式的存储卡等。
6 管理体系相关术语
6.1 管理体系 management system
组织建立方针和目标以及实现这些目标的过程的相互关联或相互作用的一组要素。
注 1:一个管理体系可以针对单一的领域或几个领域,如信息安全、隐私、合规或质量管理。
注 2:管理体系要素规定了组织的结构、岗位和职责、策划、运行、方针、惯例、规则、理念、目标,以及实现这些目标的过程。
注 3:管理体系的范围可能包括整个组织、组织中可被明确识别的职能或可被明确识别的部门,以及跨组织的单一职能或多个职能。
6.2 方针 policy
(组织)由最高管理者正式发布的组织的宗旨和方向。
6.3 目标 objective
要实现的结果。
注 1:目标可以是战略性的、战术的和/或操作层面的。
注 2:目标能与不同方面(诸如财务、健康与安全及环境的目标)相关,且能应用于不同层面,如战略层、整个组织、项目、产品和过程。
注 3:目标能用其他方式表达,如:预期结果、目的、操作准则,作为合规目标或使用具有相似含义的其他词汇(如: 目的、终点或标的)。
注 4:在合规管理体系中,合规目标由组织确定,与合规方针保持一致,以实现特定的结果。
6.4 风险 risk
不确定性的影响。
注 1:影响是指偏离预期,可以是正面的或负面的。
注 2:不确定性是一种对某个事件,或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形。
注 3:通常,风险是通过有关事件(GB/T 23694—2013 中的定义,4.5.1.3)和后果(GB/T23694—2013 中的定义,4.6.1.3)或两者的组合来描述其特性的。
注 4:通常,风险是以某个事件的后果(包括情况的变化)及其发生的可能性(GB/T23694—2013 中的定义,4.6.1.1) 的组合来表述的。
注 5:“风险”一词有时仅在有负面后果的可能性时使用。
6.5 信息安全 personal information security
保持、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质。
6.6 保密性 confidentiality
使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。
6.7 完整性 integrity
保卫资产准确性和完整性的特性。
6.8 可用性 availability
已授权实体一旦需要就可访问和使用的数据和资源的特性。
6.9 个 人 信 息 安 全 事 件 personal information security incident
其后果将导致个人信息意外或未经授权泄露、篡改、毁损、丢失的信息安全事件。
注 1:泄露是指个人信息暴露于对该个人信息不具有访问或接收权限的人或组织从而保密性受损的状态,如被内部或外部未经授权的人或组织访问、接收,也包括被窃取等个人信息控制者事实上已失去对该个人信息的访问或披露的控制;篡改是指个人信息被未经授权地修改而完整性受损的状态;毁损是指个人信息受到损坏而不再完整甚至不再可用的状态;丢失是指个人信息不再存在于信息系统或不再能被信息系统访问和使用可用性受损的状态。
注 2:信息安全事件的定义见 GB/Z 20986—2007,信息安全技术 信息安全事件分类分级指南,定义 2.2。用于个人信息处理的信息系统发生有害程序事件、网络攻击事件、信息破坏事件、信息内容事件、设备设施故障、灾害性事件、其他事件等信息安全事件,导致个人信息发生意外或未经授权的泄露、篡改、毁损、丢失,则构成个人信息安全事件。
暂无评论内容