个人信息保护：基于GB/T35273的最佳实践

在本书中，我们提出，每个组织都（应该）有自己的“实践”，而且，基于GB/T35273-2017《信息安全技术个人信息安全规范》，我们给出了一个自数据安全治理框架推导而来的个人信息保护的好实践。首先，引言中重新梳理了“数据安全”和“个人信息”等相关定义，然后，介绍了应该理解的相关概念，例如，“网络安全（cybersecurity）”“信息安全”和“网络空间安全”等，接着就转入了金融的行业背景，这也是我们讨论问题时候所用的案例。在第4章中，介绍了本书实践所应用的框架，即IPDR2（Identity，Protect.Detect，Respond&Recovery）模型，当然，该模型不是原创，正源于此，才能更好地与其他体系进行整合。第5章至第8章，对该模型的四个主要步骤进行了详细的介绍，其中包括了常见的安全控制。第9章标题为“在现有基础上加强个人信息保护”，这本身也是目前大多数组织在部署数据安全时需要遵循的原则，即数据安全，或者个人信息保护的相关控制与现有的信息安全控制存在诸多重合。在本书的最后，我们重新温习了实践的管理原意，并提出了每个组织都（应该）有自己的“实践”。