【2026年版】第69讲 案例分析精讲五——信息安全合规案例

作者：老孙
适用：2026 年下半年系统规划与管理师（系规）备考
阶段：阶段六 实战演练 第 13 讲（案例分析精讲第 5 讲）
字数目标：≥9000 中文字符

一、本讲定位与学习目标

本讲是案例分析精讲第 5 讲，聚焦"信息安全合规"主题案例。信息安全合规是系规案例分析近年快速升温的主题，涉及网络安全法、数据安全法、个人信息保护法、等保 2.0、数据分类分级等。学员目标：掌握信息安全合规类案例的作答方法，能完整作答相关案例。

本讲学习目标：

• 以清华园物业智慧邻里平台信息安全合规为背景，精讲信息安全合规类案例；
• 提供多个完整案例 + 分问题 + 参考答案 + 评分要点；
• 重点强化三大安全法合规、等保 2.0、个人信息保护的案例作答；
• 提炼信息安全合规案例的高频考点。

二、虚构教学案例承接

本讲案例以清华园物业（智慧邻里 2.0 项目）和北京知知致用（IT 服务商）两个虚构教学案例为背景。本讲所涉法律均为现行有效的网络安全法、数据安全法、个人信息保护法、等保 2.0 国标。（提示：清华园物业、北京知知致用均为本课程虚构教学案例，与现实任何同名实体无关，仅用于教学演示。）

三、信息安全合规案例考点全景图

四、案例一·个人信息保护（完整案例）

案例背景

清华园物业（虚构教学案例）智慧邻里平台为提供人脸门禁服务，收集了 8 万业主的人脸信息。但平台在收集时未单独取得业主同意，仅在冗长的用户协议中一笔带过；收集的信息还被用于精准营销推送，超出了门禁用途；数据也未加密存储。

分问题（12 分）

请用《个人信息保护法》分析该平台存在的合规问题。

参考答案

第一，敏感信息未单独同意（3 分）。人脸信息属于生物识别敏感个人信息，依据个保法应单独取得业主明确同意，不能在用户协议中一笔带过。

第二，违反目的限定原则（3 分）。收集用于门禁的人脸信息被用于精准营销，超出原始收集目的，违反个保法目的明确、最小必要原则。

第三，违反安全保障原则（3 分）。敏感信息未加密存储，违反个保法安全保障义务，存在泄露风险。

第四，违反告知透明原则（3 分）。未充分告知业主信息处理的目的、方式、范围，违反公开透明原则。整改应：单独取得人脸信息同意、严格限定用途、加密存储、充分告知。

五、案例二·数据分类分级（完整案例）

案例背景

清华园物业智慧邻里平台积累了大量数据：业主姓名电话身份证（个人信息）、物业费收支（经营数据）、社区视频监控（涉及公共安全）、公开的物业公告。平台对所有数据一视同仁，无分类分级管理。

分问题（10 分）

请用《数据安全法》分析并提出数据分类分级方案。

参考答案

第一，数据安全法要求分类分级（2 分）。依据数安法，数据应按重要程度分为一般数据、重要数据、核心数据三级，实行分级保护。

第二，分类分级方案（6 分）：
- 业主身份证、人脸等敏感个人信息——重要数据，重点保护（加密、访问控制、审计）。
- 社区视频监控涉及公共安全——可能属重要数据，严格管控。
- 物业费收支等经营数据——一般数据，常规保护。
- 公开物业公告——一般数据（公开级），基本保护。

第三，分级保护措施（2 分）。级别越高保护越严，重要数据需加密、严格访问控制、出境安全评估。

六、案例三·等保 2.0（完整案例）

案例背景

清华园物业智慧邻里平台涉及 8 万业主个人信息和社区安全，但平台上线时未做网络安全等级保护定级备案，也未开展等保测评。监管部门检查时指出违规。

分问题（10 分）

请用等保 2.0 理论分析问题及整改方案。

参考答案

第一，未落实等保制度违法（3 分）。依据网络安全法第 21 条，网络运营者应落实网络安全等级保护制度。平台未定级备案、未测评，违法。

第二，定级方案（3 分）。平台涉及 8 万业主个人信息和社区公共安全，受破坏将对社会秩序和公共利益造成严重损害，应定为等保三级。

第三，等保建设（2 分）。按 GB/T 22239 等保 2.0 基本要求建设三级安全防护（物理、网络、主机、应用、数据五个层面 + 安全管理）。

第四，测评备案（2 分）。完成等保定级、专家评审、公安备案，由有资质的测评机构开展三级等保测评，每年一次。

七、案例四·网络安全事件应急（完整案例）

案例背景

清华园物业智慧邻里平台某日遭遇黑客攻击，部分业主数据被窃取。平台运维人员发现后，既未及时处置，也未向监管部门报告，更未通知受影响业主，企图隐瞒。

分问题（10 分）

请用网络安全法分析该平台的违规处置行为。

参考答案

第一，未及时处置（3 分）。依据网络安全法，发生网络安全事件应立即启动应急预案、采取补救措施。平台未及时处置违法。

第二，未报告监管（3 分）。发生危害网络安全的事件，应按规定向有关主管部门报告。平台隐瞒不报违法。

第三，未通知用户（2 分）。个人信息泄露时，应及时通知受影响的个人。平台未通知业主违反个保法。

第四，正确处置流程（2 分）。应：立即处置止损 → 报告监管部门 → 通知受影响业主 → 调查溯源 → 整改加固。隐瞒事件将面临更严厉的法律责任。

八、案例五·综合信息安全合规体系（完整案例）

案例背景

清华园物业痛定思痛，决定建立完整的信息安全合规体系，确保智慧邻里平台全面合规。

分问题（12 分）

请设计该平台的信息安全合规体系。

参考答案

第一，网络安全法合规（3 分）。落实等级保护制度，履行网络运营者安全保护义务，建立网络安全管理制度。

第二，数据安全法合规（3 分）。开展数据分类分级（一般/重要/核心），重要数据加密、访问控制、出境评估。

第三，个人信息保护法合规（3 分）。落实七大处理原则，敏感信息单独同意，保障个人信息主体权利，签订数据处理协议。