标准规范下载简介
DB44/T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求.pdf简介:
DB44/T 2189.1-2019《移动终端信息安全 第1部分:敏感信息安全检测技术要求》是一份中国广东省的地方标准。这份标准主要针对移动终端(如智能手机、平板电脑等)的信息安全进行规定,特别关注于敏感信息的安全检测技术要求。它详细规定了移动终端在处理、存储和传输过程中,对用户隐私、财务信息、个人数据等敏感信息的保护措施和检测方法,以确保在移动设备上使用的信息安全。
标准涵盖了敏感信息的识别、分类、加密、权限管理、数据泄露防范、安全审计等方面,旨在提升移动终端用户的信息安全意识,防止敏感信息的非授权访问和泄露。这份标准适用于移动设备的制造商、软件开发者、服务提供商以及用户,对于保障移动终端用户的隐私权益具有重要意义。
DB44/T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求.pdf部分内容预览:
Informataion security of mobile terminalPartl:Security testing specificationfol sensitive information
省市场监督管理局 发
DB44/T 2189.12019
WW/T 0089-2018 博物馆陈列展览形式设计与施工规范DB44/T 2189.12019
第1部分:敏感信息安全检测技术要求
1部分:敏感信息安全检测技
本部分规定了敏感信息安全检测框架和敏感信息生成阶段、存储阶段、加工阶段、转移阶段、 段、废止与删除阶段的检测技术要求。 本部分适用于移动通信网的智能手机和平板电脑设备
合法操作用户legaluser 经过信息主体明示同意后具有对敏感信息进行处理权限的个人、组织和机构。
敏感信息作为信息主体安全的重要保护内容,应能够从敏感信息的全生命周期来保证敏感信息安 全。基于移动终端中敏感信息的全生命周期可分为生成、存储、加工、转移、应用、废止与删除,敏感 信息的安全贯穿于其中的每个环节。 a)生成是指信息主体经过标识信息而形成敏感信息的操作。 b 存储是指生成的敏感信息以一定格式保存在移动终端上供信息主体或合法操作用户使用的操 作。 加工是指信息主体或合法操作用户对已存储的敏感信息进行修改、标注、挖掘、屏蔽等一系列 操作。 d 转移是指信息主体或合法操作用户将敏感信息传输给其他操作用户的操作。 e 应用是指信息主体或合法操作用户为完成一定的目的而对敏感信息进行访问、共享等操作。 废止是指信息主体将敏感信息标识为非敏感信息的操作;删除是指信息主体或合法操作用户册删 除敏感信息内容而使其不能在移动终端中再次使用
5敏感信息安全检测技术要求
敏感信息的生成应仅由信息主体完成,其标识宜在使用范围内统一。 敏感信息的标识应采取知悉的方式,便于信息主体操作,不宜采取隐蔽手段或间接方式。 敏感信息生成后应能够提醒信息主体其标识的敏感信息已生成,且敏感信息生成后应允许信息主体 对敏感信息的有效时间进行限定
5. 2. 1安全域隔离
5.2.2敏感信息的加密存储
敏感信息的存储应为加密存储,未经合法授权的操作者应不能对存储区域内的加密敏感信 行加工操作。 敏感信息的加密存储后应允许信息主体或合法操作用户对存储密码、存储方式及存储属
改。合法操作用户进行修改时,应经过敏感信息主体的明示同意
5.2.3敏感信息的远程保护
5.2.4敏感信息的备份
DB44/T 2189.12019
敏感信息应充许信息主体和授权操作者对敏感信息进行加工,授权操作者在加工敏感信息前应 息主体加工的目的和方法,在授权范围内对敏感信息进行加工。 敏感信息被加工时应记录加工过程,记录内容至少包含但不限于敏感信息的修改日期、地点、 型等。
敏感信息在传输的过程申宜以密文的方式传输,密码的形态宜至少包含但不限于口令、图案、生物 特征识别、人像等多种形态保护方式中的一种或几种的组合。密钥的管理应满足GM/T0028一2014中规 定的密码模块安全技术要求。
敏感信息的合法操作用户应在信息主体授权范围内传输敏感信息。未经敏感信息主体的身份鉴别及 明示同意,敏感信息不得被转移给其他任何用户 合法操作用户在成功接收到敏感信息后,应知会信息主体
5.5. 1使用者的身份认证
感信息主体应能够对敏感信息访问者和共享者的身份进行鉴别
5.5.2敏感信息的访问
DL/T 1763-2017 电能表检测抽样要求5.5.2.1敏感信息的访问措施
敏感信息被访问时应有记录,必要时应对信息主体进行访问提醒
5.5.2.2敏感信息的访问权限
敏感信息操作者应在授权范围内对敏感信息进行访问。在访问者未获得授权的情况下,应禁止该访 间者对敏感信息的访问,且应对访问者采取的安全措施应至少包含但不限于如下中的一项或几项措施的 组合: 告警:
DB44/T 2189.1—2019 b) 阻止该操作; c) 记录日志; d) 系统锁定; 关机。
5.5.3敏感信息的共享
敦感信息的共享应经过信息主体的明示同意,应不违背敏感信息主体的意愿。共享时信息主体宜 惑信息共享的有效时间进行设置。 信息主体在共享敏感信息时移动终端应进行记录或提醒,并允许信息主体查询已共享的敏感信息
敏感信息应仅允许信息主体对敏感信息进行废止,其管理应符合GB/Z28828一2012第5章相关的 定。 敏感信息应允许信息主体和合法操作用户对敏感信息进行删除《电磁兼容 试验和测量技术 阻尼振荡磁场抗扰度试验 GB/T 17626.10-1998》,删除后应保证被删除的敏感信息在 移动终端不可再恢复和使用
DB44/T 2189.12019