标准规范下载简介
GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南.pdf简介:
GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》是中国国家标准,它于2022年发布。这个指南的主要目的是为了促进和规范公有云服务提供商在处理和保护个人信息时的行为,以保障公民的个人信息安全和隐私权益。
该指南详细阐述了公有云服务提供商在设计、构建、运营和管理云服务时,应遵循的一系列个人信息保护原则和最佳实践。它涵盖了个人信息收集、存储、处理、传输、使用和销毁等各个环节,强调了透明度、最小化收集、目的限定、安全保护、用户控制、责任追究等关键点。
内容可能包括但不限于以下几点: 1. 个人信息的定义和分类; 2. 合规性要求,如《网络安全法》等相关法律法规的执行; 3. 个人信息保护管理制度的建立; 4. 安全技术措施,如数据加密、访问控制、安全审计等; 5. 用户隐私保护策略,如告知用户信息收集和使用情况; 6. 应急响应和处理机制,以应对个人信息泄露等安全事件。
总的来说,这个指南为公有云服务提供商提供了一套操作指南,帮助他们更好地履行个人信息保护的义务,同时也为用户提供了权益保障,增强了公众对公有云服务的信任。
GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南.pdf部分内容预览:
11.2.6组织场所外的设备与资产安全
11.2.7设备的安全处置或再利用
GB/T22081一2016中11.2.7规定的控制措施、实现指南和其他信息适用。以下特定应用指南也 适用。 公有云个人信息保护实现指南 出于安全处置或再利用的目的GB/T 38556-2020 信息安全技术 动态口令密码应用技术规范,可能包含个人信息的存储介质宜视为包含个人信息的设备。 注:有关设备安全处置或再利用的额外控制措施和指南见B.7.13。
11.2.8无人值守的用户设备
11.2.9清理桌面和屏幕策略
GB/T22081一2016中11.2.9规定的控制措施、实
12.1运行规程和责任
GB/T22081一2016中12.1规定的目标适用
12.1.1文件化的操作规程
[2.1.2 变更管理
2081一2016中12.1.3规定的控制措施、实现指南
12.1.4开发、测试和运行环境的分离
GB/T22081一2016中12.1.4规定的控制措施、实现指南和其他信息适用。 指南证 适用。 公有云个人信息保护实现指南 出于测试目的使用个人信息时,宜进行风险评估,且宜实施技术措施和组织措施降低已识别的 风险。
GB/T22081一2016中12.1.4规定的控制措施、实现指南和其他信息适用, 适用。 公有云个人信息保护实现指南 出于测试目的使用个人信息时,宜进行风险评估,且宜实施技术措施和组织措施降低已识别的 风险
GB/T220812016中12.3规定的目标适用。
GB/T41574—2022
GB/T22081一2016中12.3.1规定的控制措施、多 应用指南也 适用。 公有云个人信息保护实现指南 基于云计算模型的信息处理系统为异地备份引入了额外或替代机制,以防止数据丢失,并确保数据 处理操作的连续性以及提供在发生破坏性事态后恢复数据处理操作的能力。为了备份和(或)恢复,宜 在不同的物理和(或)逻辑位置上(可以在自身信息处理系统内)创建或维护多个数据副本。 云服务客户可能承担备份和(或)恢复责任,但当公有云个人信息处理者明确向云服务客户提供备 份和恢复服务时,公有云个人信息处理者宜向云服务客户提供其备份和恢复服务的明确信息。 宜制定备份和恢复程序,保证在破坏性事态发生后的规定时间内恢复数据。 宜按规定的频率评审备份和恢复程序。 本文件中适用于分包处理个人信息的控制措施涵盖了使用分包商存储所处理数据复制副本或备份 副本的情况。本文件中的控制措施也涵盖了使用物理介质传输个人信息的情况。 公有云个人信息处理者宜制定策略,以满足信息备份及擦除备份信息中包含的个人信息的其他要 求[例如,合同和(或)法律规定的要求]。
GB/T22081一2016中12.4规定的目标适用
GB/T22081一2016中12.4.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也 适用。 公有云个人信息保护实现指南 宜建立流程,按规定的周期评审事态日志,识别违规行为并提出补救措施。 在可能的情况下,事态日志宜记录个人信息是否因某个事态而更正(添加、修改或删除),以及由谁 更正。若多个云服务提供者提供云计算参考架构中定义的不同类别的服务,则在实现本文件时可能会 出现不同的角色或共享的角色。 公有云个人信息处理者宜制定关于是否、何时,以及如何向云服务客户提供日志信息的规则。同 时,这些规则宜对云服务客户有效。 若允许云服务客户访问由公有云个人信息处理者控制的日志记录,则公有云个人信息处理者宜确 保云服务客户仅能访问与其相关的活动,而不能访问其他云服务客户的日志记录。
12.4.2日志信息的保护
GB/T22081一2016中12.4.2规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 因安全监控和运行诊断等目的而记录的日志信息可能包含个人信息。宜采取诸如控制访间(贝
T22081一2016中12.4.2规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 个人信息保护实现指南 安全监控和运行诊断等目的而记录的日志信息可能包含个人信息。宜采取诸如控制访问(见
9.2.3)的措施,确保日志信息仅用于预期目的
12.4.3管理员和操作员日志
GB/T22081一2016中12.4.3规定的控制措施、实现指南和其他信息适用
12.6技术方面的脆弱性管理
GB/T22081一2016中12.6规定的自标和内容适用
GB/T22081一2016中12.6规定的自标和内容适用。
12.7信息系统审计的考虚
GB/T220812016中12.7规定的目标和内容
T22081—2016中13.1规定的目标和内容适用
GB/T22081—2016中13.2规定的目标适用。
13.2.1信息传输策略和规程
GB/T22081一2016中13.2.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 使用物理介质传输信息时,宜建立一个系统记录传入传出物理介质的相关信息。这些信息包括物 理介质的类型、被授权的发送方/接收方、日期和时间,以及物理介质的数量。在可能的情况下,宜要求 云服务客户采取额外措施(例如,加密 传输过程中访问数据
13.2.2信息传输协议
GB/T22081一2016中13.2.2规定的控制措施、实现指南和其他信息适用。
13.2.3电子消息发送
GB/T22081一2016中13.2.3规定的控制措施、实现
13.2.4保密或不披塞协议
GB/T22081一2016中13.2.4规定的控制措施、实现指南和其他信息适用。 注:保密或不披露协议的额外控制措施和指南可在B.7.1中找到。
GB/T22081一2016中13.2.4规定的控制措施、实现指南和其他信息适用。 注:保密或不披露协议的额外控制措施和指南可在B.7.1中找到。
14系统获取、开发和维护
GB/T22081—2016中第14章规定的目标和内容适用。
GB/T 415742022
16.1.1责任和规程
16.1.2报告信息安全事态
GB/T22081一2016中16.1.2规定的控制措施、实现指南和其他
GB/T22081一2016中16.1.2规定的控制措施、实现指南和其他
16.1.3报告信息安全弱点
16.1.4信息安全事态的评估和决策
GB/T22081一2016中16.1.5规定的控制措施、实现指南和其他信息适用。
GB/T22081一2016中16.1.6规定的控制措施、实现指南和其他信息适用。
16.1.7证据的收集
2081一2016中16.1.7规定的控制措施、实现指南
17业务连续性管理的信息安全方面
18.1符合法律和合同要求
GB/T22081一2016中18.1规定的目标和内容适用 和相关指南见B.2
GB/T220812016中18.2规定的目标适用
18.2.1信息安全独立评审
GB/T22081一2016中18.2.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 若单个云服务客户的审计不切实际或可能增加安全风险(见0.1),则公有云个人信息处理者宜在签 订合同前和合同期内向潜在的云服务客户提供独立证据,证明信息安全符合公有云个人信息处理者的 策略和规程。通常情况下,公有云个人信息处理者选择的独立审计是一种可接受的方式。在保证足够 透明的前提下,独立审计可以满足云服务客户评审公有云个人信息处理者处理操作的要求。
18.2.2符合安全策略和标准
GB/T22081一2016中18.2.2规定的控制措施、实现指南和其他信息适用
18.2.3技术符合性评审
GB/T22081一2016中18.2.3规定的控制措施、实现指南和其他1
表A.1给出了本文件与ISO/IEC27018:2019结构编号对照一览表。
GB/T 415742022
本文件与ISO/IEC27018.2019结构编号对照情
表A.1本文件与ISO/IEC27018:2019结构编号对照情况(续)
云个人信息处理者保护个人信息的扩展控制措放
B.2.1包含个人信息的数据失陷告知
若未经授权访问个人信息或处理个人信息的设备设施导致个人信息丢失、泄露或变更DB63∕877-2010 青海省低层居住建筑节能设计标准,则公有 信息处理者宜立即告知相关云服务客户
3.2.2行政安全策略和指南的保留期
安全策略和操作规程副本宜在规定的替换(包括更新)周期内保留。 公有云个人信息保护实现指南 客户争议处理和配合个人信息保护机构调查时,可能需要评审当前和以往的策略和规程。若法律 或合同无明确要求,则安全策略和规程的最短保留期宜为五年
B.2.3个人信息返回转让和处置
、转让和(或)处置的策略,并对云服务客户有效。 公有云个人信息保护实现指南 在某个时间点,公有云个人信息处理者可能需要以某种形式处理个人信息。这些处理包括将 言息返回给云服务客户,将个人信息转让给其他个人信息处理者或个人信息控制者(例如,合并)
)处置的策略,并对云服务客户有效。 人信息保护实现指南 其个时间点,公有云个人信息处理者可能需要以某种形式处理个人信息。这些处理包括将个人 回给云服务客户,将个人信息转让给其他个人信息处理者或个人信息控制者(例如,合并),将个
GB 146.2-2020标准下载GB/T 41574—2022
B.3.1公有云个人信息处理者的目的