GB/T 41574-2022信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)踐指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T41574—2022

信息技術(shù)安全技術(shù)

公有云中個(gè)人信息保護(hù)實(shí)踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

protectionofpersonalinformationinpublicclouds

ISO/IEC270182019Informationtechnolo—Securittechniues—

(:,gyyq

CodeofracticeforrotectionofersonallidentifiableinformationPIIin

pppy()

ubliccloudsactinasPIIrocessorsMOD

pgp,)

2022-07-11發(fā)布2023-02-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T41574—2022

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………2

本文件的結(jié)構(gòu)

4.1………………………2

控制類別

4.2……………3

信息安全策略

5……………3

信息安全管理指導(dǎo)

5.1…………………3

信息安全策略

5.1.1…………………3

信息安全策略的評審

5.1.2…………4

信息安全組織

6……………4

內(nèi)部組織

6.1……………4

信息安全的角色和責(zé)任

6.1.1………………………4

職責(zé)分離

6.1.2………………………4

與職能機(jī)構(gòu)的聯(lián)系

6.1.3……………4

與特定相關(guān)方的聯(lián)系

6.1.4…………4

項(xiàng)目管理中的信息安全

6.1.5………………………4

移動設(shè)備和遠(yuǎn)程工作

6.2………………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………5

管理責(zé)任

7.2.1………………………5

信息安全意識教育和培訓(xùn)

7.2.2、……………………5

違規(guī)處理過程

7.2.3…………………5

任用的終止和變更

7.3…………………5

資產(chǎn)管理

8…………………5

訪問控制

9…………………5

訪問控制的業(yè)務(wù)要求

9.1………………5

用戶訪問管理

9.2………………………5

用戶注冊和注銷

9.2.1………………6

用戶訪問供給

9.2.2…………………6

特許訪問權(quán)管理

9.2.3………………6

用戶的秘密鑒別信息管理

9.2.4……………………6

用戶訪問權(quán)的評審

9.2.5……………6

Ⅰ

GB/T41574—2022

訪問權(quán)的移除或調(diào)整

9.2.6…………6

用戶責(zé)任

9.3……………6

秘密鑒別信息的使用

9.3.1…………6

系統(tǒng)和應(yīng)用訪問控制

9.4………………6

信息訪問限制

9.4.1…………………6

安全登錄規(guī)程

9.4.2…………………6

口令管理系統(tǒng)

9.4.3…………………6

特權(quán)實(shí)用程序的使用

9.4.4…………7

程序源代碼的訪問控制

9.4.5………………………7

密碼

10………………………7

密碼控制

10.1……………7

密碼控制的使用策略

10.1.1…………7

密鑰管理

10.1.2………………………7

物理和環(huán)境安全

11…………………………7

安全區(qū)域

11.1……………7

設(shè)備

11.2…………………7

設(shè)備安置和保護(hù)

11.2.1………………7

支持性設(shè)施

11.2.2……………………7

布纜安全

11.2.3………………………7

設(shè)備維護(hù)

11.2.4………………………8

資產(chǎn)的移動

11.2.5……………………8

組織場所外的設(shè)備與資產(chǎn)安全

11.2.6………………8

設(shè)備的安全處置或再利用

11.2.7……………………8

無人值守的用戶設(shè)備

11.2.8…………8

清理桌面和屏幕策略

11.2.9…………8

運(yùn)行安全

12…………………8

運(yùn)行規(guī)程和責(zé)任

12.1……………………8

文件化的操作規(guī)程

12.1.1……………8

變更管理

12.1.2………………………8

容量管理

12.1.3………………………8

開發(fā)測試和運(yùn)行環(huán)境的分離

12.1.4、………………8

惡意軟件防范

12.2………………………9

備份

12.3…………………9

信息備份

12.3.1………………………9

日志和監(jiān)視

12.4…………………………9

事態(tài)日志

12.4.1………………………9

日志信息的保護(hù)

12.4.2………………9

管理員和操作員日志

12.4.3………………………10

時(shí)鐘同步

12.4.4……………………10

運(yùn)行軟件控制

12.5……………………10

技術(shù)方面的脆弱性管理

12.6…………10

信息系統(tǒng)審計(jì)的考慮

12.7……………10

Ⅱ

GB/T41574—2022

通信安全

13………………10

網(wǎng)絡(luò)安全管理

13.1……………………10

信息傳輸

13.2…………………………10

信息傳輸策略和規(guī)程

13.2.1………………………10

信息傳輸協(xié)議

13.2.2………………10

電子消息發(fā)送

13.2.3………………10

保密或不披露協(xié)議

13.2.4…………10

系統(tǒng)獲取開發(fā)和維護(hù)

14、…………………11

供應(yīng)商關(guān)系

15……………11

信息安全事件管理

16……………………11

信息安全事件的管理和改進(jìn)

16.1……………………11

責(zé)任和規(guī)程

16.1.1…………………11

報(bào)告信息安全事態(tài)

16.1.2…………11

報(bào)告信息安全弱點(diǎn)

16.1.3…………11

信息安全事態(tài)的評估和決策

16.1.4………………11

信息安全事件的響應(yīng)

16.1.5………………………11

從信息安全事件中學(xué)習(xí)

16.1.6……………………11

證據(jù)的收集

16.1.7…………………12

業(yè)務(wù)連續(xù)性管理的信息安全方面

17……………………12

符合性

18…………………12

符合法律和合同要求

18.1……………12

信息安全評審

18.2……………………12

信息安全獨(dú)立評審

18.2.1…………12

符合安全策略和標(biāo)準(zhǔn)

18.2.2………………………12

技術(shù)符合性評審

18.2.3……………12

附錄資料性本文件與結(jié)構(gòu)編號對照情況

A()ISO/IEC27018:2019………………13

附錄規(guī)范性公有云個(gè)人信息處理者保護(hù)個(gè)人信息的擴(kuò)展控制措施集

B()…………15

附錄資料性云服務(wù)提供者云服務(wù)客戶和云服務(wù)用戶的關(guān)系

C()、…………………21

參考文獻(xiàn)

……………………22

Ⅲ

GB/T41574—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技術(shù)安全技術(shù)個(gè)人可識別信息處理者在公

ISO/IEC27018:2019《(PII)

有云中保護(hù)的實(shí)踐指南

PII》。

本文件與相比在結(jié)構(gòu)上有較多調(diào)整兩個(gè)文件之間的結(jié)構(gòu)編號變化對照

ISO/IEC27018:2019,。

一覽表見附錄

A。

本文件與的技術(shù)差異及其原因如下

ISO/IEC27018:2019:

將術(shù)語個(gè)人可識別信息更改為個(gè)人信息并更改了定義與的

———“(PII)”“”,,GB/T35273—2020

術(shù)語和定義保持一致見的

(3.1,ISO/IEC27018:20193.2);

將術(shù)語控制者更改為個(gè)人信息控制者并更改了定義與的術(shù)語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.2,ISO/IEC27018:20193.3);

將術(shù)語主體更改為個(gè)人信息主體并更改了定義與的術(shù)語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.3,ISO/IEC27018:20193.4);

將術(shù)語處理者更改為個(gè)人信息處理者并更改了定義與的術(shù)語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.4,ISO/IEC27018:20193.5);

將術(shù)語處理更改為個(gè)人信息處理并更改了定義與的術(shù)語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.5,ISO/IEC27018:20193.6);

將表題中的更改為見表的表

———ISO/IEC27002GB/T22081(1,ISO/IEC27018:20191);

增加處理者委托分包商處理個(gè)人信息的建議與中關(guān)于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(5.1.1);

刪除公有云保護(hù)其他信息中法律法規(guī)對處理者和控制者不同要求的表述以符合我國

———“PII”,

標(biāo)準(zhǔn)化文件的起草規(guī)則見的

(ISO/IEC27018:20195.1.1);

刪除公有云保護(hù)其他信息中法律法規(guī)對處理者處罰的要求以符合我國標(biāo)準(zhǔn)化文件的

———“PII”,

起草規(guī)則見的

(ISO/IEC27018:20197.2.2);

增加采用密碼技術(shù)解決機(jī)密性完整性真實(shí)性不可否認(rèn)性需求的要求見

———、、、(10.1.1);

增加處理者轉(zhuǎn)讓個(gè)人信息的建議與的相關(guān)條款保持一致見

———,GB/T35273—2020(B.2.3);

增加處理者向境外提供個(gè)人信息的建議以適應(yīng)我國的技術(shù)條件便于本文件的應(yīng)用見

———,,(

B.4.1、B.7.14);

增加處理者委托代理商處理個(gè)人信息的建議與中關(guān)于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(B.7.1);

增加數(shù)據(jù)恢復(fù)日志包含信息的建議見

———(B.7.3);

刪除公有云保護(hù)實(shí)現(xiàn)指南中關(guān)于處理者告知義務(wù)的相關(guān)法律表述以符合我國標(biāo)準(zhǔn)化

———“PII”,

文件的起草規(guī)則見的

(ISO/IEC27018:2019A.10.1)。

本文件做了下列編輯性改動

:

為與現(xiàn)有標(biāo)準(zhǔn)系列一致將標(biāo)準(zhǔn)名稱更改為信息技術(shù)安全技術(shù)公有云中個(gè)人信息保護(hù)實(shí)

———,《

踐指南

》;

更改附錄中新增控制措施的分類原則與我國的個(gè)人信息保護(hù)原則保持一致見

———B,(B.1,

的

ISO/IEC27018:2019A.1);

Ⅴ

GB/T41574—2022

增加對脫鏈的解釋說明以提高條款的易讀性便于本文件的應(yīng)用見注

———“”,,(B.2.31);

增加對消磁的解釋說明以提高條款的易讀性便于本文件的應(yīng)用見注

———“”,,(B.2.32);

增加附錄資料性本文件與結(jié)構(gòu)編號對照情況

———A()“ISO/IEC27018:2019”;

增加附錄資料性云服務(wù)提供者云服務(wù)客戶和云服務(wù)用戶的關(guān)系

———C()“、”;

刪除的注

———ISO/IEC27018:20199.2.1;

刪除的注

———ISO/IEC27018:201910.1.1;

刪除的注和注

———ISO/IEC27018:201912.3.112;

刪除的示例

———ISO/IEC27018:2019A.6.1;

刪除的注的第句

———ISO/IEC27018:2019A.11.31;

將本項(xiàng)控制措施和指南可歸入的其他原則改為公開透明原則與我國的個(gè)人信息保護(hù)原則

———“”,

保持一致見注的注

(B.2.33,ISO/IEC27018:2019A.10.3);

更改公有云保護(hù)實(shí)現(xiàn)指南中涉及收集和使用所遵循原則的表述與我國的個(gè)人信

———“PII”PII,

息保護(hù)原則保持一致見的

(B.3.1,ISO/IEC27018:2019A.3.1);

更改公有云保護(hù)實(shí)現(xiàn)指南中的控制者為云服務(wù)客戶以提高易讀性便于本文

———“PII”“PII”“”,,

件的應(yīng)用見的

(B.8.1,ISO/IEC27018:2019A.2.1)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口

(SAC/TC260)。

本文件起草單位山東省標(biāo)準(zhǔn)化研究院杭州拓深科技有限公司中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中

:、、

心陜西省網(wǎng)絡(luò)與信息安全測評中心藝龍網(wǎng)信息技術(shù)北京有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公

、、()、

司北京錢袋寶支付技術(shù)有限公司國家工業(yè)信息安全發(fā)展研究中心騰訊云計(jì)算北京有限責(zé)任公司

、、、()、

陜西省信息化工程研究院中電數(shù)據(jù)服務(wù)有限公司上海市信息安全行業(yè)協(xié)會上海安言信息技術(shù)有限

、、、

公司安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所山東中測信息技術(shù)有限公司

、、。

本文件主要起草人王慶升尤其黨斌閔京華蘭安娜柳彩云王永霞張勇張博周亞超孫巖

:、、、、、、、、、、、

張軒銘靳倩王利強(qiáng)趙首花王愛義楊帆石磊黃磊王理冬趙倩倩馬卓元賈夢妮閆育蕓秦峰

、、、、、、、、、、、、、、

楊向東王法中許立前范正翔于秀彥劉勘偽吳博

、、、、、、。

Ⅵ

GB/T41574—2022

引言

01背景和環(huán)境

.

近年越來越多的云服務(wù)客戶使用云服務(wù)提供者的服務(wù)委托其進(jìn)行個(gè)人信息處理

,,。

中規(guī)定了對接受委托處理一方中稱為受委托者本文

GB/T35273—2020(GB/T35273—20209.1“”,

件中的處理者即受委托者的要求本文件按照對處理者的要求提供了一種

“”“”)。GB/T35273—2020,

在公有云中保護(hù)個(gè)人信息的通用合規(guī)框架指導(dǎo)處理者開展公有云中個(gè)人信息處理操作

,。

公有云服務(wù)提供者通常需要依據(jù)與云服務(wù)客戶簽訂的合同并在雙方均遵守個(gè)人信息保護(hù)法律法

,

規(guī)相關(guān)要求的前提下開展服務(wù)對于個(gè)人信息保護(hù)的這些要求云服務(wù)提供者與云服務(wù)客戶是依據(jù)法

。,

律法規(guī)和它們之間的合同來確定的

。

當(dāng)公有云服務(wù)提供者按照云服務(wù)客戶的要求處理個(gè)人信息時(shí)公有云服務(wù)提供者充當(dāng)個(gè)人信息

,“

處理者的角色與公有云個(gè)人信息處理者有合同關(guān)系的云服務(wù)客戶是個(gè)人信息控制者在云計(jì)算

”?！啊?。

環(huán)境下個(gè)人信息控制者掌握個(gè)人信息的控制權(quán)其也具有處理和使用個(gè)人信息的權(quán)限個(gè)人信息控制

,,。

者與個(gè)人信息處理者均可處理個(gè)人信息但個(gè)人信息處理者作為受委托的一方只能執(zhí)行個(gè)人信息控制

,,

者要求的個(gè)人信息處理操作和為實(shí)現(xiàn)個(gè)人信息控制者目標(biāo)而進(jìn)行的必要操作同時(shí)云服務(wù)客戶也可

。,

授權(quán)一個(gè)或多個(gè)云服務(wù)用戶使用其服務(wù)但這些服務(wù)僅限于云服務(wù)客戶與公有云個(gè)人信息處理者簽訂

,

合同中約定的可用服務(wù)

。

本文件旨在創(chuàng)建一組通用的控制類別和控制措施與中的信息安全控制目標(biāo)和控制

,GB/T22081

措施結(jié)合使用由個(gè)人信息處理者來實(shí)現(xiàn)本文件的目的如下

,。:

幫助公有云個(gè)人信息處理者履行相應(yīng)義務(wù)這些義務(wù)包括法律法規(guī)規(guī)定的直接義務(wù)及合同約

———,

定的其他義務(wù)

;

使公有云個(gè)人信息處理者在相關(guān)事務(wù)上保持透明便于云服務(wù)客戶選擇管理良好的基于云的

———,

個(gè)人信息處理服務(wù)

;

協(xié)助云服務(wù)客戶和公有云個(gè)人信息處理者簽訂合同協(xié)議

———;

在單個(gè)云服務(wù)客戶無法對托管在多方或虛擬化服務(wù)器云中的數(shù)據(jù)進(jìn)行審計(jì)或者此類審計(jì)

———(),

可能增加現(xiàn)有物理和邏輯網(wǎng)絡(luò)安全控制風(fēng)險(xiǎn)的情況下為云服務(wù)客戶行使審計(jì)權(quán)力和承擔(dān)符

,

合性責(zé)任提供一種機(jī)制

。

本文件可為公有云服務(wù)提供者特別是跨國運(yùn)營的公有云服務(wù)提供者提供一種通用的合規(guī)框架

,,。

02公有云計(jì)算服務(wù)的個(gè)人信息保護(hù)控制

.

在基于實(shí)施云計(jì)算信息安全管理體系的過程中公有云個(gè)人信息處理者可參考本文

GB/T22080,

件選擇個(gè)人信息保護(hù)控制措施本文件也可作為公有云個(gè)人信息處理者實(shí)施通用的個(gè)人信息保護(hù)控制

。

措施的指導(dǎo)文件尤其是本文件在的基礎(chǔ)上考慮了個(gè)人信息處理者所面臨的特定風(fēng)險(xiǎn)

。,GB/T22081,

環(huán)境

。

通常來說組織實(shí)施是為了保護(hù)自身的信息資產(chǎn)然而公有云個(gè)人信息處理者保護(hù)

,GB/T22080。,

的個(gè)人信息實(shí)際上是云服務(wù)客戶的信息資產(chǎn)因此由公有云個(gè)人信息處理者實(shí)施中的

,。,GB/T22081

Ⅶ

GB/T41574—2022

控制措施是合理的也是必要的同時(shí)為適應(yīng)公有云計(jì)算環(huán)境中風(fēng)險(xiǎn)分散的特點(diǎn)并符合云服務(wù)客戶

,。,,

與公有云個(gè)人信息處理者之間的合同要求本文件增強(qiáng)了中的控制措施本文件通過以