GB/T 41817-2022信息安全技術(shù)個人信息安全工程指南

ICS35030

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T41817—2022

信息安全技術(shù)個人信息安全工程指南

Informationsecuritytechnology—Guidelinesforpersonalinformationsecurity

engineering

2022-10-12發(fā)布2023-05-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會

GB/T41817—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

總則

5………………………2

個人信息安全工程原則

5.1……………2

個人信息安全工程目標(biāo)

5.2……………2

個人信息安全工程階段

5.3……………3

個人信息安全工程準(zhǔn)備

5.4……………3

個人信息安全工程需求階段

6……………3

描述

6.1…………………3

輸入

6.2…………………4

角色與職責(zé)

6.3…………………………4

主要活動

6.4……………4

輸出

6.5…………………5

個人信息安全工程設(shè)計(jì)階段

7……………5

描述

7.1…………………5

輸入

7.2…………………5

角色與職責(zé)

7.3…………………………5

主要活動

7.4……………5

輸出

7.5…………………7

個人信息安全工程開發(fā)階段

8……………7

描述

8.1…………………7

輸入

8.2…………………7

角色與職責(zé)

8.3…………………………7

主要活動

8.4……………7

輸出

8.5…………………8

個人信息安全工程測試階段

9……………9

描述

9.1…………………9

輸入

9.2…………………9

角色與職責(zé)

9.3…………………………9

主要活動

9.4……………9

輸出

9.5…………………10

Ⅰ

GB/T41817—2022

個人信息安全工程發(fā)布階段

10…………10

描述

10.1………………10

輸入

10.2………………10

角色與職責(zé)

10.3………………………10

主要活動

10.4…………………………10

輸出

10.5………………11

附錄資料性常見個人信息安全設(shè)計(jì)參考要點(diǎn)

A()……………………12

附錄資料性常見個人信息安全默認(rèn)配置參考要點(diǎn)

B()………………15

參考文獻(xiàn)

……………………16

Ⅱ

GB/T41817—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術(shù)標(biāo)準(zhǔn)化研究院華為技術(shù)有限公司北京百度網(wǎng)訊科技有限公司

:、、、

深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司阿里巴巴北京軟件服務(wù)有限公司聯(lián)想北京有限公司螞蟻科技

、()、()、

集團(tuán)股份有限公司上海市方達(dá)北京律師事務(wù)所北京京東尚科信息技術(shù)有限公司北京三快科技有

、()、、

限公司中國銀行股份有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司微軟中國有限公司全知科技

、、、()、

杭州有限責(zé)任公司北京奇虎科技有限公司北京字節(jié)跳動科技有限公司貝殼找房北京科技有限

()、、、()

公司北京小桔科技有限公司勤智數(shù)碼科技股份有限公司陜西省網(wǎng)絡(luò)與信息安全測評中心西安電子

、、、、

科技大學(xué)北京郵電大學(xué)上海工業(yè)控制安全創(chuàng)新科技有限公司華東師范大學(xué)浙江鵬信信息科技股份

、、、、

有限公司

。

本文件主要起草人劉賢剛胡影徐羽佳范為孫碩郭鐵濤李汝鑫賈雪飛王昕王佳敏蘇丹

:、、、、、、、、、、、

白曉媛武楊趙冉冉楊建媛嚴(yán)少敏劉笑岑羅治兵陳雪秀白陽周晨煒劉行王姣王秉政閔京華

、、、、、、、、、、、、、、

王勁松章婭瑋張冰燁張屹劉凱紅張朝衣強(qiáng)孫鐵李正李俊裴慶祺魏玉峰朱通鄧婷孫彥

、、、、、、、、、、、、、、、

陳舒張宇光徐國愛蒲戈光劉虹陳銘松鄒楠

、、、、、、。

Ⅲ

GB/T41817—2022

引言

為規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)個人信息處理活動最大程度保障用戶個人信息權(quán)益業(yè)界陸續(xù)提出個人信

,,

息安全措施與產(chǎn)品和服務(wù)同步規(guī)劃同步建設(shè)同步使用的理念例如歐盟通用數(shù)據(jù)保護(hù)條例規(guī)定

、、。,《》

在產(chǎn)品設(shè)計(jì)階段要考慮個人信息保護(hù)要求同時產(chǎn)品默認(rèn)設(shè)置也要最大程度保護(hù)用戶個人信息這不

,。

僅有助于主動防御個人信息安全風(fēng)險(xiǎn)也便于預(yù)防侵害用戶個人信息權(quán)益事件發(fā)生

,。

本文件根據(jù)個人信息保護(hù)法律法規(guī)和政策標(biāo)準(zhǔn)要求結(jié)合國內(nèi)外在隱私工程方面的實(shí)踐經(jīng)驗(yàn)給出

,,

了具有處理個人信息功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)在規(guī)劃和建設(shè)階段的個人信息安全工程實(shí)施指南為幫助

,

網(wǎng)絡(luò)產(chǎn)品和服務(wù)提升個人信息保護(hù)能力提供工程化指引

。

Ⅳ

GB/T41817—2022

信息安全技術(shù)個人信息安全工程指南

1范圍

本文件提出了個人信息安全工程的原則目標(biāo)階段和準(zhǔn)備提供了網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求設(shè)計(jì)

、、,、、

開發(fā)測試發(fā)布階段落實(shí)個人信息安全要求的工程化指南

、、。

本文件適用于涉及個人信息處理的網(wǎng)絡(luò)產(chǎn)品和服務(wù)含信息系統(tǒng)為其同步規(guī)劃同步建設(shè)個人信

(),、

息安全措施提供指導(dǎo)也適用于組織在軟件開發(fā)生存周期開展隱私工程時參考

,。

注在不引起混淆的情況下本文件中的網(wǎng)絡(luò)產(chǎn)品和服務(wù)簡稱為產(chǎn)品服務(wù)

:,“”“”。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069—2022

信息安全技術(shù)個人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)個人信息安全影響評估指南

GB/T39335—2020

信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序收集個人信息基本要求

GB/T41391—2022(App)

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2022。

31

.

個人信息安全工程personalinformationsecurityengineering