信息安全技術 信息技術產品供應行為安全準則-編制說明

《信息安全技術信息技術產品供應行為安全準則》編制說明一、工作簡況1.任務來源根據工信協(xié)函[2013]27號文件“關于委托開展信息技術產品信息安全通用規(guī)范研究起草工作的函”，中國電子技術標準化研究院作為主辦單位，聯(lián)合華為技術有限公司、中興通訊技術有限責任公司等企業(yè)和科研院所開展信息技術產品供應行為安全準則國家標準研制工作。目前，已經形成標準征求意見稿。2.主要工作過程2013年2月，中國電子技術標準化研究院接到工業(yè)和信息化部信息安全協(xié)調司下達任務后成立了《信息技術產品供應行為安全準則》國家標準工作組。工作組由中國電子技術標準化研究院、華為技術有限公司、中興通訊技術有限責任公司、曙光計算機設備有限公司、新浪、百度、北京瑞星科技股份有限公司等單位組成。2013年3月29日，標準工作組主要人員前往奇虎360公司調研，調研軟件產品提供者的安全聲明、用戶數(shù)據保護等方面的方案與需求。2013年3月29日，標準工作組主要人員前往綠盟公司調研，調研信息安全提供者對于用戶數(shù)據保護的技術、檢測驗證等方面的方案與需求。2013年4月—5月，標準工作組主要人員先后調研了華為、新浪、中興等公司，調研信息技術提供者關于維護用戶數(shù)據安全方面的技術方案與標準化需求。2013年2月—5月，標準工作組主要人員研究國內外對信息技術產品及其供應方維護用戶信息安全的具體要求，包括整理NISTSP800-53聯(lián)邦信息系統(tǒng)安全與隱私控制措施、SP800-122個人可識別信息（PII）機密性保護指南、安全內容自動化協(xié)議（SCAP）、聯(lián)邦桌面核心配置（FDCC）、網絡空間可信身份國家戰(zhàn)略（NSTIC）、ISO/IECJTC1SC27制定的ISO/IEC29100隱私保護框架等標準，歐盟1995年發(fā)布的隱私權指令、1997年發(fā)布的電信業(yè)隱私權指令、2002年發(fā)布的電子隱私權指令、美國2012年提出的網絡用戶隱私權利法案等相關的法律、制度、政策中關于用戶信息安全的相關要求和措施，以及國內法律、制度、政策和相關標準等資料。2013年6月，在前期工作的基礎上，標準工作組主要人員參考和分析國內外已有ISO/IEC29100、ISO/IEC29101、ISO/IEC29190、ISO22307、NISTSP800-53、NISTSP800-122、ISO/IEC15408、GB/Z28828-2012、DB21/Y1628-2012等相關標準，并結合我國信息技術產品信息安全審查機制的需要，形成了標準草案初稿。2013年7月19日，標準工作組在北京召開了信息技術產品供應行為規(guī)范標準研討會，主要研究討論針對我國國情和信息安全管理需要的標準內容設置的合理性、標準實施的可行性等問題，并討論了標準工作組收集的針對該標準草案的行業(yè)企業(yè)和部分專家意見。與會專家對標準文稿內容進行了研究研討，認為該標準的制定對建立信息技術產品信息安全審查機制很有必要，同時希望配合相關法律法規(guī)共同維護國家以及用戶的信息安全。2013年7月20日至7月31日，標準工作組主要人員采納了標準研討會的部分專家意見,并及時研讀我國信息安全管理最新政策文件,分析比較NSTIC及美國2012年提出的網絡用戶隱私權利法案等規(guī)范文件的有益內容,對標準草案內容進行修改完善,形成標準草案。2013年12月11日，標準工作組在北京召開了行為規(guī)范標準研討會，主要征求信息安全專家范圍意見。與會專家針對標準草案提出了具體的建議，認為該標準草案對用戶相關信息的保護具有指導意義，可作為信息技術產品設計、開發(fā)、安全管理、采購的依據，并建議標準名稱改為《信息安全技術信息技術產品提供者保護用戶信息行為準則》。2014年1月3日，標準工作組在北京召開了行為規(guī)范標準研討會，主要征求行業(yè)企業(yè)意見。與會專家對征求意見稿中的術語定義、原則與驗證方法進行了反復的論證和推敲，提出了寶貴的建議。2014年3月13日，標準工作組在北京召開了行為規(guī)范標準研討會，主要征求測評認證行業(yè)專家意見。與會專家對征求意見稿中的術語定義、行為準則等提出了寶貴的建議，對文本進行了修改完善。2014年3月20日，標準工作組在北京召開了信息技術產品供應行為安全準則標準評審會。與會專家對征求意見稿中的術語定義、行為準則等提出了寶貴的建議，對文本進行了修改完善，建議盡快網上征求意見。2014年1月至4月，標準工作組主要人員多次和工業(yè)和信息化部信息安全協(xié)調司負責同志就標準草案內容的科學性、合理性、標準范圍和標準名稱進行溝通討論，反復斟酌,對文本進行了修改完善，形成了標準征求意見稿。二、標準編制原則和主要內容1.編制原則本標準在編制過程中參考了國際隱私保護、用戶數(shù)據安全等方面的標準與法規(guī)，并依據GB/T1.1-2009給出的規(guī)則進行起草。在編制過程中結合并貫徹全國人大常委會《關于加強網絡信息保護的決定》相關要求，充分發(fā)揮國家信息安全標準在保障個人、企業(yè)和國家信息安全，促進產業(yè)發(fā)展作用等精神，充分考慮信息安全審查工作的需要，從信息技術產品（包括軟件、硬件、系統(tǒng)等）安全使用和管理的角度，規(guī)范了信息技術產品提供者在提供信息技術產品時應遵守的信息安全行為規(guī)范。2.主要內容本標準規(guī)定了信息技術產品供應方在提供信息技術產品時，為保護用戶相關信息應遵守的基本準則。本標準適用于信息技術產品供應過程中的信息保護及其管理，也可為信息技術產品的研發(fā)、運維等提供參考。本標準主要框架內容如下：1范圍 2規(guī)范性引用文件 3術語和定義 4行為準則 本標準關鍵技術內容如下：信息技術產品提供者應以明示授權、最少夠用、安全保障、開放兼容、透明可信等方式提供相關產品：(1)明示授權原則明示授權原則要求信息技術產品提供者收集用戶相關信息和通過有線、無線網絡控制產品啟停、變更產品配置、禁用產品功能、改變運行狀態(tài)、更改用戶信息、限制其他產品使用等遠程控制用戶產品時應告知哪些內容、目的應公開、需要用戶明示同意，如果用戶中止授權時享有的權利，以及提供者披露或轉移用戶數(shù)據時需要再次獲得用戶的授權。(2)最少夠用原則最少夠用原則要求信息技術產品提供者所收集的用戶數(shù)據最小化，在數(shù)據使用方面受到限制。(3)安全保障原則安全保障原則要求信息技術產品提供者應保障用戶的數(shù)據安全以及采取安全防護行為，保證在產品中未預置后門、未加載禁用或繞過安全機制的組件等。(4)開放兼容原則開放兼容原則要求信息技術產品的開放性與兼容性，首選通用的技術和組件，降低關鍵組件缺失造成的產品不可用的風險，便于數(shù)據和業(yè)務在不同產品與系統(tǒng)間的遷移及替換。(5)透明可信原則透明可信原則要求信息技術產品可審計、可驗證，信息技術產品提供者應為用戶了解被收集的信息和可被遠程控制的情況提供技術支持?；谝陨显瓌t，信息技術產品供應方：1）為保證產品正常運行或其他正當理由確需收集、存儲、處理用戶相關信息時，應明確告知用戶其信息使用的目的、用途、類型、數(shù)量、存放地域、保存期限等事項；確需同產品建立數(shù)據連接、遠程控制用戶產品時，應告知用戶此行為的目的、用途以及所使用的端口、協(xié)議等。（透明性，向用戶明示）2）在收集用戶相關信息或實時遠程控制用戶產品前，應經用戶明示同意，并提供同意或禁止收集用戶相關信息以及同意或禁止連接、遠程控制的方法與標志。（用戶授權）3）應將收集的用戶相關信息以及遠程控制的范圍減少到最小，滿足業(yè)務目的即可，且應滿足相關的法規(guī)要求。（法規(guī)包括：身份證法、侵權責任法、電信條例、互聯(lián)網電子郵件管理辦法、刑法修正案等）4）應將所收集到的用戶相關信息僅用于其明示的目的和用途，并保護收集的用戶相關信息，防止其被泄露以及濫用等；未經用戶同意，不得公開、轉讓用戶相關信息，不得為境外機構或個人獲取用戶相關信息提供便利條件。（保障采集到的數(shù)據的安全性）5）如果在產品中設有測試或維護接口，應告知用戶并提供關閉測試或維護接口的方法；不應預設隱蔽接口、加載未明示功能模塊或禁用、繞過安全機制的組件。（防止后門等造成用戶相關信息泄露以及被非法遠程控制）6）在實施用于維護的遠程控制時，應以安全的訪問方式建立連接，且只對限定機器上的特定賬戶提供訪問，所進行的任何遠程維護活動均應載入日志以備日后審計。（防止實施維護時造成用戶相關信息泄露）7）應為用戶相關信息的收集、用戶產品的遠程控制以及產品與供應方之間數(shù)據交互的行為提供可以被檢測驗證的方法。（解決供應方在用戶不知情的情況下采集數(shù)據、擴大采集數(shù)據的范圍、控制用戶產品等行為）8）應將在我國市場經營活動中收集掌握的政府部門、國家關鍵基礎設施的用戶相關信息僅在境內存儲、傳輸和處理。（我國重要信息跨境傳輸問題）9）不應利用技術或市場優(yōu)勢，限制用戶合理選擇其他供應方的產品、部件或技術。（用戶選擇權問題、壟斷問題）10）應為用戶數(shù)據和業(yè)務在不同產品與系統(tǒng)間的遷移及替換，提供必要的技術資料和支持。（用戶選擇權問題、壟斷問題）三、預期的效益本標準的制定對于保障信息技術產品信息安全審查工作的開展與保障用戶信息安全具有重要意義，并對我國信息技術產業(yè)發(fā)展起到促進作用，同時對于保障用戶信息安全配套標準制定具有借鑒意義。四、與國際、國外同類標準水平的對比情況本標準充分考慮信息技術產品提供者保障用戶信息安全實際情況和發(fā)展現(xiàn)狀，給出了指導原則與驗證方法，引導信息技術產品產業(yè)的健康穩(wěn)定發(fā)展。目前，美國國家網絡空間可信身份戰(zhàn)略（NSTIC）公平信息實踐原則(FIPPs)規(guī)定了8項原則，即透明性、用戶參與、目的明確、數(shù)據最小化、使用限制、數(shù)據質量和完整性、安全性、責任和審計，主要目的是保護用戶的個人信息。本標準主要針對用戶相關信息進行保護，不僅僅是用戶的個人信息，還包括除此之外的用戶數(shù)據以及元數(shù)據保護，對信息技術產品提供者的信息安全行為做出規(guī)范，本標準中定義的原則包含了NSTIC公平信息實踐原則FIPPs的相關內容，并從保護用戶相關信息的角度對原則進行了合并歸類，形成了本標準中的重點關注信息技術產品與提供者之間的信息交互安全問題，指導性更強，是立足于我國當前技術和市場環(huán)境下的信息技術產品提供者行為規(guī)范。同時，該標準對促進我國信息技術產業(yè)發(fā)展與技術進步具有重要意義。五、與有關現(xiàn)行法律、法規(guī)和強制性行業(yè)標準的關系本標準是落實2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過的《關于加強網絡信息保護的決定》精神，加強維護用戶的信息安全保護。國發(fā)〔2012〕23號文件明確規(guī)定“強化信息資源和個人信息保護”，要“嚴格規(guī)范企業(yè)、機構在我國境內收集數(shù)據的行為”，本標準規(guī)定了信息技術產品提供者收集用戶相關信息與遠程控制用戶產品的行為準則。本標準符合我國現(xiàn)行的法律、法規(guī)，可以與現(xiàn)有國家標準配合使用。六．重大分歧意見的處理經過和依據詳見標準意見匯總處理表。七、廢止現(xiàn)行有關標準的建議無需廢止現(xiàn)行的標準。八、其它應于