GB/T 41574-2022信息技術(shù)安全技術(shù)公有云中個人信息保護實踐指南

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T41574—2022

信息技術(shù)安全技術(shù)

公有云中個人信息保護實踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

protectionofpersonalinformationinpublicclouds

ISO/IEC270182019Informationtechnolo—Securittechniues—

(:,gyyq

CodeofracticeforrotectionofersonallidentifiableinformationPIIin

pppy()

ubliccloudsactinasPIIrocessorsMOD

pgp,)

2022-07-11發(fā)布2023-02-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T41574—2022

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

概述

4………………………2

本文件的結(jié)構(gòu)

4.1………………………2

控制類別

4.2……………3

信息安全策略

5……………3

信息安全管理指導

5.1…………………3

信息安全策略

5.1.1…………………3

信息安全策略的評審

5.1.2…………4

信息安全組織

6……………4

內(nèi)部組織

6.1……………4

信息安全的角色和責任

6.1.1………………………4

職責分離

6.1.2………………………4

與職能機構(gòu)的聯(lián)系

6.1.3……………4

與特定相關(guān)方的聯(lián)系

6.1.4…………4

項目管理中的信息安全

6.1.5………………………4

移動設備和遠程工作

6.2………………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………5

管理責任

7.2.1………………………5

信息安全意識教育和培訓

7.2.2、……………………5

違規(guī)處理過程

7.2.3…………………5

任用的終止和變更

7.3…………………5

資產(chǎn)管理

8…………………5

訪問控制

9…………………5

訪問控制的業(yè)務要求

9.1………………5

用戶訪問管理

9.2………………………5

用戶注冊和注銷

9.2.1………………6

用戶訪問供給

9.2.2…………………6

特許訪問權(quán)管理

9.2.3………………6

用戶的秘密鑒別信息管理

9.2.4……………………6

用戶訪問權(quán)的評審

9.2.5……………6

Ⅰ

GB/T41574—2022

訪問權(quán)的移除或調(diào)整

9.2.6…………6

用戶責任

9.3……………6

秘密鑒別信息的使用

9.3.1…………6

系統(tǒng)和應用訪問控制

9.4………………6

信息訪問限制

9.4.1…………………6

安全登錄規(guī)程

9.4.2…………………6

口令管理系統(tǒng)

9.4.3…………………6

特權(quán)實用程序的使用

9.4.4…………7

程序源代碼的訪問控制

9.4.5………………………7

密碼

10………………………7

密碼控制

10.1……………7

密碼控制的使用策略

10.1.1…………7

密鑰管理

10.1.2………………………7

物理和環(huán)境安全

11…………………………7

安全區(qū)域

11.1……………7

設備

11.2…………………7

設備安置和保護

11.2.1………………7

支持性設施

11.2.2……………………7

布纜安全

11.2.3………………………7

設備維護

11.2.4………………………8

資產(chǎn)的移動

11.2.5……………………8

組織場所外的設備與資產(chǎn)安全

11.2.6………………8

設備的安全處置或再利用

11.2.7……………………8

無人值守的用戶設備

11.2.8…………8

清理桌面和屏幕策略

11.2.9…………8

運行安全

12…………………8

運行規(guī)程和責任

12.1……………………8

文件化的操作規(guī)程

12.1.1……………8

變更管理

12.1.2………………………8

容量管理

12.1.3………………………8

開發(fā)測試和運行環(huán)境的分離

12.1.4、………………8

惡意軟件防范

12.2………………………9

備份

12.3…………………9

信息備份

12.3.1………………………9

日志和監(jiān)視

12.4…………………………9

事態(tài)日志

12.4.1………………………9

日志信息的保護

12.4.2………………9

管理員和操作員日志

12.4.3………………………10

時鐘同步

12.4.4……………………10

運行軟件控制

12.5……………………10

技術(shù)方面的脆弱性管理

12.6…………10

信息系統(tǒng)審計的考慮

12.7……………10

Ⅱ

GB/T41574—2022

通信安全

13………………10

網(wǎng)絡安全管理

13.1……………………10

信息傳輸

13.2…………………………10

信息傳輸策略和規(guī)程

13.2.1………………………10

信息傳輸協(xié)議

13.2.2………………10

電子消息發(fā)送

13.2.3………………10

保密或不披露協(xié)議

13.2.4…………10

系統(tǒng)獲取開發(fā)和維護

14、…………………11

供應商關(guān)系

15……………11

信息安全事件管理

16……………………11

信息安全事件的管理和改進

16.1……………………11

責任和規(guī)程

16.1.1…………………11

報告信息安全事態(tài)

16.1.2…………11

報告信息安全弱點

16.1.3…………11

信息安全事態(tài)的評估和決策

16.1.4………………11

信息安全事件的響應

16.1.5………………………11

從信息安全事件中學習

16.1.6……………………11

證據(jù)的收集

16.1.7…………………12

業(yè)務連續(xù)性管理的信息安全方面

17……………………12

符合性

18…………………12

符合法律和合同要求

18.1……………12

信息安全評審

18.2……………………12

信息安全獨立評審

18.2.1…………12

符合安全策略和標準

18.2.2………………………12

技術(shù)符合性評審

18.2.3……………12

附錄資料性本文件與結(jié)構(gòu)編號對照情況

A()ISO/IEC27018:2019………………13

附錄規(guī)范性公有云個人信息處理者保護個人信息的擴展控制措施集

B()…………15

附錄資料性云服務提供者云服務客戶和云服務用戶的關(guān)系

C()、…………………21

參考文獻

……………………22

Ⅲ

GB/T41574—2022

前言

本文件按照標準化工作導則第部分標準化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技術(shù)安全技術(shù)個人可識別信息處理者在公

ISO/IEC27018:2019《(PII)

有云中保護的實踐指南

PII》。

本文件與相比在結(jié)構(gòu)上有較多調(diào)整兩個文件之間的結(jié)構(gòu)編號變化對照

ISO/IEC27018:2019,。

一覽表見附錄

A。

本文件與的技術(shù)差異及其原因如下

ISO/IEC27018:2019:

將術(shù)語個人可識別信息更改為個人信息并更改了定義與的

———“(PII)”“”,,GB/T35273—2020

術(shù)語和定義保持一致見的

(3.1,ISO/IEC27018:20193.2);

將術(shù)語控制者更改為個人信息控制者并更改了定義與的術(shù)語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.2,ISO/IEC27018:20193.3);

將術(shù)語主體更改為個人信息主體并更改了定義與的術(shù)語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.3,ISO/IEC27018:20193.4);

將術(shù)語處理者更改為個人信息處理者并更改了定義與的術(shù)語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.4,ISO/IEC27018:20193.5);

將術(shù)語處理更改為個人信息處理并更改了定義與的術(shù)語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.5,ISO/IEC27018:20193.6);

將表題中的更改為見表的表

———ISO/IEC27002GB/T22081(1,ISO/IEC27018:20191);

增加處理者委托分包商處理個人信息的建議與中關(guān)于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(5.1.1);

刪除公有云保護其他信息中法律法規(guī)對處理者和控制者不同要求的表述以符合我國

———“PII”,

標準化文件的起草規(guī)則見的

(ISO/IEC27018:20195.1.1);

刪除公有云保護其他信息中法律法規(guī)對處理者處罰的要求以符合我國標準化文件的

———“PII”,

起草規(guī)則見的

(ISO/IEC27018:20197.2.2);

增加采用密碼技術(shù)解決機密性完整性真實性不可否認性需求的要求見

———、、、(10.1.1);

增加處理者轉(zhuǎn)讓個人信息的建議與的相關(guān)條款保持一致見

———,GB/T35273—2020(B.2.3);

增加處理者向境外提供個人信息的建議以適應我國的技術(shù)條件便于本文件的應用見

———,,(

B.4.1、B.7.14);

增加處理者委托代理商處理個人信息的建議與中關(guān)于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(B.7.1);

增加數(shù)據(jù)恢復日志包含信息的建議見

———(B.7.3);

刪除公有云保護實現(xiàn)指南中關(guān)于處理者告知義務的相關(guān)法律表述以符合我國標準化

———“PII”,

文件的起草規(guī)則見的

(ISO/IEC27018:2019A.10.1)。

本文件做了下列編輯性改動

:

為與現(xiàn)有標準系列一致將標準名稱更改為信息技術(shù)安全技術(shù)公有云中個人信息保護實

———,《

踐指南

》;

更改附錄中新增控制措施的分類原則與我國的個人信息保護原則保持一致見

———B,(B.1,

的

ISO/IEC27018:2019A.1);

Ⅴ

GB/T41574—2022

增加對脫鏈的解釋說明以提高條款的易讀性便于本文件的應用見注

———“”,,(B.2.31);

增加對消磁的解釋說明以提高條款的易讀性便于本文件的應用見注

———“”,,(B.2.32);

增加附錄資料性本文件與結(jié)構(gòu)編號對照情況

———A()“ISO/IEC27018:2019”;

增加附錄資料性云服務提供者云服務客戶和云服務用戶的關(guān)系

———C()“、”;

刪除的注

———ISO/IEC27018:20199.2.1;

刪除的注

———ISO/IEC27018:201910.1.1;

刪除的注和注

———ISO/IEC27018:201912.3.112;

刪除的示例

———ISO/IEC27018:2019A.6.1;

刪除的注的第句

———ISO/IEC27018:2019A.11.31;

將本項控制措施和指南可歸入的其他原則改為公開透明原則與我國的個人信息保護原則

———“”,

保持一致見注的注

(B.2.33,ISO/IEC27018:2019A.10.3);

更改公有云保護實現(xiàn)指南中涉及收集和使用所遵循原則的表述與我國的個人信

———“PII”PII,

息保護原則保持一致見的

(B.3.1,ISO/IEC27018:2019A.3.1);

更改公有云保護實現(xiàn)指南中的控制者為云服務客戶以提高易讀性便于本文

———“PII”“PII”“”,,

件的應用見的

(B.8.1,ISO/IEC27018:2019A.2.1)。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術(shù)委員會歸口

(SAC/TC260)。

本文件起草單位山東省標準化研究院杭州拓深科技有限公司中國網(wǎng)絡安全審查技術(shù)與認證中

:、、

心陜西省網(wǎng)絡與信息安全測評中心藝龍網(wǎng)信息技術(shù)北京有限公司中電長城網(wǎng)際系統(tǒng)應用有限公

、、()、

司北京錢袋寶支付技術(shù)有限公司國家工業(yè)信息安全發(fā)展研究中心騰訊云計算北京有限責任公司

、、、()、

陜西省信息化工程研究院中電數(shù)據(jù)服務有限公司上海市信息安全行業(yè)協(xié)會上海安言信息技術(shù)有限

、、、

公司安徽省電子產(chǎn)品監(jiān)督檢驗所山東中測信息技術(shù)有限公司

、、。

本文件主要起草人王慶升尤其黨斌閔京華蘭安娜柳彩云王永霞張勇張博周亞超孫巖

:、、、、、、、、、、、

張軒銘靳倩王利強趙首花王愛義楊帆石磊黃磊王理冬趙倩倩馬卓元賈夢妮閆育蕓秦峰

、、、、、、、、、、、、、、

楊向東王法中許立前范正翔于秀彥劉勘偽吳博

、、、、、、。

Ⅵ

GB/T41574—2022

引言

01背景和環(huán)境

.

近年越來越多的云服務客戶使用云服務提供者的服務委托其進行個人信息處理

,,。

中規(guī)定了對接受委托處理一方中稱為受委托者本文

GB/T35273—2020(GB/T35273—20209.1“”,

件中的處理者即受委托者的要求本文件按照對處理者的要求提供了一種

“”“”)。GB/T35273—2020,

在公有云中保護個人信息的通用合規(guī)框架指導處理者開展公有云中個人信息處理操作

,。

公有云服務提供者通常需要依據(jù)與云服務客戶簽訂的合同并在雙方均遵守個人信息保護法律法

,

規(guī)相關(guān)要求的前提下開展服務對于個人信息保護的這些要求云服務提供者與云服務客戶是依據(jù)法

。,

律法規(guī)和它們之間的合同來確定的

。

當公有云服務提供者按照云服務客戶的要求處理個人信息時公有云服務提供者充當個人信息

,“

處理者的角色與公有云個人信息處理者有合同關(guān)系的云服務客戶是個人信息控制者在云計算

”?！啊薄?/p>

環(huán)境下個人信息控制者掌握個人信息的控制權(quán)其也具有處理和使用個人信息的權(quán)限個人信息控制

,,。

者與個人信息處理者均可處理個人信息但個人信息處理者作為受委托的一方只能執(zhí)行個人信息控制

,,

者要求的個人信息處理操作和為實現(xiàn)個人信息控制者目標而進行的必要操作同時云服務客戶也可

。,

授權(quán)一個或多個云服務用戶使用其服務但這些服務僅限于云服務客戶與公有云個人信息處理者簽訂

,

合同中約定的可用服務

。

本文件旨在創(chuàng)建一組通用的控制類別和控制措施與中的信息安全控制目標和控制

,GB/T22081

措施結(jié)合使用由個人信息處理者來實現(xiàn)本文件的目的如下

,。:

幫助公有云個人信息處理者履行相應義務這些義務包括法律法規(guī)規(guī)定的直接義務及合同約

———,

定的其他義務

;

使公有云個人信息處理者在相關(guān)事務上保持透明便于云服務客戶選擇管理良好的基于云的

———,

個人信息處理服務

;

協(xié)助云服務客戶和公有云個人信息處理者簽訂合同協(xié)議

———;

在單個云服務客戶無法對托管在多方或虛擬化服務器云中的數(shù)據(jù)進行審計或者此類審計

———(),

可能增加現(xiàn)有物理和邏輯網(wǎng)絡安全控制風險的情況下為云服務客戶行使審計權(quán)力和承擔符

,

合性責任提供一種機制

。

本文件可為公有云服務提供者特別是跨國運營的公有云服務提供者提供一種通用的合規(guī)框架

,,。

02公有云計算服務的個人信息保護控制

.

在基于實施云計算信息安全管理體系的過程中公有云個人信息處理者可參考本文

GB/T22080,

件選擇個人信息保護控制措施本文件也可作為公有云個人信息處理者實施通用的個人信息保護控制

。

措施的指導文件尤其是本文件在的基礎上考慮了個人信息處理者所面臨的特定風險

。,GB/T22081,

環(huán)境

。

通常來說組織實施是為了保護自身的信息資產(chǎn)然而公有云個人信息處理者保護

,GB/T22080。,

的個人信息實際上是云服務客戶的信息資產(chǎn)因此由公有云個人信息處理者實施中的

,。,GB/T22081

Ⅶ

GB/T41574—2022

控制措施是合理的也是必要的同時為適應公有云計算環(huán)境中風險分散的特點并符合云服務客戶

,。,,

與公有云個人信息處理者之間的合同要求本文件增強了中的控制措施本文件通過以