GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南

ICS35.030

CCSL80

中华人民共和国国家标准

/—

GBT415742022

信息技术安全技术

公有云中个人信息保护实践指南

——

InformationtechnoloSecurittechniuesCodeofracticefor

gyyqp

rotectionofersonalinformationinublicclouds

ppp

(/:,——

ISOIEC270182019InformationtechnoloSecurittechniues

gyyq

()

CodeofracticeforrotectionofersonallidentifiableinformationPIIin

pppy

,)

ubliccloudsactinasPIIrocessorsMOD

pgp

2022-07-11发布2023-02-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT415742022

目次

前言…………………………Ⅴ

引言…………………………Ⅶ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4概述………………………2

4.1本文件的结构………………………2

4.2控制类别……………3

5信息安全策略……………3

5.1信息安全管理指导…………………3

5.1.1信息安全策略…………………3

5.1.2信息安全策略的评审…………4

6信息安全组织……………4

6.1内部组织……………4

6.1.1信息安全的角色和责任………………………4

6.1.2职责分离………………………4

6.1.3与职能机构的联系……………4

6.1.4与特定相关方的联系…………4

6.1.5项目管理中的信息安全………………………4

6.2移动设备和远程工作………………4

7人力资源安全……………4

7.1任用前………………4

7.2任用中………………5

7.2.1管理责任………………………5

、……………………

7.2.2信息安全意识教育和培训5

7.2.3违规处理过程…………………5

7.3任用的终止和变更…………………5

8资产管理…………………5

9访问控制…………………5

9.1访问控制的业务要求………………5

9.2用户访问管理………………………5

9.2.1用户注册和注销………………6

9.2.2用户访问供给…………………6

9.2.3特许访问权管理………………6

9.2.4用户的秘密鉴别信息管理……………………6

9.2.5用户访问权的评审……………6

Ⅰ

/—

GBT415742022

9.2.6访问权的移除或调整…………6

9.3用户责任……………6

9.3.1秘密鉴别信息的使用…………6

9.4系统和应用访问控制………………6

9.4.1信息访问限制…………………6

9.4.2安全登录规程…………………6

9.4.3口令管理系统…………………6

9.4.4特权实用程序的使用…………7

9.4.5程序源代码的访问控制………………………7

10密码………………………7

10.1密码控制……………7

10.1.1密码控制的使用策略…………7

10.1.2密钥管理………………………7

11物理和环境安全…………………………7

11.1安全区域……………7

11.2设备…………………7

11.2.1设备安置和保护………………7

11.2.2支持性设施……………………7

11.2.3布缆安全………………………7

11.2.4设备维护………………………8

11.2.5资产的移动……………………8

11.2.6组织场所外的设备与资产安全………………8

11.2.7设备的安全处置或再利用……………………8

11.2.8无人值守的用户设备…………8

11.2.9清理桌面和屏幕策略…………8

12运行安全…………………8

12.1运行规程和责任……………………8

12.1.1文件化的操作规程……………8

12.1.2变更管理………………………8

12.1.3容量管理………………………8

、………………

12.1.4开发测试和运行环境的分离8

12.2恶意软件防范………………………9

12.3备份…………………9

12.3.1信息备份………………………9

12.4日志和监视…………………………9

12.4.1事态日志………………………9

12.4.2日志信息的保护………………9

12.4.3管理员和操作员日志………………………10

12.4.4时钟同步……………………10

12.5运行软件控制……………………10

12.6技术方面的脆弱性管理…………10

12.7信息系统审计的考虑……………10

Ⅱ

/—

GBT415742022

13通信安全………………10

13.1网络安全管理……………………10

13.2信息传输…………………………10

13.2.1信息传输策略和规程………………………10

13.2.2信息传输协议………………10

13.2.3电子消息发送………………10

13.2.4保密或不披露协议…………10

、…………………

14系统获取开发和维护11

15供应商关系……………11

16信息安全事件管理……………………11

16.1信息安全事件的管理和改进……………………11

16.1.1责任和规程…………………11

16.1.2报告信息安全事态…………11

16.1.3报告信息安全弱点…………11

16.1.4信息安全事态的评估和决策………………11

16.1.5信息安全事件的响应………………………11

16.1.6从信息安全事件中学习……………………11

16.1.7证据的收集…………………12

17业务连续性管理的信息安全方面……………………12

18符合性…………………12

18.1符合法律和合同要求……………12

18.2信息安全评审……………………12

18.2.1信息安全独立评审…………12

18.2.2符合安全策略和标准………………………12

18.2.3技术符合性评审……………12

()/:………………

附录资料性本文件与结构编号对照情况

AISOIEC27018201913

()…………

附录规范性公有云个人信息处理者保护个人信息的扩展控制措施集

B