GB/T 41574-2022信息技术安全技术公有云中个人信息保护实践指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T41574—2022

信息技术安全技术

公有云中个人信息保护实践指南

Informationtechnology—Securitytechniques—Codeofpracticefor

protectionofpersonalinformationinpublicclouds

ISO/IEC270182019Informationtechnolo—Securittechniues—

(:,gyyq

CodeofracticeforrotectionofersonallidentifiableinformationPIIin

pppy()

ubliccloudsactinasPIIrocessorsMOD

pgp,)

2022-07-11发布2023-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T41574—2022

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………2

本文件的结构

4.1………………………2

控制类别

4.2……………3

信息安全策略

5……………3

信息安全管理指导

5.1…………………3

信息安全策略

5.1.1…………………3

信息安全策略的评审

5.1.2…………4

信息安全组织

6……………4

内部组织

6.1……………4

信息安全的角色和责任

6.1.1………………………4

职责分离

6.1.2………………………4

与职能机构的联系

6.1.3……………4

与特定相关方的联系

6.1.4…………4

项目管理中的信息安全

6.1.5………………………4

移动设备和远程工作

6.2………………4

人力资源安全

7……………4

任用前

7.1………………4

任用中

7.2………………5

管理责任

7.2.1………………………5

信息安全意识教育和培训

7.2.2、……………………5

违规处理过程

7.2.3…………………5

任用的终止和变更

7.3…………………5

资产管理

8…………………5

访问控制

9…………………5

访问控制的业务要求

9.1………………5

用户访问管理

9.2………………………5

用户注册和注销

9.2.1………………6

用户访问供给

9.2.2…………………6

特许访问权管理

9.2.3………………6

用户的秘密鉴别信息管理

9.2.4……………………6

用户访问权的评审

9.2.5……………6

Ⅰ

GB/T41574—2022

访问权的移除或调整

9.2.6…………6

用户责任

9.3……………6

秘密鉴别信息的使用

9.3.1…………6

系统和应用访问控制

9.4………………6

信息访问限制

9.4.1…………………6

安全登录规程

9.4.2…………………6

口令管理系统

9.4.3…………………6

特权实用程序的使用

9.4.4…………7

程序源代码的访问控制

9.4.5………………………7

密码

10………………………7

密码控制

10.1……………7

密码控制的使用策略

10.1.1…………7

密钥管理

10.1.2………………………7

物理和环境安全

11…………………………7

安全区域

11.1……………7

设备

11.2…………………7

设备安置和保护

11.2.1………………7

支持性设施

11.2.2……………………7

布缆安全

11.2.3………………………7

设备维护

11.2.4………………………8

资产的移动

11.2.5……………………8

组织场所外的设备与资产安全

11.2.6………………8

设备的安全处置或再利用

11.2.7……………………8

无人值守的用户设备

11.2.8…………8

清理桌面和屏幕策略

11.2.9…………8

运行安全

12…………………8

运行规程和责任

12.1……………………8

文件化的操作规程

12.1.1……………8

变更管理

12.1.2………………………8

容量管理

12.1.3………………………8

开发测试和运行环境的分离

12.1.4、………………8

恶意软件防范

12.2………………………9

备份

12.3…………………9

信息备份

12.3.1………………………9

日志和监视

12.4…………………………9

事态日志

12.4.1………………………9

日志信息的保护

12.4.2………………9

管理员和操作员日志

12.4.3………………………10

时钟同步

12.4.4……………………10

运行软件控制

12.5……………………10

技术方面的脆弱性管理

12.6…………10

信息系统审计的考虑

12.7……………10

Ⅱ

GB/T41574—2022

通信安全

13………………10

网络安全管理

13.1……………………10

信息传输

13.2…………………………10

信息传输策略和规程

13.2.1………………………10

信息传输协议

13.2.2………………10

电子消息发送

13.2.3………………10

保密或不披露协议

13.2.4…………10

系统获取开发和维护

14、…………………11

供应商关系

15……………11

信息安全事件管理

16……………………11

信息安全事件的管理和改进

16.1……………………11

责任和规程

16.1.1…………………11

报告信息安全事态

16.1.2…………11

报告信息安全弱点

16.1.3…………11

信息安全事态的评估和决策

16.1.4………………11

信息安全事件的响应

16.1.5………………………11

从信息安全事件中学习

16.1.6……………………11

证据的收集

16.1.7…………………12

业务连续性管理的信息安全方面

17……………………12

符合性

18…………………12

符合法律和合同要求

18.1……………12

信息安全评审

18.2……………………12

信息安全独立评审

18.2.1…………12

符合安全策略和标准

18.2.2………………………12

技术符合性评审

18.2.3……………12

附录资料性本文件与结构编号对照情况

A()ISO/IEC27018:2019………………13

附录规范性公有云个人信息处理者保护个人信息的扩展控制措施集

B()…………15

附录资料性云服务提供者云服务客户和云服务用户的关系

C()、…………………21

参考文献

……………………22

Ⅲ

GB/T41574—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技术安全技术个人可识别信息处理者在公

ISO/IEC27018:2019《(PII)

有云中保护的实践指南

PII》。

本文件与相比在结构上有较多调整两个文件之间的结构编号变化对照

ISO/IEC27018:2019,。

一览表见附录

A。

本文件与的技术差异及其原因如下

ISO/IEC27018:2019:

将术语个人可识别信息更改为个人信息并更改了定义与的

———“(PII)”“”,,GB/T35273—2020

术语和定义保持一致见的

(3.1,ISO/IEC27018:20193.2);

将术语控制者更改为个人信息控制者并更改了定义与的术语

———“PII”“”,,GB/T35273—2020

和定义保持一致见的

(3.2,ISO/IEC27018:20193.3);

将术语主体更改为个人信息主体并更改了定义与的术语和定

———“PII”“”,,GB/T35273—2020

义保持一致见的

(3.3,ISO/IEC27018:20193.4);

将术语处理者更改为个人信息处理者并更改了定义与的术语

———“PII”“”,,GB/T35273—2020

和定义保持一致见的

(3.4,ISO/IEC27018:20193.5);

将术语处理更改为个人信息处理并更改了定义与的术语和定

———“PII”“”,,GB/T35273—2020

义保持一致见的

(3.5,ISO/IEC27018:20193.6);

将表题中的更改为见表的表

———ISO/IEC27002GB/T22081(1,ISO/IEC27018:20191);

增加处理者委托分包商处理个人信息的建议与中关于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致见

(5.1.1);

删除公有云保护其他信息中法律法规对处理者和控制者不同要求的表述以符合我国

———“PII”,

标准化文件的起草规则见的

(ISO/IEC27018:20195.1.1);

删除公有云保护其他信息中法律法规对处理者处罚的要求以符合我国标准化文件的

———“PII”,

起草规则见的

(ISO/IEC27018:20197.2.2);

增加采用密码技术解决机密性完整性真实性不可否认性需求的要求见

———、、、(10.1.1);

增加处理者转让个人信息的建议与的相关条款保持一致见

———,GB/T35273—2020(B.2.3);

增加处理者向境外提供个人信息的建议以适应我国的技术条件便于本文件的应用见

———,,(

B.4.1、B.7.14);

增加处理者委托代理商处理个人信息的建议与中关于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致见

(B.7.1);

增加数据恢复日志包含信息的建议见

———(B.7.3);

删除公有云保护实现指南中关于处理者告知义务的相关法律表述以符合我国标准化

———“PII”,

文件的起草规则见的

(ISO/IEC27018:2019A.10.1)。

本文件做了下列编辑性改动

:

为与现有标准系列一致将标准名称更改为信息技术安全技术公有云中个人信息保护实

———,《

践指南

》;

更改附录中新增控制措施的分类原则与我国的个人信息保护原则保持一致见

———B,(B.1,

的

ISO/IEC27018:2019A.1);

Ⅴ

GB/T41574—2022

增加对脱链的解释说明以提高条款的易读性便于本文件的应用见注

———“”,,(B.2.31);

增加对消磁的解释说明以提高条款的易读性便于本文件的应用见注

———“”,,(B.2.32);

增加附录资料性本文件与结构编号对照情况

———A()“ISO/IEC27018:2019”;

增加附录资料性云服务提供者云服务客户和云服务用户的关系

———C()“、”;

删除的注

———ISO/IEC27018:20199.2.1;

删除的注

———ISO/IEC27018:201910.1.1;

删除的注和注

———ISO/IEC27018:201912.3.112;

删除的示例

———ISO/IEC27018:2019A.6.1;

删除的注的第句

———ISO/IEC27018:2019A.11.31;

将本项控制措施和指南可归入的其他原则改为公开透明原则与我国的个人信息保护原则

———“”,

保持一致见注的注

(B.2.33,ISO/IEC27018:2019A.10.3);

更改公有云保护实现指南中涉及收集和使用所遵循原则的表述与我国的个人信

———“PII”PII,

息保护原则保持一致见的

(B.3.1,ISO/IEC27018:2019A.3.1);

更改公有云保护实现指南中的控制者为云服务客户以提高易读性便于本文

———“PII”“PII”“”,,

件的应用见的

(B.8.1,ISO/IEC27018:2019A.2.1)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会归口

(SAC/TC260)。

本文件起草单位山东省标准化研究院杭州拓深科技有限公司中国网络安全审查技术与认证中

:、、

心陕西省网络与信息安全测评中心艺龙网信息技术北京有限公司中电长城网际系统应用有限公

、、()、

司北京钱袋宝支付技术有限公司国家工业信息安全发展研究中心腾讯云计算北京有限责任公司

、、、()、

陕西省信息化工程研究院中电数据服务有限公司上海市信息安全行业协会上海安言信息技术有限

、、、

公司安徽省电子产品监督检验所山东中测信息技术有限公司

、、。

本文件主要起草人王庆升尤其党斌闵京华兰安娜柳彩云王永霞张勇张博周亚超孙岩

:、、、、、、、、、、、

张轩铭靳倩王利强赵首花王爱义杨帆石磊黄磊王理冬赵倩倩马卓元贾梦妮闫育芸秦峰

、、、、、、、、、、、、、、

杨向东王法中许立前范正翔于秀彦刘勘伪吴博

、、、、、、。

Ⅵ

GB/T41574—2022

引言

01背景和环境

.

近年越来越多的云服务客户使用云服务提供者的服务委托其进行个人信息处理

,,。

中规定了对接受委托处理一方中称为受委托者本文

GB/T35273—2020(GB/T35273—20209.1“”,

件中的处理者即受委托者的要求本文件按照对处理者的要求提供了一种

“”“”)。GB/T35273—2020,

在公有云中保护个人信息的通用合规框架指导处理者开展公有云中个人信息处理操作

,。

公有云服务提供者通常需要依据与云服务客户签订的合同并在双方均遵守个人信息保护法律法

,

规相关要求的前提下开展服务对于个人信息保护的这些要求云服务提供者与云服务客户是依据法

。,

律法规和它们之间的合同来确定的

。

当公有云服务提供者按照云服务客户的要求处理个人信息时公有云服务提供者充当个人信息

,“

处理者的角色与公有云个人信息处理者有合同关系的云服务客户是个人信息控制者在云计算

”。“”。

环境下个人信息控制者掌握个人信息的控制权其也具有处理和使用个人信息的权限个人信息控制

,,。

者与个人信息处理者均可处理个人信息但个人信息处理者作为受委托的一方只能执行个人信息控制

,,

者要求的个人信息处理操作和为实现个人信息控制者目标而进行的必要操作同时云服务客户也可

。,

授权一个或多个云服务用户使用其服务但这些服务仅限于云服务客户与公有云个人信息处理者签订

,

合同中约定的可用服务

。

本文件旨在创建一组通用的控制类别和控制措施与中的信息安全控制目标和控制

,GB/T22081

措施结合使用由个人信息处理者来实现本文件的目的如下

,。:

帮助公有云个人信息处理者履行相应义务这些义务包括法律法规规定的直接义务及合同约

———,

定的其他义务

;

使公有云个人信息处理者在相关事务上保持透明便于云服务客户选择管理良好的基于云的

———,

个人信息处理服务

;

协助云服务客户和公有云个人信息处理者签订合同协议

———;

在单个云服务客户无法对托管在多方或虚拟化服务器云中的数据进行审计或者此类审计

———(),

可能增加现有物理和逻辑网络安全控制风险的情况下为云服务客户行使审计权力和承担符

,

合性责任提供一种机制

。

本文件可为公有云服务提供者特别是跨国运营的公有云服务提供者提供一种通用的合规框架

,,。

02公有云计算服务的个人信息保护控制

.

在基于实施云计算信息安全管理体系的过程中公有云个人信息处理者可参考本文

GB/T22080,

件选择个人信息保护控制措施本文件也可作为公有云个人信息处理者实施通用的个人信息保护控制

。

措施的指导文件尤其是本文件在的基础上考虑了个人信息处理者所面临的特定风险

。,GB/T22081,

环境

。

通常来说组织实施是为了保护自身的信息资产然而公有云个人信息处理者保护

,GB/T22080。,

的个人信息实际上是云服务客户的信息资产因此由公有云个人信息处理者实施中的

,。,GB/T22081

Ⅶ

GB/T41574—2022

控制措施是合理的也是必要的同时为适应公有云计算环境中风险分散的特点并符合云服务客户

,。,,

与公有云个人信息处理者之间的合同要求本文件增强了中的控制措施本文件通过以