GB/T 41817-2022信息安全技术个人信息安全工程指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T41817—2022

信息安全技术个人信息安全工程指南

Informationsecuritytechnology—Guidelinesforpersonalinformationsecurity

engineering

2022-10-12发布2023-05-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T41817—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

总则

5………………………2

个人信息安全工程原则

5.1……………2

个人信息安全工程目标

5.2……………2

个人信息安全工程阶段

5.3……………3

个人信息安全工程准备

5.4……………3

个人信息安全工程需求阶段

6……………3

描述

6.1…………………3

输入

6.2…………………4

角色与职责

6.3…………………………4

主要活动

6.4……………4

输出

6.5…………………5

个人信息安全工程设计阶段

7……………5

描述

7.1…………………5

输入

7.2…………………5

角色与职责

7.3…………………………5

主要活动

7.4……………5

输出

7.5…………………7

个人信息安全工程开发阶段

8……………7

描述

8.1…………………7

输入

8.2…………………7

角色与职责

8.3…………………………7

主要活动

8.4……………7

输出

8.5…………………8

个人信息安全工程测试阶段

9……………9

描述

9.1…………………9

输入

9.2…………………9

角色与职责

9.3…………………………9

主要活动

9.4……………9

输出

9.5…………………10

Ⅰ

GB/T41817—2022

个人信息安全工程发布阶段

10…………10

描述

10.1………………10

输入

10.2………………10

角色与职责

10.3………………………10

主要活动

10.4…………………………10

输出

10.5………………11

附录资料性常见个人信息安全设计参考要点

A()……………………12

附录资料性常见个人信息安全默认配置参考要点

B()………………15

参考文献

……………………16

Ⅱ

GB/T41817—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院华为技术有限公司北京百度网讯科技有限公司

:、、、

深圳市腾讯计算机系统有限公司阿里巴巴北京软件服务有限公司联想北京有限公司蚂蚁科技

、()、()、

集团股份有限公司上海市方达北京律师事务所北京京东尚科信息技术有限公司北京三快科技有

、()、、

限公司中国银行股份有限公司中电长城网际系统应用有限公司微软中国有限公司全知科技

、、、()、

杭州有限责任公司北京奇虎科技有限公司北京字节跳动科技有限公司贝壳找房北京科技有限

()、、、()

公司北京小桔科技有限公司勤智数码科技股份有限公司陕西省网络与信息安全测评中心西安电子

、、、、

科技大学北京邮电大学上海工业控制安全创新科技有限公司华东师范大学浙江鹏信信息科技股份

、、、、

有限公司

。

本文件主要起草人刘贤刚胡影徐羽佳范为孙硕郭铁涛李汝鑫贾雪飞王昕王佳敏苏丹

:、、、、、、、、、、、

白晓媛武杨赵冉冉杨建媛严少敏刘笑岑罗治兵陈雪秀白阳周晨炜刘行王姣王秉政闵京华

、、、、、、、、、、、、、、

王劲松章娅玮张冰烨张屹刘凯红张朝衣强孙铁李正李俊裴庆祺魏玉峰朱通邓婷孙彦

、、、、、、、、、、、、、、、

陈舒张宇光徐国爱蒲戈光刘虹陈铭松邹楠

、、、、、、。

Ⅲ

GB/T41817—2022

引言

为规范网络产品和服务个人信息处理活动最大程度保障用户个人信息权益业界陆续提出个人信

,,

息安全措施与产品和服务同步规划同步建设同步使用的理念例如欧盟通用数据保护条例规定

、、。,《》

在产品设计阶段要考虑个人信息保护要求同时产品默认设置也要最大程度保护用户个人信息这不

,。

仅有助于主动防御个人信息安全风险也便于预防侵害用户个人信息权益事件发生

,。

本文件根据个人信息保护法律法规和政策标准要求结合国内外在隐私工程方面的实践经验给出

,,

了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南为帮助

,

网络产品和服务提升个人信息保护能力提供工程化指引

。

Ⅳ

GB/T41817—2022

信息安全技术个人信息安全工程指南

1范围

本文件提出了个人信息安全工程的原则目标阶段和准备提供了网络产品和服务在需求设计

、、,、、

开发测试发布阶段落实个人信息安全要求的工程化指南

、、。

本文件适用于涉及个人信息处理的网络产品和服务含信息系统为其同步规划同步建设个人信

(),、

息安全措施提供指导也适用于组织在软件开发生存周期开展隐私工程时参考

,。

注在不引起混淆的情况下本文件中的网络产品和服务简称为产品服务

:,“”“”。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069—2022

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术个人信息安全影响评估指南

GB/T39335—2020

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391—2022(App)

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

个人信息安全工程personalinformationsecurityengineering