标准规范下载简介
DB44/T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求.pdfB44/T 2189. 12
移动终端信息安全 第1部分:敏感信息安全检测技术要求
Informataion security of mobile terminalPartl:Security testing specificationfol sensitive information
省市场监督管理局 发
T/CECS 522-2018 装配复合模壳体系混凝土剪力墙结构技术规程DB44/T 2189.12019
DB44/T 2189.12019
第1部分:敏感信息安全检测技术要求
1部分:敏感信息安全检测技
本部分规定了敏感信息安全检测框架和敏感信息生成阶段、存储阶段、加工阶段、转移阶段、 段、废止与删除阶段的检测技术要求。 本部分适用于移动通信网的智能手机和平板电脑设备
合法操作用户legaluser 经过信息主体明示同意后具有对敏感信息进行处理权限的个人、组织和机构。
敏感信息作为信息主体安全的重要保护内容,应能够从敏感信息的全生命周期来保证敏感信息安 全。基于移动终端中敏感信息的全生命周期可分为生成、存储、加工、转移、应用、废止与删除,敏感 信息的安全贯穿于其中的每个环节。 a)生成是指信息主体经过标识信息而形成敏感信息的操作。 b 存储是指生成的敏感信息以一定格式保存在移动终端上供信息主体或合法操作用户使用的操 作。 加工是指信息主体或合法操作用户对已存储的敏感信息进行修改、标注、挖掘、屏蔽等一系列 操作。 d 转移是指信息主体或合法操作用户将敏感信息传输给其他操作用户的操作。 e 应用是指信息主体或合法操作用户为完成一定的目的而对敏感信息进行访问、共享等操作。 废止是指信息主体将敏感信息标识为非敏感信息的操作;删除是指信息主体或合法操作用户册删 除敏感信息内容而使其不能在移动终端中再次使用
5敏感信息安全检测技术要求
敏感信息的生成应仅由信息主体完成,其标识宜在使用范围内统一。 敏感信息的标识应采取知悉的方式,便于信息主体操作,不宜采取隐蔽手段或间接方式。 敏感信息生成后应能够提醒信息主体其标识的敏感信息已生成,且敏感信息生成后应允许信息主体 对敏感信息的有效时间进行限定
5. 2. 1安全域隔离
5.2.2敏感信息的加密存储
敏感信息的存储应为加密存储,未经合法授权的操作者应不能对存储区域内的加密敏感信 行加工操作。 敏感信息的加密存储后应允许信息主体或合法操作用户对存储密码、存储方式及存储属
改。合法操作用户进行修改时,应经过敏感信息主体的明示同意
5.2.3敏感信息的远程保护
5.2.4敏感信息的备份
DB44/T 2189.12019
敏感信息应充许信息主体和授权操作者对敏感信息进行加工,授权操作者在加工敏感信息前应 息主体加工的目的和方法,在授权范围内对敏感信息进行加工。 敏感信息被加工时应记录加工过程,记录内容至少包含但不限于敏感信息的修改日期、地点、 型等。
敏感信息在传输的过程申宜以密文的方式传输,密码的形态宜至少包含但不限于口令、图案、生物 特征识别、人像等多种形态保护方式中的一种或几种的组合。密钥的管理应满足GM/T0028一2014中规 定的密码模块安全技术要求。
敏感信息的合法操作用户应在信息主体授权范围内传输敏感信息。未经敏感信息主体的身份鉴别及 明示同意,敏感信息不得被转移给其他任何用户 合法操作用户在成功接收到敏感信息后,应知会信息主体
GB/T 38140-2019 水泥抗海水侵蚀试验方法5.5. 1使用者的身份认证
感信息主体应能够对敏感信息访问者和共享者的身份进行鉴别
5.5.2敏感信息的访问
5.5.2.1敏感信息的访问措施
敏感信息被访问时应有记录,必要时应对信息主体进行访问提醒
DB35/T 1285-2018 爆炸和火灾危险场所雷电应急处置规范5.5.2.2敏感信息的访问权限
敏感信息操作者应在授权范围内对敏感信息进行访问。在访问者未获得授权的情况下,应禁止该访 间者对敏感信息的访问,且应对访问者采取的安全措施应至少包含但不限于如下中的一项或几项措施的 组合: 告警: