标准规范下载简介
T/CHEAA 0001.2-2020 智能家电云云互联互通 第2部分:信息安全技术要求与评估方法.pdf检查信息安全策略与规程等相关文档,查看其是否对用户数据和归属合作平台的数据的 使用、披露流程、例外情况做了详细的说明,使用和披露包括应当有严格的权限控制机 制,任何未获授权的使用和披露均不能执行,满足则符合要求; 例外情况包括在国家有关机关依法查询或调阅用户数据的情况下,可以越权使用和披露 相关数据,满足则符合要求。
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
GB/T 1844.2-2022 塑料 符号和缩略语 第2部分:填料和增强材料.pdf6.2.3.3平台数据使用权限说明
6.2.3.3.1数据的披露
述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.2.3.3.2数据的删除
T/CHEAA 0001.2—2020
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
6.2.3.3.3数据的访问控制
上述评估结果均符合要求则判定结果为符合, 其他情况判定结果为不符合。
6.2.4明确责任部门和人员
6.2.4.1负责人责任
T/CHEAA 0001.2—2020
作提供人力、财力、物力保障等,满足则符合要求。 b) 结果判定: 上述评估结果均符合要求则判定结果为符合,其他
6.2.4.2接口人责任
检查信息安全策略与规程等相关文档,查看是否定义了云平台对接的安全接口人与备用 接口人,是否定义了相关人员的职责,满足则符合要求; 2 访谈定义的云平台安全接口人与备用接口人,询问是否收到过相应的策略与规程,是否 知晓其相应的职责,满足则符合要求。
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.2.5.2责任方职责
述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
6.2.6.1义务和权利
T/CHEAA 0001.2—2020
6.2.6.2重大影响通告
上述评估结果符合要求则判定结果为符合,其他情况判定结果为不符合。
6.2.6.3法律义务通告
述评估结果符合要求则判定结果为符合,其他情况判定结果为不符合
6.2.7持续改进评估方法
6.3.1数据生产和收集
6.3.1数据生产和收集
检查数据隐私政策等相关文档,查看其是否包含了对数据收集与数据处理等行为的法律 依据说明,查看其是否明确了相对应行为的法律责任,同时是否明确了相对应的安全的 数据处理措施,满足则符合要求; 访谈法务等相关人员,询问其是否知晓公司在对用户数据收集与数据处理方面的行为与 相对应的法律责任,是否知晓对应的安全的数据的处理措施,知晓则符合要求。
上述评估结果均符合要求则判定结果为符合, 其他情况判定结果为不符合。
6.3.1.1.2用户授权
1)检查信息安全策略与规程等相关文档,查看其是否有敏感操作授权策略,满足则符合要 求; 1 检查对应策略,查看其是否规定了应通过有效的渠道获取信息主体的授权,不允许超过 信息主体授权行为以外的数据收集和操作,满足则符合要求; 访谈安全管理员等相关人员,要求其演示在对用户信息进行收集与操作时,是否经过信 息主体授权,经过信息主体授权则符合要求。
1)检查信息安全策略与规程等相关文档,查看其是否有敏感操作授权策略,满足则符合要 求; 2) 检查对应策略,查看其是否规定了应通过有效的渠道获取信息主体的授权,不允许超过 信息主体授权行为以外的数据收集和操作,满足则符合要求; 访谈安全管理员等相关人员,要求其演示在对用户信息进行收集与操作时,是否经过信 息主体授权,经过信息主体授权则符合要求。
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.3.1.1.3用户权限保随
1)检查个人权利处理政策等相关文档,检查其是否对用户所属的权利做了详细说明,说明 应包含用户何时行使该权利、用户行使该权利的方式、如何支持用户行使该权利等,满 足则符合要求: 访谈安全管理员等相关人员,询问用户行使相应权利时双方所做的工作,确认是否满足 对用户权利的保障,满足则符合要求。
6.3.1.1.4数据最小化
1)检查数据隐私政策等相关文档,查看其是否列出了收集用户数据的类型,满足则符合要 求; 2) 访谈安全管理员等相关人员,询问列出的每个收集的用户数据类型的用途和场景,以及 数据在存储、请求、提供、传递等服务过程中,使用了哪些用户数据,确认是否满足数 据最小化原则,满足则符合要求
检查数据隐私政策等相关文档,查看其是否列出了收集用户数据的类型,满足则符合要 求; 访谈安全管理员等相关人员,询问列出的每个收集的用户数据类型的用途和场景,以及 数据在存储、请求、提供、传递等服务过程中,使用了哪些用户数据,确认是否满足数 据最小化原则,满足则符合要求
6. 3. 1. 1. 5 数据分类
T/CHEAA 0001.2—2020
1)检查信息安全策略与规程等相关文档,查看其是否定义了个人数据和平台信息数据,满 足则符合要求; 2 访谈安全管理员等相关人员,询问其是否按定义对个人数据和平台信息数据做了分类 以及如何实现该分类,满足则符合要求。
上述评估结果均符合要求则判定结 他情况判定结果为不符合。
6.3.1.2用户权限
6.3.1.2.1知情权
)检查数据隐私政策等相关文件,查看其是否规定了信息收集主体及其所提供服务的基本 情况、要收集的数据及这些数据的用途、用户所享有的权力信息等,满足则符合要求; 访谈安全部门相关人员,询问用户在何时以何种方式可以阅读到隐私政策,检查隐私政 策是否放在显眼的位置,是否需要用户手动点击已阅读,满足则符合要求。
6.3.1.2.2选择权
访谈安全管理员等相关人员,要求其演示在收集数据时是否明确告知用户并征求用户同 意,在用户选择拒绝后是否仅不提供该数据相关的服务而其他服务应照常提供,满足则符合 要求。
上述评估结果符合要求则判定结果为符合,其他情况判定结果为不符合。
6.3.1.2.3处置权
结果均符合要求则判定结果为符合,其他情况
T/CHEAA 0001.2—202C
6. 3. 2. 1 数据展示
检查信息安全策略与规程等相关文档,查看其是否有敏感数据脱敏策略,满足则符合要 求; 2 检查敏感数据脱敏策略,查看其是否有规定对外展示的个人信息要做脱敏处理,满足则 符合要求; 访谈安全管理员等相关人员,要求其演示对需展示的个人信息是否采取去标识化处理等 措施,确认个人信息在展示环节的安全,满足则符合要求。
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.3.2.2数据审计
检查审计策略与规程等相关文档,查看其是否定义了自动化数据库操作审计记录行为, 以及对可能有风险的操作的审批流程,满足则符合要求: 检查数据库操作审计记录,查看其是否与定义的操作审计记录行为一致,一致则符合要 求; 检查有风险操作的审批流程,查看是否与定义的审批流程一致,满足则符合要求。 结果判定: 上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
检查审计策略与规程等相关文档,查看其是否定义了自动化数据库操作审计记录行为 以及对可能有风险的操作的审批流程,满足则符合要求: 检查数据库操作审计记录,查看其是否与定义的操作审计记录行为一致,一致则符合要 求; 检查有风险操作的审批流程,查看是否与定义的审批流程一致,满足则符合要求。 结果判定: 上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.3.3.1数据存储
检查信息安全策略与规程等相关文档,查看其是否规定了对敏感数据进行集中地分布式 存储、统一监控管理、通过VPC隔离,是否有隐私信息策略,是否对隐私信息做了定义, 满足则符合要求; 访谈安全管理员等相关人员,询问其实际中是否对敏感数据进行了集中地分布式存储、 是否进行了统一监控管理、是否通过VPC隔离,满足则符合要求。 检查数据库加密机制,查看其是否根据隐私信息的定义对所有隐私信息进行加密或 hash后存储,满足则符合要求,
1)检查信息安全策略与规程等相关文档,查看其是否规定了对敏感数据进行集申地分布式 存储、统一监控管理、通过VPC隔离,是否有隐私信息策略,是否对隐私信息做了定义 满足则符合要求; 访谈安全管理员等相关人员,询问其实际中是否对敏感数据进行了集中地分布式存储 是否进行了统一监控管理、是否通过VPC隔离,满足则符合要求。 检查数据库加密机制,查看其是否根据隐私信息的定义对所有隐私信息进行加密或 hash后存储,满足则符合要求。
6.3.3.2数据传输
T/CHEAA 0001.2—2020
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合。
6.3.3.3数据备份
1)检查容灾备份计划,查看其是否有异地容灾备份的说明,满足则符合要求; 2)访谈安全管理员等相关人员,询问云服务是否采用分布式架构,所有业务服务器是否同 时部署在多个不同的机房,数据是否同时存放两个以上机房并实时备份,满足则符合要 求。
访谈安全管理员等相关人员,询问云服务是否采用分布式架构,所有业务服务器是否同 时部署在多个不同的机房,数据是否同时存放两个以上机房并实时备份,满足则符合要 求。
6. 3. 3. 4 存储时间
1)访谈安全管理员等相关人员,询问是否有对个人敏感信息提供保护的机制,满足则符合 要求; 检查个人敏感信息保存机制说明文档,查看对用户个人敏感信息的保存期限,确认保存 期限是否不超过1年,查看其是否有数据删除与销毁策略,满足则符合要求; 3) 检查数据删除与销毁策略,查看其是否规定了删除和销毁数据的流程与方法,满足则符 合要求; 检查具有法律效力的合作合同与其附属条款,查看其是否规定了在服务期届满、服务提 前终止时,可以按照平台约定的缓冲期内继续存储对方平台的用户数据,缓冲期不超过 7天,平台应在7天缓冲期后执行删除所有相关用户数据的操作,包括缓存或者备份的 副本,满足则符合要求。
访谈安全管理员等相关人员,询问是否有对个人敏感信息提供保护的机制,满足则符合 要求; 检查个人敏感信息保存机制说明文档,查看对用户个人敏感信息的保存期限,确认保存 期限是否不超过1年,查看其是否有数据删除与销毁策略,满足则符合要求; 检查数据删除与销毁策略,查看其是否规定了删除和销毁数据的流程与方法,满足则符 合要求; 检查具有法律效力的合作合同与其附属条款,查看其是否规定了在服务期届满、服务提 前终止时,可以按照平台约定的缓冲期内继续存储对方平台的用户数据,缓冲期不超过 7天,平台应在7天缓冲期后执行删除所有相关用户数据的操作,包括缓存或者备份的 副本,满足则符合要求。
述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
6.3.4.1销毁策略
1 检查信息安全策略与规程等相关文件,查看其是否有数据删除与销毁策略,满足则符合 要求; 检查数据删除与销毁策略,查看策略中是否包含了对云主机内部的数据以及实体介质的 数据的删除与销毁,满足则符合要求; 3 访谈安全管理员等相关人员,询问是否发生过数据销毁记录。 1 检查删除与销毁数据过程记录(如有),查看其是否明确记录了数据删除与销毁的过程, 满足则符合要求; 检查删除与销毁数据的审批记录(如有),查看其是否明确记录了数据删除与销毁的审 批过程,满足则符合要求。
1)检查信息安全策略与规程等相关文件,查看其是否有数据删除与销毁策略,满足则符合 要求; 2) 检查数据删除与销毁策略,查看策略中是否包含了对云主机内部的数据以及实体介质的 数据的删除与销毁,满足则符合要求; 3 访谈安全管理员等相关人员,询问是否发生过数据销毁记录。 检查删除与销毁数据过程记录(如有),查看其是否明确记录了数据删除与销毁的过程, 满足则符合要求; 检查删除与销毁数据的审批记录(如有),查看其是否明确记录了数据删除与销毁的审 批过程,满足则符合要求。
T/CHEAA 0001.2—2020
T/CHEAA 0001.2—202C
利定: 平估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
上述评估结果均符合要求则判定结果为符合,其他情况判定结果为不符合
DB11/T 646.3-2016 城市轨道交通安全防范系统技术要求 第3部分:实体防护与入侵报警子系统.pdf6.3.4.2法律责任
评估方法: 检查具有法律效力的合作合同与其附属条款,查看其是否规定了在违约未销毁数据的情 况下,应承担的法律责任,满足则符合要求,
检查具有法律效力的合作合同与其附属条款,查看其是否规定了在违约未销毁数据的情 况下,应承担的法律责任,满足则符合要求, b)结果判定: 上述评估结果符合要求则判定结果为符合,其他情况判定结果为不符合
上述评估结果符合要求则判定结果为符合,其他情况判定结果为不符合。
相关法规、标准、认证规则
人证规则,为了保障互联双方具有能力共同保障互联业务的信息安全,云云互联双方应基于
A.2国内相关标准和认证规则
DBJ/T15-135-2018 广东省足球场地规划标准A.3国际相关法规、标准、认证规则 IS015408信息技术安全评估准则 b) IS027001信息安全标准 c) IS027017云服务安全标准 d) IS027018云服务隐私保护操作规范 e) CSASTAR云安全保障认证 F 欧盟一般数据保护条例(GDPR)