GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南.pdf

GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:10.9 M
标准类别:电力标准
资源ID:368573
下载资源

标准规范下载简介

GB/T 41574-2022 信息技术 安全技术 公有云中个人信息保护实践指南.pdf

9.2.3特许访问权管理

9.2.4用户的秘密鉴别信息管理

9.2.5用户访问权的评审

JGT289-2010 混凝土结构加固用聚合物砂浆.pdfGB/T22081—2016中9.2.5规定的控

GB/T22081—2016中9.2.5规定的控

9.2.6访问权的移除或调整

B/T22081一2016中9.2.6规定的控制措施、实现指南和其他信息适用。

GB/T22081—2016中9.3规定的目标适用。

9.3.1秘密鉴别信息的使用

9.4系统和应用访问控制

GB/T22081一2016中9.4规定的且标适用。

9.4.1信息访问限制

息访问限制的额外控制措施和指南见B.7.13

9.4.2安全登录规程

GB/T22081一2016中9.4.2规定的控制措施、实现指南和其他信息适用。以下特定应用指南也 适用。 公有云个人信息保护实现指南 需要时,公有云个人信息处理者宜向云服务客户控制下的云服务用户请求的任何账户提供安全登 录程序

GB/T22081一2016中9.4.2规定的控制措旗 适用。 公有云个人信息保护实现指南 需要时,公有云个人信息处理者宜向云服务客户控制下的云服务用户请求的任何账户提供安全登 最程序

9.4.3口令管理系统

GB/T22081一2016中9.4.3规定的控制措施、实现指南和其他信息适用

GB/T22081一2016中9.4.3规定的控制措施、实现指南和其他信息适用

9.4.4特权实用程序的使用

9.4.5程序源代码的访问控制

10.1.1密码控制的使用策略

GB/T 415742022

10.1.2 密钥管理

GB/T22081一2016中11.1规定的且标和内容适用

11.2.1设备安置和保护

11.2.2支持性设施

[11.2.3布织安全

一2016中11.2.3规定的控制措施和实现指南适

GB/T 415742022

GB/T 415742022

2081一2016中11.2.4规定的控制措施和实现指

11.2.5资产的移动

GB/T22081一2016中11.2.5规定的控制措施、实现指南和其他信息适用

11.2.6组织场所外的设备与资产安全

11.2.7设备的安全处置或再利用

GB/T22081一2016中11.2.7规定的控制措施、实现指南和其他信息适用。以下特定应用指南也 适用。 公有云个人信息保护实现指南 出于安全处置或再利用的目的,可能包含个人信息的存储介质宜视为包含个人信息的设备。 注:有关设备安全处置或再利用的额外控制措施和指南见B.7.13。

11.2.8无人值守的用户设备

11.2.9清理桌面和屏幕策略

GB/T22081一2016中11.2.9规定的控制措施、实

12.1运行规程和责任

GB/T22081一2016中12.1规定的目标适用

12.1.1文件化的操作规程

[2.1.2 变更管理

2081一2016中12.1.3规定的控制措施、实现指南

12.1.4开发、测试和运行环境的分离

GB/T22081一2016中12.1.4规定的控制措施、实现指南和其他信息适用。 指南证 适用。 公有云个人信息保护实现指南 出于测试目的使用个人信息时,宜进行风险评估,且宜实施技术措施和组织措施降低已识别的 风险。

GB/T22081一2016中12.1.4规定的控制措施、实现指南和其他信息适用, 适用。 公有云个人信息保护实现指南 出于测试目的使用个人信息时,宜进行风险评估,且宜实施技术措施和组织措施降低已识别的 风险

GB/T220812016中12.3规定的目标适用。

GB/T41574—2022

GB/T22081一2016中12.3.1规定的控制措施、多 应用指南也 适用。 公有云个人信息保护实现指南 基于云计算模型的信息处理系统为异地备份引入了额外或替代机制,以防止数据丢失,并确保数据 处理操作的连续性以及提供在发生破坏性事态后恢复数据处理操作的能力。为了备份和(或)恢复,宜 在不同的物理和(或)逻辑位置上(可以在自身信息处理系统内)创建或维护多个数据副本。 云服务客户可能承担备份和(或)恢复责任,但当公有云个人信息处理者明确向云服务客户提供备 份和恢复服务时,公有云个人信息处理者宜向云服务客户提供其备份和恢复服务的明确信息。 宜制定备份和恢复程序,保证在破坏性事态发生后的规定时间内恢复数据。 宜按规定的频率评审备份和恢复程序。 本文件中适用于分包处理个人信息的控制措施涵盖了使用分包商存储所处理数据复制副本或备份 副本的情况。本文件中的控制措施也涵盖了使用物理介质传输个人信息的情况。 公有云个人信息处理者宜制定策略,以满足信息备份及擦除备份信息中包含的个人信息的其他要 求[例如,合同和(或)法律规定的要求]。

GB/T22081一2016中12.4规定的目标适用

GB/T22081一2016中12.4.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也 适用。 公有云个人信息保护实现指南 宜建立流程,按规定的周期评审事态日志,识别违规行为并提出补救措施。 在可能的情况下,事态日志宜记录个人信息是否因某个事态而更正(添加、修改或删除),以及由谁 更正。若多个云服务提供者提供云计算参考架构中定义的不同类别的服务,则在实现本文件时可能会 出现不同的角色或共享的角色。 公有云个人信息处理者宜制定关于是否、何时,以及如何向云服务客户提供日志信息的规则。同 时,这些规则宜对云服务客户有效。 若允许云服务客户访问由公有云个人信息处理者控制的日志记录,则公有云个人信息处理者宜确 保云服务客户仅能访问与其相关的活动,而不能访问其他云服务客户的日志记录。

12.4.2日志信息的保护

GB/T22081一2016中12.4.2规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 因安全监控和运行诊断等目的而记录的日志信息可能包含个人信息。宜采取诸如控制访间(贝

T22081一2016中12.4.2规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 个人信息保护实现指南 安全监控和运行诊断等目的而记录的日志信息可能包含个人信息。宜采取诸如控制访问(见

9.2.3)的措施,确保日志信息仅用于预期目的

12.4.3管理员和操作员日志

GB/T22081一2016中12.4.3规定的控制措施、实现指南和其他信息适用

12.6技术方面的脆弱性管理

GB/T22081一2016中12.6规定的自标和内容适用

GB/T22081一2016中12.6规定的自标和内容适用。

12.7信息系统审计的考虚

GB/T220812016中12.7规定的目标和内容

T22081—2016中13.1规定的目标和内容适用

GB/T22081—2016中13.2规定的目标适用。

13.2.1信息传输策略和规程

GB/T22081一2016中13.2.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 使用物理介质传输信息时,宜建立一个系统记录传入传出物理介质的相关信息。这些信息包括物 理介质的类型、被授权的发送方/接收方、日期和时间,以及物理介质的数量。在可能的情况下,宜要求 云服务客户采取额外措施(例如,加密 传输过程中访问数据

13.2.2信息传输协议

GB/T22081一2016中13.2.2规定的控制措施、实现指南和其他信息适用。

13.2.3电子消息发送

GB/T22081一2016中13.2.3规定的控制措施、实现

13.2.4保密或不披塞协议

GB/T22081一2016中13.2.4规定的控制措施、实现指南和其他信息适用。 注:保密或不披露协议的额外控制措施和指南可在B.7.1中找到。

GB/T22081一2016中13.2.4规定的控制措施、实现指南和其他信息适用。 注:保密或不披露协议的额外控制措施和指南可在B.7.1中找到。

14系统获取、开发和维护

GB/T22081—2016中第14章规定的目标和内容适用。

GB/T 415742022

16.1.1责任和规程

16.1.2报告信息安全事态

GB/T22081一2016中16.1.2规定的控制措施、实现指南和其他

GB/T22081一2016中16.1.2规定的控制措施、实现指南和其他

16.1.3报告信息安全弱点

16.1.4信息安全事态的评估和决策

GB/T22081一2016中16.1.5规定的控制措施、实现指南和其他信息适用。

GB/T22081一2016中16.1.6规定的控制措施、实现指南和其他信息适用。

16.1.7证据的收集

2081一2016中16.1.7规定的控制措施、实现指南

17业务连续性管理的信息安全方面

18.1符合法律和合同要求

GB/T22081一2016中18.1规定的目标和内容适用 和相关指南见B.2

GB/T220812016中18.2规定的目标适用

18.2.1信息安全独立评审

GB/T22081一2016中18.2.1规定的控制措施、实现指南和其他信息适用。以下特定应用指南也适用。 公有云个人信息保护实现指南 若单个云服务客户的审计不切实际或可能增加安全风险(见0.1),则公有云个人信息处理者宜在签 订合同前和合同期内向潜在的云服务客户提供独立证据,证明信息安全符合公有云个人信息处理者的 策略和规程。通常情况下,公有云个人信息处理者选择的独立审计是一种可接受的方式。在保证足够 透明的前提下,独立审计可以满足云服务客户评审公有云个人信息处理者处理操作的要求。

18.2.2符合安全策略和标准

GB/T22081一2016中18.2.2规定的控制措施、实现指南和其他信息适用

18.2.3技术符合性评审

GB/T22081一2016中18.2.3规定的控制措施、实现指南和其他1

表A.1给出了本文件与ISO/IEC27018:2019结构编号对照一览表。

GB/T 415742022

本文件与ISO/IEC27018.2019结构编号对照情

表A.1本文件与ISO/IEC27018:2019结构编号对照情况(续)

云个人信息处理者保护个人信息的扩展控制措放

B.2.1包含个人信息的数据失陷告知

若未经授权访问个人信息或处理个人信息的设备设施导致个人信息丢失、泄露或变更,则公有 信息处理者宜立即告知相关云服务客户

3.2.2行政安全策略和指南的保留期

安全策略和操作规程副本宜在规定的替换(包括更新)周期内保留。 公有云个人信息保护实现指南 客户争议处理和配合个人信息保护机构调查时,可能需要评审当前和以往的策略和规程。若法律 或合同无明确要求,则安全策略和规程的最短保留期宜为五年

江苏省燃气管理条例(2020年1月江苏省第十三届人民代表大会常务委员会第十三次会议通)B.2.3个人信息返回转让和处置

、转让和(或)处置的策略,并对云服务客户有效。 公有云个人信息保护实现指南 在某个时间点,公有云个人信息处理者可能需要以某种形式处理个人信息。这些处理包括将 言息返回给云服务客户,将个人信息转让给其他个人信息处理者或个人信息控制者(例如,合并)

)处置的策略,并对云服务客户有效。 人信息保护实现指南 其个时间点,公有云个人信息处理者可能需要以某种形式处理个人信息。这些处理包括将个人 回给云服务客户,将个人信息转让给其他个人信息处理者或个人信息控制者(例如,合并),将个

GB/T 41574—2022

B.3.1公有云个人信息处理者的目的

不宜独立于云服务客户指示的任何其他目的处理合同约定的个人信息。 公有云个人信息保护实现指南 这些指示可能包含在公有云个人信息处理者和云服务客户的合同中,例如,服务要实现的目标和完 成时限。 为达到云服务客户的目的,公有云个人信息处理者可能从技术角度决定处理云服务客户个人信息 的方式。这些决定符合云服务客户的通用指示,但没有云服务客户的专用指示。例如,为有效利用网络 能力或处理能力,可能有必要根据个人信息主体的某些特性来分配处理资源。公有云个人信息处理者 确定的个人信息处理方法涉及个人信息的收集和使用时,公有云个人信息处理者宜遵循GB/T35273一 2020中规定的个人信息保护原则。 公有云个人信息处理者宜及时向云服务客户提供所有相关信息,以便云服务客户确保公有云个人 信息处理者的操作遵循目的规范和限制原则,同时确保公有云个人信息处理者或者其分包商没有独立 于公有云客户指示处理个人信息。

柳州市真龙花园10#、11#、12楼工程施工用电专项施工组织设计B.3.2公有云个人信息处理者的商业使用

未经明确同意,公有云个人信息处理者不宜将合同约定处理的个人信息用于营销和广告。此类同 意不宜成为使用其服务的条件。

B.4.1个人信息分包处理的披露

©版权声明
相关文章