标准规范下载简介
DB44/T 2189.3-2019 移动终端信息安全 第3部分:敏感信息风险评估.pdfDB44/T 2189. 32019
nformataion security of mobile terminalPart3:Risk evaluationfor sensitive information
JGJ312-2013医疗建筑电气设计规范.pdf省市场监督管理局 发
DB44/T 2189.32019
范围 规范性引用文件, 术语和定义 概述 移动终端敏感信息风险评估模型 5.1敏感信息风险要素 5.2敏感信息风险分析示意图 5.3敏感信息风险评估实施流程 敏感信息风险要素识别 6.1敏感信息生成的风险要素识别 6.2敏感信息存储的风险要素识别 6.3敏感信息加工的风险要素识别 6.4敏感信息转移的风险要素识别, 6.5敏感信息应用的风险要素识别... 6.6敏感信息废止与删除的风险要素识别 敏感信息风险评估实施 7.1风险评估的准备 7.2资产识别.. 7.2.1资产分类 7.2.2资产赋值 7.3威胁识别 7. 3. 1 总则 7.3.2威胁识别分类 7.3.3威胁赋值 7.4脆弱性识别, 7.4.1脆弱性识别分类 7.4.2脆弱性赋值 7.5已有安全措施的确认 敏感信息风险分析 8.1风险分析原理, 8.2风险分析过程, 10 8.2.1风险计算方法 8.2.2风险等级赋值
DB44/T2189.3—2019 8.3风险处理 8.4残余风险评估 1 9敏感信息风险评估文档, 参考文献 12
DB44/T 2189.32019
DB44/T 2189.32019
第3部分:敏感信息风险评估
第3部分:敏感信息风险讠
本部分规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶 险评估实施流程、评估内容和评估方法。 本部分适用于移动通信网的智能手机和平板电脑设备,
5移动终端敏感信息风险评估模型
5.1敏感信息风险要素
5.2敏感信息风险分析示意图
DB44/T 2189.3—2019
5.3敏感信息风险评估实施流程
T/CECS10116-2021 湿气固化型缓粘结预应力筋用粘合剂.pdf6敏感信息风险要素识别
6.1敏感信息生成的风险要素识别
图1敏感信息风险分析示意图
生成阶段风险评估应能够描述预期使用的敏感信息,包括预期使用的敏感信息的重要性、潜在的价 可能的使用限制、对现有信息主体的作用,并根据其作用确定风险评估应达到的安全目标。 在本阶段评估中,敏感信息资产根据以下方面进行分类与识别: a)敏感信息的信息主体; b)敏感信息的具体内容和存留时间; c)敏感信息的标识。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别: a)敏感信息生成的目的; 敏感信息标记的方式: 敏感信息生成过程中已有的安全措施; d 敏感信息生成阶段的审计记录
6.2敏感信息存储的风险要素识别
存储阶段风险评估应能够描述移动终端敏感信息的存储过程,并根据其过程确定风险评估应达到的 目标。 在本阶段评估申,敏感信息资产根据以下方面进行分类与识别: a)敏感信息存储的时间; 敏感信息存储的内容; C 敏感信息存储的物理介质; 敏感信息存储的操作者权限。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别: a)敏感信息根据安全级别在移动终端的分级存储:
DB44/T 2189.32019
b) 移动终端的安全域隔离运行环境; 敏感信息在存储时进行的完整性校验; 敏感信息在存储时选择的加密方式; 敏感信息存储在移动终端时的调用方式; 敏感信息存储在移动终端时的远程保护方式,包括远程数据锁定能力及远程彻底删除数据能 力; g) 敏感信息在移动终端存储的转移与备份能力,包括远程网络备份能力及移动终端外围接口的转 移与备份能力: h 敏感信息在存储过程中已有的安全措施; i 敏感信息在存储阶段的审计记录。
纤维增强聚氯乙烯弹性运动地板6.3敏感信息加工的风险要素识别