ICS35030

CCSL.80

中華人民共和國國家標準

GB/T41574—2022

信息技術安全技術

公有云中個人信息保護實踐指南

Informationtechnology—Securitytechniques—Codeofpracticefor

protectionofpersonalinformationinpublicclouds

ISO/IEC270182019Informationtechnolo—Securittechniues—

(:,gyyq

CodeofracticeforrotectionofersonallidentifiableinformationPIIin

pppy()

ubliccloudsactinasPIIrocessorsMOD

pgp,)

2022-07-11發布2023-02-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T41574—2022

目次

前言

…………………………Ⅴ

引言

…………………………Ⅶ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

本文件的結構

4.1………………………2

控制類別

4.2……………3

信息安全策略

5……………3

信息安全管理指導

5.1…………………3

信息安全策略

5.1.1…………………3

信息安全策略的評審

5.1.2…………4

信息安全組織

6……………4

內部組織

6.1……………4

信息安全的角色和責任

6.1.1………………………4

職責分離

6.1.2………………………4

與職能機構的聯系

6.1.3……………4

與特定相關方的聯系

6.1.4…………4

項目管理中的信息安全

6.1.5………………………4

移動設備和遠程工作

6.2………………4

人力資源安全

7……………4

任用前

7.1………………4

任用中

7.2………………5

管理責任

7.2.1………………………5

信息安全意識教育和培訓

7.2.2、……………………5

違規處理過程

7.2.3…………………5

任用的終止和變更

7.3…………………5

資產管理

8…………………5

訪問控制

9…………………5

訪問控制的業務要求

9.1………………5

用戶訪問管理

9.2………………………5

用戶注冊和注銷

9.2.1………………6

用戶訪問供給

9.2.2…………………6

特許訪問權管理

9.2.3………………6

用戶的秘密鑒別信息管理

9.2.4……………………6

用戶訪問權的評審

9.2.5……………6

Ⅰ

GB/T41574—2022

訪問權的移除或調整

9.2.6…………6

用戶責任

9.3……………6

秘密鑒別信息的使用

9.3.1…………6

系統和應用訪問控制

9.4………………6

信息訪問限制

9.4.1…………………6

安全登錄規程

9.4.2…………………6

口令管理系統

9.4.3…………………6

特權實用程序的使用

9.4.4…………7

程序源代碼的訪問控制

9.4.5………………………7

密碼

10………………………7

密碼控制

10.1……………7

密碼控制的使用策略

10.1.1…………7

密鑰管理

10.1.2………………………7

物理和環境安全

11…………………………7

安全區域

11.1……………7

設備

11.2…………………7

設備安置和保護

11.2.1………………7

支持性設施

11.2.2……………………7

布纜安全

11.2.3………………………7

設備維護

11.2.4………………………8

資產的移動

11.2.5……………………8

組織場所外的設備與資產安全

11.2.6………………8

設備的安全處置或再利用

11.2.7……………………8

無人值守的用戶設備

11.2.8…………8

清理桌面和屏幕策略

11.2.9…………8

運行安全

12…………………8

運行規程和責任

12.1……………………8

文件化的操作規程

12.1.1……………8

變更管理

12.1.2………………………8

容量管理

12.1.3………………………8

開發測試和運行環境的分離

12.1.4、………………8

惡意軟件防范

12.2………………………9

備份

12.3…………………9

信息備份

12.3.1………………………9

日志和監視

12.4…………………………9

事態日志

12.4.1………………………9

日志信息的保護

12.4.2………………9

管理員和操作員日志

12.4.3………………………10

時鐘同步

12.4.4……………………10

運行軟件控制

12.5……………………10

技術方面的脆弱性管理

12.6…………10

信息系統審計的考慮

12.7……………10

Ⅱ

GB/T41574—2022

通信安全

13………………10

網絡安全管理

13.1……………………10

信息傳輸

13.2…………………………10

信息傳輸策略和規程

13.2.1………………………10

信息傳輸協議

13.2.2………………10

電子消息發送

13.2.3………………10

保密或不披露協議

13.2.4…………10

系統獲取開發和維護

14、…………………11

供應商關系

15……………11

信息安全事件管理

16……………………11

信息安全事件的管理和改進

16.1……………………11

責任和規程

16.1.1…………………11

報告信息安全事態

16.1.2…………11

報告信息安全弱點

16.1.3…………11

信息安全事態的評估和決策

16.1.4………………11

信息安全事件的響應

16.1.5………………………11

從信息安全事件中學習

16.1.6……………………11

證據的收集

16.1.7…………………12

業務連續性管理的信息安全方面

17……………………12

符合性

18…………………12

符合法律和合同要求

18.1……………12

信息安全評審

18.2……………………12

信息安全獨立評審

18.2.1…………12

符合安全策略和標準

18.2.2………………………12

技術符合性評審

18.2.3……………12

附錄資料性本文件與結構編號對照情況

A()ISO/IEC27018:2019………………13

附錄規范性公有云個人信息處理者保護個人信息的擴展控制措施集

B()…………15

附錄資料性云服務提供者云服務客戶和云服務用戶的關系

C()、…………………21

參考文獻

……………………22

Ⅲ

GB/T41574—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技術安全技術個人可識別信息處理者在公

ISO/IEC27018:2019《(PII)

有云中保護的實踐指南

PII》。

本文件與相比在結構上有較多調整兩個文件之間的結構編號變化對照

ISO/IEC27018:2019,。

一覽表見附錄

A。

本文件與的技術差異及其原因如下

ISO/IEC27018:2019:

將術語個人可識別信息更改為個人信息并更改了定義與的

———“(PII)”“”,,GB/T35273—2020

術語和定義保持一致見的

(3.1,ISO/IEC27018:20193.2);

將術語控制者更改為個人信息控制者并更改了定義與的術語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.2,ISO/IEC27018:20193.3);

將術語主體更改為個人信息主體并更改了定義與的術語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.3,ISO/IEC27018:20193.4);

將術語處理者更改為個人信息處理者并更改了定義與的術語

———“PII”“”,,GB/T35273—2020

和定義保持一致見的

(3.4,ISO/IEC27018:20193.5);

將術語處理更改為個人信息處理并更改了定義與的術語和定

———“PII”“”,,GB/T35273—2020

義保持一致見的

(3.5,ISO/IEC27018:20193.6);

將表題中的更改為見表的表

———ISO/IEC27002GB/T22081(1,ISO/IEC27018:20191);

增加處理者委托分包商處理個人信息的建議與中關于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(5.1.1);

刪除公有云保護其他信息中法律法規對處理者和控制者不同要求的表述以符合我國

———“PII”,

標準化文件的起草規則見的

(ISO/IEC27018:20195.1.1);

刪除公有云保護其他信息中法律法規對處理者處罰的要求以符合我國標準化文件的

———“PII”,

起草規則見的

(ISO/IEC27018:20197.2.2);

增加采用密碼技術解決機密性完整性真實性不可否認性需求的要求見

———、、、(10.1.1);

增加處理者轉讓個人信息的建議與的相關條款保持一致見

———,GB/T35273—2020(B.2.3);

增加處理者向境外提供個人信息的建議以適應我國的技術條件便于本文件的應用見

———,,(

B.4.1、B.7.14);

增加處理者委托代理商處理個人信息的建議與中關于受委托

———,GB/T35273—20209.1c)2)

者的要求保持一致見

(B.7.1);

增加數據恢復日志包含信息的建議見

———(B.7.3);

刪除公有云保護實現指南中關于處理者告知義務的相關法律表述以符合我國標準化

———“PII”,

文件的起草規則見的

(ISO/IEC27018:2019A.10.1)。

本文件做了下列編輯性改動

:

為與現有標準系列一致將標準名稱更改為信息技術安全技術公有云中個人信息保護實

———,《

踐指南

》;

更改附錄中新增控制措施的分類原則與我國的個人信息保護原則保持一致見

———B,(B.1,

的

ISO/IEC27018:2019A.1);

Ⅴ

GB/T41574—2022

增加對脫鏈的解釋說明以提高條款的易讀性便于本文件的應用見注

———“”,,(B.2.31);

增加對消磁的解釋說明以提高條款的易讀性便于本文件的應用見注

———“”,,(B.2.32);

增加附錄資料性本文件與結構編號對照情況

———A()“ISO/IEC27018:2019”;

增加附錄資料性云服務提供者云服務客戶和云服務用戶的關系

———C()“、”;

刪除的注

———ISO/IEC27018:20199.2.1;

刪除的注

———ISO/IEC27018:201910.1.1;

刪除的注和注

———ISO/IEC27018:201912.3.112;

刪除的示例

———ISO/IEC27018:2019A.6.1;

刪除的注的第句

———ISO/IEC27018:2019A.11.31;

將本項控制措施和指南可歸入的其他原則改為公開透明原則與我國的個人信息保護原則

———“”,

保持一致見注的注

(B.2.33,ISO/IEC27018:2019A.10.3);

更改公有云保護實現指南中涉及收集和使用所遵循原則的表述與我國的個人信

———“PII”PII,

息保護原則保持一致見的

(B.3.1,ISO/IEC27018:2019A.3.1);

更改公有云保護實現指南中的控制者為云服務客戶以提高易讀性便于本文

———“PII”“PII”“”,,

件的應用見的

(B.8.1,ISO/IEC27018:2019A.2.1)。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會歸口

(SAC/TC260)。

本文件起草單位山東省標準化研究院杭州拓深科技有限公司中國網絡安全審查技術與認證中

:、、

心陜西省網絡與信息安全測評中心藝龍網信息技術北京有限公司中電長城網際系統應用有限公

、、()、

司北京錢袋寶支付技術有限公司國家工業信息安全發展研究中心騰訊云計算北京有限責任公司

、、、()、

陜西省信息化工程研究院中電數據服務有限公司上海市信息安全行業協會上海安言信息技術有限

、、、

公司安徽省電子產品監督檢驗所山東中測信息技術有限公司

、、。

本文件主要起草人王慶升尤其黨斌閔京華蘭安娜柳彩云王永霞張勇張博周亞超孫巖

:、、、、、、、、、、、

張軒銘靳倩王利強趙首花王愛義楊帆石磊黃磊王理冬趙倩倩馬卓元賈夢妮閆育蕓秦峰

、、、、、、、、、、、、、、

楊向東王法中許立前范正翔于秀彥劉勘偽吳博

、、、、、、。

Ⅵ

GB/T41574—2022

引言

01背景和環境

.

近年越來越多的云服務客戶使用云服務提供者的服務委托其進行個人信息處理

,,。

中規定了對接受委托處理一方中稱為受委托者本文

GB/T35273—2020(GB/T35273—20209.1“”,

件中的處理者即受委托者的要求本文件按照對處理者的要求提供了一種

“”“”)。GB/T35273—2020,

在公有云中保護個人信息的通用合規框架指導處理者開展公有云中個人信息處理操作

,。

公有云服務提供者通常需要依據與云服務客戶簽訂的合同并在雙方均遵守個人信息保護法律法

,

規相關要求的前提下開展服務對于個人信息保護的這些要求云服務提供者與云服務客戶是依據法

。,

律法規和它們之間的合同來確定的

。

當公有云服務提供者按照云服務客戶的要求處理個人信息時公有云服務提供者充當個人信息

,“

處理者的角色與公有云個人信息處理者有合同關系的云服務客戶是個人信息控制者在云計算

”?！啊?。

環境下個人信息控制者掌握個人信息的控制權其也具有處理和使用個人信息的權限個人信息控制

,,。

者與個人信息處理者均可處理個人信息但個人信息處理者作為受委托的一方只能執行個人信息控制

,,

者要求的個人信息處理操作和為實現個人信息控制者目標而進行的必要操作同時云服務客戶也可

。,

授權一個或多個云服務用戶使用其服務但這些服務僅限于云服務客戶與公有云個人信息處理者簽訂

,

合同中約定的可用服務

。

本文件旨在創建一組通用的控制類別和控制措施與中的信息安全控制目標和控制

,GB/T22081

措施結合使用由個人信息處理者來實現本文件的目的如下

,。:

幫助公有云個人信息處理者履行相應義務這些義務包括法律法規規定的直接義務及合同約

———,

定的其他義務

;

使公有云個人信息處理者在相關事務上保持透明便于云服務客戶選擇管理良好的基于云的

———,

個人信息處理服務

;

協助云服務客戶和公有云個人信息處理者簽訂合同協議

———;

在單個云服務客戶無法對托管在多方或虛擬化服務器云中的數據進行審計或者此類審計

———(),

可能增加現有物理和邏輯網絡安全控制風險的情況下為云服務客戶行使審計權力和承擔符

,

合性責任提供一種機制

。

本文件可為公有云服務提供者特別是跨國運營的公有云服務提供者提供一種通用的合規框架

,,。

02公有云計算服務的個人信息保護控制

.

在基于實施云計算信息安全管理體系的過程中公有云個人信息處理者可參考本文

GB/T22080,

件選擇個人信息保護控制措施本文件也可作為公有云個人信息處理者實施通用的個人信息保護控制

。

措施的指導文件尤其是本文件在的基礎上考慮了個人信息處理者所面臨的特定風險

。,GB/T22081,

環境

。

通常來說組織實施是為了保護自身的信息資產然而公有云個人信息處理者保護

,GB/T22080。,

的個人信息實際上是云服務客戶的信息資產因此由公有云個人信息處理者實施中的

,。,GB/T22081

Ⅶ

GB/T41574—2022

控制措施是合理的也是必要的同時為適應公有云計算環境中風險分散的特點并符合云服務客戶

,。,,

與公有云個人信息處理者之間的合同要求本文件增強了中的控制措施本文件通過以