ICS35030

CCSL.80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T41817—2022

信息安全技術(shù)個(gè)人信息安全工程指南

Informationsecuritytechnology—Guidelinesforpersonalinformationsecurity

engineering

2022-10-12發(fā)布2023-05-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T41817—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………2

總則

5………………………2

個(gè)人信息安全工程原則

5.1……………2

個(gè)人信息安全工程目標(biāo)

5.2……………2

個(gè)人信息安全工程階段

5.3……………3

個(gè)人信息安全工程準(zhǔn)備

5.4……………3

個(gè)人信息安全工程需求階段

6……………3

描述

6.1…………………3

輸入

6.2…………………4

角色與職責(zé)

6.3…………………………4

主要活動(dòng)

6.4……………4

輸出

6.5…………………5

個(gè)人信息安全工程設(shè)計(jì)階段

7……………5

描述

7.1…………………5

輸入

7.2…………………5

角色與職責(zé)

7.3…………………………5

主要活動(dòng)

7.4……………5

輸出

7.5…………………7

個(gè)人信息安全工程開(kāi)發(fā)階段

8……………7

描述

8.1…………………7

輸入

8.2…………………7

角色與職責(zé)

8.3…………………………7

主要活動(dòng)

8.4……………7

輸出

8.5…………………8

個(gè)人信息安全工程測(cè)試階段

9……………9

描述

9.1…………………9

輸入

9.2…………………9

角色與職責(zé)

9.3…………………………9

主要活動(dòng)

9.4……………9

輸出

9.5…………………10

Ⅰ

GB/T41817—2022

個(gè)人信息安全工程發(fā)布階段

10…………10

描述

10.1………………10

輸入

10.2………………10

角色與職責(zé)

10.3………………………10

主要活動(dòng)

10.4…………………………10

輸出

10.5………………11

附錄資料性常見(jiàn)個(gè)人信息安全設(shè)計(jì)參考要點(diǎn)

A()……………………12

附錄資料性常見(jiàn)個(gè)人信息安全默認(rèn)配置參考要點(diǎn)

B()………………15

參考文獻(xiàn)

……………………16

Ⅱ

GB/T41817—2022

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任

。。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本文件起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院華為技術(shù)有限公司北京百度網(wǎng)訊科技有限公司

:、、、

深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司阿里巴巴北京軟件服務(wù)有限公司聯(lián)想北京有限公司螞蟻科技

、()、()、

集團(tuán)股份有限公司上海市方達(dá)北京律師事務(wù)所北京京東尚科信息技術(shù)有限公司北京三快科技有

、()、、

限公司中國(guó)銀行股份有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司微軟中國(guó)有限公司全知科技

、、、()、

杭州有限責(zé)任公司北京奇虎科技有限公司北京字節(jié)跳動(dòng)科技有限公司貝殼找房北京科技有限

()、、、()

公司北京小桔科技有限公司勤智數(shù)碼科技股份有限公司陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心西安電子

、、、、

科技大學(xué)北京郵電大學(xué)上海工業(yè)控制安全創(chuàng)新科技有限公司華東師范大學(xué)浙江鵬信信息科技股份

、、、、

有限公司

。

本文件主要起草人劉賢剛胡影徐羽佳范為孫碩郭鐵濤李汝鑫賈雪飛王昕王佳敏蘇丹

:、、、、、、、、、、、

白曉媛武楊趙冉冉楊建媛嚴(yán)少敏劉笑岑羅治兵陳雪秀白陽(yáng)周晨煒劉行王姣王秉政閔京華

、、、、、、、、、、、、、、

王勁松章婭瑋張冰燁張屹劉凱紅張朝衣強(qiáng)孫鐵李正李俊裴慶祺魏玉峰朱通鄧婷孫彥

、、、、、、、、、、、、、、、

陳舒張宇光徐國(guó)愛(ài)蒲戈光劉虹陳銘松鄒楠

、、、、、、。

Ⅲ

GB/T41817—2022

引言

為規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)個(gè)人信息處理活動(dòng)最大程度保障用戶個(gè)人信息權(quán)益業(yè)界陸續(xù)提出個(gè)人信

,,

息安全措施與產(chǎn)品和服務(wù)同步規(guī)劃同步建設(shè)同步使用的理念例如歐盟通用數(shù)據(jù)保護(hù)條例規(guī)定

、、。,《》

在產(chǎn)品設(shè)計(jì)階段要考慮個(gè)人信息保護(hù)要求同時(shí)產(chǎn)品默認(rèn)設(shè)置也要最大程度保護(hù)用戶個(gè)人信息這不

,。

僅有助于主動(dòng)防御個(gè)人信息安全風(fēng)險(xiǎn)也便于預(yù)防侵害用戶個(gè)人信息權(quán)益事件發(fā)生

,。

本文件根據(jù)個(gè)人信息保護(hù)法律法規(guī)和政策標(biāo)準(zhǔn)要求結(jié)合國(guó)內(nèi)外在隱私工程方面的實(shí)踐經(jīng)驗(yàn)給出

,,

了具有處理個(gè)人信息功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)在規(guī)劃和建設(shè)階段的個(gè)人信息安全工程實(shí)施指南為幫助

,

網(wǎng)絡(luò)產(chǎn)品和服務(wù)提升個(gè)人信息保護(hù)能力提供工程化指引

。

Ⅳ

GB/T41817—2022

信息安全技術(shù)個(gè)人信息安全工程指南

1范圍

本文件提出了個(gè)人信息安全工程的原則目標(biāo)階段和準(zhǔn)備提供了網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求設(shè)計(jì)

、、,、、

開(kāi)發(fā)測(cè)試發(fā)布階段落實(shí)個(gè)人信息安全要求的工程化指南

、、。

本文件適用于涉及個(gè)人信息處理的網(wǎng)絡(luò)產(chǎn)品和服務(wù)含信息系統(tǒng)為其同步規(guī)劃同步建設(shè)個(gè)人信

(),、

息安全措施提供指導(dǎo)也適用于組織在軟件開(kāi)發(fā)生存周期開(kāi)展隱私工程時(shí)參考

,。

注在不引起混淆的情況下本文件中的網(wǎng)絡(luò)產(chǎn)品和服務(wù)簡(jiǎn)稱(chēng)為產(chǎn)品服務(wù)

:,“”“”。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2022

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南

GB/T39335—2020

信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集個(gè)人信息基本要求

GB/T41391—2022(App)

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2022。

31

.

個(gè)人信息安全工程personalinformationsecurityengineering