GB/T 41817-2022信息安全技術個人信息安全工程指南

ICS35030

CCSL.80

中華人民共和國國家標準

GB/T41817—2022

信息安全技術個人信息安全工程指南

Informationsecuritytechnology—Guidelinesforpersonalinformationsecurity

engineering

2022-10-12發(fā)布2023-05-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T41817—2022

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

總則

5………………………2

個人信息安全工程原則

5.1……………2

個人信息安全工程目標

5.2……………2

個人信息安全工程階段

5.3……………3

個人信息安全工程準備

5.4……………3

個人信息安全工程需求階段

6……………3

描述

6.1…………………3

輸入

6.2…………………4

角色與職責

6.3…………………………4

主要活動

6.4……………4

輸出

6.5…………………5

個人信息安全工程設計階段

7……………5

描述

7.1…………………5

輸入

7.2…………………5

角色與職責

7.3…………………………5

主要活動

7.4……………5

輸出

7.5…………………7

個人信息安全工程開發(fā)階段

8……………7

描述

8.1…………………7

輸入

8.2…………………7

角色與職責

8.3…………………………7

主要活動

8.4……………7

輸出

8.5…………………8

個人信息安全工程測試階段

9……………9

描述

9.1…………………9

輸入

9.2…………………9

角色與職責

9.3…………………………9

主要活動

9.4……………9

輸出

9.5…………………10

Ⅰ

GB/T41817—2022

個人信息安全工程發(fā)布階段

10…………10

描述

10.1………………10

輸入

10.2………………10

角色與職責

10.3………………………10

主要活動

10.4…………………………10

輸出

10.5………………11

附錄資料性常見個人信息安全設計參考要點

A()……………………12

附錄資料性常見個人信息安全默認配置參考要點

B()………………15

參考文獻

……………………16

Ⅱ

GB/T41817—2022

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別專利的責任

。。

本文件由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位中國電子技術標準化研究院華為技術有限公司北京百度網(wǎng)訊科技有限公司

:、、、

深圳市騰訊計算機系統(tǒng)有限公司阿里巴巴北京軟件服務有限公司聯(lián)想北京有限公司螞蟻科技

、()、()、

集團股份有限公司上海市方達北京律師事務所北京京東尚科信息技術有限公司北京三快科技有

、()、、

限公司中國銀行股份有限公司中電長城網(wǎng)際系統(tǒng)應用有限公司微軟中國有限公司全知科技

、、、()、

杭州有限責任公司北京奇虎科技有限公司北京字節(jié)跳動科技有限公司貝殼找房北京科技有限

()、、、()

公司北京小桔科技有限公司勤智數(shù)碼科技股份有限公司陜西省網(wǎng)絡與信息安全測評中心西安電子

、、、、

科技大學北京郵電大學上海工業(yè)控制安全創(chuàng)新科技有限公司華東師范大學浙江鵬信信息科技股份

、、、、

有限公司

。

本文件主要起草人劉賢剛胡影徐羽佳范為孫碩郭鐵濤李汝鑫賈雪飛王昕王佳敏蘇丹

:、、、、、、、、、、、

白曉媛武楊趙冉冉楊建媛嚴少敏劉笑岑羅治兵陳雪秀白陽周晨煒劉行王姣王秉政閔京華

、、、、、、、、、、、、、、

王勁松章婭瑋張冰燁張屹劉凱紅張朝衣強孫鐵李正李俊裴慶祺魏玉峰朱通鄧婷孫彥

、、、、、、、、、、、、、、、

陳舒張宇光徐國愛蒲戈光劉虹陳銘松鄒楠

、、、、、、。

Ⅲ

GB/T41817—2022

引言

為規(guī)范網(wǎng)絡產(chǎn)品和服務個人信息處理活動最大程度保障用戶個人信息權益業(yè)界陸續(xù)提出個人信

,,

息安全措施與產(chǎn)品和服務同步規(guī)劃同步建設同步使用的理念例如歐盟通用數(shù)據(jù)保護條例規(guī)定

、、。,《》

在產(chǎn)品設計階段要考慮個人信息保護要求同時產(chǎn)品默認設置也要最大程度保護用戶個人信息這不

,。

僅有助于主動防御個人信息安全風險也便于預防侵害用戶個人信息權益事件發(fā)生

,。

本文件根據(jù)個人信息保護法律法規(guī)和政策標準要求結合國內外在隱私工程方面的實踐經(jīng)驗給出

,,

了具有處理個人信息功能的網(wǎng)絡產(chǎn)品和服務在規(guī)劃和建設階段的個人信息安全工程實施指南為幫助

,

網(wǎng)絡產(chǎn)品和服務提升個人信息保護能力提供工程化指引

。

Ⅳ

GB/T41817—2022

信息安全技術個人信息安全工程指南

1范圍

本文件提出了個人信息安全工程的原則目標階段和準備提供了網(wǎng)絡產(chǎn)品和服務在需求設計

、、,、、

開發(fā)測試發(fā)布階段落實個人信息安全要求的工程化指南

、、。

本文件適用于涉及個人信息處理的網(wǎng)絡產(chǎn)品和服務含信息系統(tǒng)為其同步規(guī)劃同步建設個人信

(),、

息安全措施提供指導也適用于組織在軟件開發(fā)生存周期開展隱私工程時參考

,。

注在不引起混淆的情況下本文件中的網(wǎng)絡產(chǎn)品和服務簡稱為產(chǎn)品服務

:,“”“”。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術術語

GB/T25069—2022

信息安全技術個人信息安全規(guī)范

GB/T35273—2020

信息安全技術個人信息安全影響評估指南

GB/T39335—2020

信息安全技術移動互聯(lián)網(wǎng)應用程序收集個人信息基本要求

GB/T41391—2022(App)

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2022。

31

.

個人信息安全工程personalinformationsecurityengineering