GB/T 41817-2022 英文版 信息安全技術(shù)　個人信息安全工程指南

GB/T 41817-2022 英文版,標準英文版，請點擊bzfyw.com

前言
本文件按照GB/T 1.1-2020《標準化工作導則 第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。
請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國信息安全標準化技術(shù)委員會(SAC/TC 260)提出并歸口。
引言
為規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)個人信息處理活動,最大程度保障用戶個人信息權(quán)益﹐業(yè)界陸續(xù)提出個人信息安全措施與產(chǎn)品和服務(wù)同步規(guī)劃、同步建設(shè),同步使用的理念。例如,歐盟《通用數(shù)據(jù)保護條例》規(guī)定在產(chǎn)品設(shè)計階段要考慮個人信息保護要求,同時產(chǎn)品默認設(shè)置也要最大程度保護用戶個人信息。這不僅有助于主動防御個人信息安全風險﹐也便于預防侵害用戶個人信息權(quán)益事件發(fā)生。
本文件根據(jù)個人信息保護法律法規(guī)和政策標準要求,結(jié)合國內(nèi)外在隱私工程方面的實踐經(jīng)驗,給出了具有處理個人信息功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)在規(guī)劃和建設(shè)階段的個人信息安全工程實施指南,為幫助網(wǎng)絡(luò)產(chǎn)品和服務(wù)提升個人信息保護能力提供工程化指引。
1范圍
本文件提出了個人信息安全工程的原則、目標、階段和準備,提供了網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求,設(shè)計、開發(fā)、測試、發(fā)布階段落實個人信息安全要求的工程化指南。
本文件適用于涉及個人信息處理的網(wǎng)絡(luò)產(chǎn)品和服務(wù)(含信息系統(tǒng)),為其同步規(guī)劃,同步建設(shè)個人信息安全措施提供指導,也適用于組織在軟件開發(fā)生存周期開展隱私工程時參考。
注:在不引起混淆的情況下,本文件中的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)"簡稱為“產(chǎn)品服務(wù)”。
2規(guī)范性引用文件
下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069-2022信息安全技術(shù) 術(shù)語
GB/T 35273-2020信息安全技術(shù) 個人信息安金規(guī)范
GB/T 39335-2020信息安全技術(shù) 個人信息安全影響評估指南
GB/T41391-2022信息安全技術(shù)移動年聯(lián)網(wǎng)應(yīng)用程序(App)收集個人信息基本要求
3術(shù)語和定義
GB/T 25069-2022界定的以及下列術(shù)語和定義適用于本文件。
3.1
個人信息安全工程personal information security engineering
將個人信息安全原則和要求融入到產(chǎn)品服務(wù)規(guī)劃,建設(shè)的每個階段,使個人信息安全要求在產(chǎn)品服務(wù)中有效落實的工程化過程。
注:也稱“隱私工程”。
3.2
個人信息保護影響評估personal information protection impact assessment
針對個人信息處理活動,檢驗個人信息處理目的、處理方式是否合法、正當、必要,判斷其對個人合法權(quán)益的影響及安全風險﹐以及評估所采取的個人信息保護措施有效性的過程。
注:也稱“個人信息安全影響評估”。
3.3
個人信息處理活動personal information processing
對個人信息的收集﹑存儲、使用、加工.傳輸、提供、公開、刪除等行為。
4
縮略語
下列縮略語適用于本文件。
5總則
5.1個人信息安全工程原則
6個人信息安全工程需求階段
6.1描述
在產(chǎn)品服務(wù)規(guī)劃建設(shè)的需求階段,針對產(chǎn)品服務(wù)的個人信息需求進行分析、評估和確定。
7個人信息安全工程設(shè)計階段
7.1描述
在產(chǎn)品服務(wù)規(guī)劃建設(shè)的設(shè)計階段,針對產(chǎn)品服務(wù)的個人信息需求,對個人信息安全功能及實現(xiàn)機制進行設(shè)計。
7.2輸入
設(shè)計階段的主要輸入為:產(chǎn)品服務(wù)功能需求和產(chǎn)品服務(wù)個人信息需求。
7.3角色與職責
本階段主要涉及的角色及其職責為:
a）業(yè)務(wù)團隊負責完成功能架構(gòu)設(shè)計,配合個人信息保護團隊完成相關(guān)工作﹔
b)個人信息保護團隊負責設(shè)計產(chǎn)品服務(wù)個人信息安全功能,開展設(shè)計檢查和評估。
8個人信息安全工程開發(fā)階段
8.1描述
在產(chǎn)品服務(wù)規(guī)劃建設(shè)的開發(fā)階段,針對產(chǎn)品服務(wù)個人信息安全設(shè)計進行開發(fā)實現(xiàn),以滿足個人信息安全工程目標。
8.2輸入
開發(fā)階段主要輸入為:產(chǎn)品服務(wù)個人信息安全資計。
8.3角色與職責
本階段主要涉及的角色及其職責為:
a)業(yè)務(wù)團隊負責根據(jù)個人信息安全設(shè)計完成開發(fā)﹔;
b)個人信息保護團隊負責對第三方應(yīng)用的安全使用進行管理,配合業(yè)務(wù)團隊實現(xiàn)代碼分析。
9個人信息安全工程測試階段
9.1描述
在產(chǎn)品服務(wù)規(guī)劃建設(shè)的測試階段,對個人信息安全功能進行測試,并對測試結(jié)果進行分析。
9.2輸入
測試階段的主要輸人為:
a)產(chǎn)品服務(wù)個人信息需求﹔
b)產(chǎn)品服務(wù)個人信息安全設(shè)計﹔
c）產(chǎn)品服務(wù)開發(fā)過程版本及其開發(fā)文檔;d已開展的個人信息安全評估相關(guān)過程記錄。
9.3角色與職責
本階段主要涉及的角色及其職責為﹔
a)業(yè)務(wù)團隊主要負責對產(chǎn)品服務(wù)進行安全測試﹑輸出測試結(jié)果及測試報告﹐對測試不通過項進行整改﹔
b)個人信息保護團隊主要負責提出個人信息安全測試要點,監(jiān)督并配合業(yè)務(wù)團隊開展個人信息安全功能測試,對測試不符合項進行說明并監(jiān)督業(yè)務(wù)團隊完成改進。
10個人信息安全工程發(fā)布階段
10.1描述
在產(chǎn)品服務(wù)規(guī)劃建設(shè)的發(fā)布階段,對產(chǎn)品服務(wù)進行個人信息安全發(fā)布評審,評審通過后對產(chǎn)品服務(wù)進行發(fā)布和部署,使產(chǎn)品服務(wù)默認設(shè)置最大程度保護個人信息。
附錄A(資料性)常見個人信息安全設(shè)計參考要點
附錄B(資料性)常見個人信息安全默認配置參考要點
參考文獻