ImageVerifierCode 换一换
格式:PDF , 页数:12 ,大小:718.69KB ,
资源ID:1488018      下载积分:5000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-1488018.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(DB44 T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求.pdf)为本站会员(postpastor181)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

DB44 T 2189.1-2019 移动终端信息安全 第1部分:敏感信息安全检测技术要求.pdf

1、ICS 35.060 M 36 DB44 广东省 地方标准 DB44/T 2189.1 2019 移动终端信息安全 第 1 部分:敏感信息安全检测技术要求 Informataion security of mobile terminal Part1: Security testing specification for sensitive information 2019 - 09 - 09 发布 2019 - 12 - 01 实施 广东省市场监督管理局 发布 DB44/T 2189.1 2019 I 前 言 移动终端信息安全分为 4个部分: 移动终端信息安全 第 1部分:敏感信息安全检测技术

2、要求; 移动终端信息安全 第 2部分:敏感信息等级保护与测评; 移动终端信息安全 第 3部分:敏感信息风险评估; 移动终端信息安全 第 4部分:敏感信息安全检测方法。 本部分为第 1部分。 本部分按照 GB/T 1.1-2009给 出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由广东省工业和信息化厅提出。 本部分由广东省大数据标准化技术委员会 ( GD/TC120) 归 口。 本部分起草单位:工业和信息化部电子第五研究所。 本部分主要起草人:王韬、王贵虎、杨春晖、华小方、林军、冯晓荣、谢克强。 本部分为首次发布。 DB44/T 2189.

3、1 2019 1 移动终端信息安全 第 1 部分:敏感信息安全检测技术要求 1 范围 本部分规定了敏感信息安全检测框架和敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用 阶段、废止与删除阶段的检测技术要求。 本部分适用于移动通信网的智能手机和平板电脑设备。 2 规范性引用文件 下列文件对于本文件的应 用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 GB/T 34978-2017 信息安全技术 移动智能终端个人信息保

4、护技术要求 GM/T 0028-2014 密码模块安全技术要求 YD/T 1699-2007 移动终端信息安全技术要求 YD/T 1760-2012 数字移动终端外围接口数据交换 YD/T 2408-2013 移动智能终端安全能力测试方法 3 术语和定义 YD/T 1699-2007、 GB/T 34978-2017、 YD/T 2408-2013 界定的以及下列术语和定义 适用于本部分。 3.1 敏感信息 sensitive information 在一定范围内和一定时期内与信息主体存在潜在利害关系的非涉密信息,其丢失、不当使用或未经 合法授权被人泄露或修改可能会对信息主体造成不良影响的信息

5、。 注: 敏感信息包括但不限于身份证号码、通信录、文件密码、财务信息、政治观点、宗教信仰、基因、指纹、虹膜、 人像、种族、聊天记录、用户 位置、个人健康信息等。 3.2 身份认证 user authentication 对用户身份标识的有效性进行验证和测试的过程。 YD/T 1699-2007,定义 3.6 3.3 合法操作用户 legal user 经过信息主体明示同意后具有对敏感信息进行处理权限的个人、组织和机构。 DB44/T 2189.1 2019 2 3.4 明示同意 expressed consent 信息主体明确授权同意,并保留证据。 GB/T 34978-2017,定义 3.1

6、.5 3.5 授权 authorization 在用户身份经过认证后,根据预先设置的安全策略, 授予用户相应权限的过程。 YD/T 2408-2013,定义 3.1.5 4 敏感信息安全检测框架 敏感信息作为信息主体安全的重要保护内容,应能够从敏感信息的全生命周期来保证敏感信息安 全。基于移动终端中敏感信息的全生命周期可分为生成、存储、 加工、转移、应用、废止与删除,敏感 信息的安全贯穿于其中的每个环节。 a) 生成是指信息主体经过标识信息而形成敏感信息的操作。 b) 存储是指生成的敏感信息以一定格式保存在移动终端上供信息主体或合法操作用户使用的操 作。 c) 加工是指信息主体或合法操作用户对

7、已存储的敏感信息进行修改、标注、挖 掘、屏蔽等一系列 操作。 d) 转移是指信息主体或合法操作用户将敏感信息传输给其他操作用户的操作。 e) 应用是指信息主体或合法操作用户为完成一定的目的而对敏感信息进行访问、共享等操作。 f) 废止是指信息主体将敏感信息标识为非敏感信息的操作;删除是指信息主体或合法操作用户删 除敏感信息内容而使其不能在移动终端中再次使用。 5 敏感信息安全检测技术要求 5.1 生成阶段 敏感信息的生成应仅由信息主体完成,其标识宜在使用范围内统一。 敏感信息的标识应采取知悉的方式,便于信息主体操作, 不宜采取隐蔽手段或间接方式 。 敏感信息生成后应能够提醒信息主体其标识的敏感

8、信息已生成,且敏感信息生成后应允许信息主体 对敏感信息的有效时间进行限定。 5.2 存储阶段 5.2.1 安全域隔离 敏感信息的存储应能够符合 YD/T 1699 2007, 5.8中安全域隔离的要求。 5.2.2 敏感信息的加密存储 敏感信息的存储应为加密存储,未经合法授权的操作者应不能对存储区域内的加密敏感信息内容进 行加工操作。 敏感信息的加密存储后应允许信息主体或合法操作用户对存储密码、存储方式及存储属性进行修 DB44/T 2189.1 2019 3 改。合法操作用户进行修改时,应经过敏感信息主体的明示同意。 5.2.3 敏感信息的远程保护 敏 感信息的远程存储应允许信息主体设置远程

9、操作的条件。 5.2.4 敏感信息的备份 敏感信息在存储过程中应有安全的备份,应符合 YD/T 1760 2012 规定的要求。 5.3 加工阶段 敏感信息应允许信息主体和授权操作者对敏感信息进行加工,授权操作者在加工敏感信息前应告知 信息主体加工的目的和方法,在授权范围内对敏感信息进行加工。 敏感信息被加工时应记录加工过程,记录内容至少包含但不限于敏感信息的修改日期、地点、事件 类型等。 5.4 转移阶段 5.4.1 身份认证 敏感信息主体应通过合理的渠道进行敏感信息的传输,敏感信息主体宜告知信息接收者的身份。 5.4.2 加密传输 敏感信息在传输的过程中宜以密文的方式传输,密码的形态宜至少

10、包含但不限于口令、图案、生物 特征识别、 人像 等多种形态保护方式中的一种或几种的组合。密钥的管理应满足 GM/T 0028 2014 中规 定的密码模块安全技术要求。 5.4.3 传输确认 敏感信息的合法操作用户应在信息主体授权范围内传输敏感信息。未经敏感信息主体的身份鉴别及 明示同意,敏感信息不得被转移给其他任何用户。 合法操作用户在成功接收到敏感信息后,应知会信息主体。 5.5 应用阶段 5.5.1 使用者的身份认证 敏感信息主体应能够对敏感信息访问者和共享者的身份进行鉴别。 5.5.2 敏 感信息的访问 5.5.2.1 敏感信息的访问措施 敏感信息被访问时应有记录,必要时应对信息主体进

11、行访问提醒。 5.5.2.2 敏感信息的访问权限 敏感信息操作者应在授权范围内对敏感信息进行访问。在访问者未获得授权的情况下,应禁止该访 问者对敏感信息的访问,且应对访问者采取的安全措施应至少包含但不限于如下中的一项或几项措施的 组合: a) 告警; DB44/T 2189.1 2019 4 b) 阻止该操作; c) 记录日志; d) 系统锁定; e) 关机。 5.5.3 敏感信息的共享 敏感信息的共享应经过信息主体的明示同意,应不违背敏感信息主体的意愿。共享时信息主体宜能 对敏感信息共享的有效时间进行设置。 信息主体在 共享敏感信息时移动终端应进行记录或提醒,并允许信息主体查询已共享的敏感信

12、息。 5.6 废止与删除阶段 敏感信息应仅允许信息主体对敏感信息进行废止,其管理应符合 GB/Z 28828 2012 第 5 章相关的 规定。 敏感信息应允许信息主体和合法操作用户对敏感信息进行删除,删除后应保证被删除的敏感信息在 移动终端不可再恢复和使用。 DB44/T 2189.1 2019 5 参 考 文 献 1 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南 2 YD/T 2407-2013 移动智能终端安全能力技术要求 3 YD/T 1699-2007 移动终端信息安全技术要求 4 YD/T 2129-2010 移动用户个人信息管理业务总体技术要求 5 YD/T 2132-2010 移动用户个人信息管理业务终端技术要求 6 中华人民共和国国务院令 第 631号 征信业管理条例 _ DB44/T 2189.1 2019 6 DB 44 /T 2 18 9. 1 20 19 广东省地方标 准 移动终端信息安全 第 1 部分:敏感信息安全检测技术要求 DB44/T 2189.1 2019 * 广东省标准化研究院组织印刷 广州市海珠区南田路 563 号 1304 室 邮政编码: 510220 网址: www.bz360.org 电话: 020-84250337

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1