ICS35. 030 CCS L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 41574—2022 信息技术 安全技术 公有云中个人信息保护实践指南 I n f o rma t i ont e chno l o e c u r i t e chn i e s—Cod eo fpr a c t i c ef o r gy—S yt qu o t e c t i ono fpe r s ona li n f o rma t i oni npub l i cc l oud s pr ( I SO/ IEC27018: 2019, I n f o rma t i ont e chno l o e c u r i t e chn i e s— gy—S yt qu Cod eo fpr a c t i c ef o rpr o t e c t i ono fpe r s ona l l d en t i f i ab l ei n f o rma t i on( PI I)i n yi l i cc l oud sa c t i nga sPI Ipr o c e s s o r s,MOD) pub 2022 07 11 发布 2023 02 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 41574—2022 目 次 前言 ………………………………………………………………………………………………………… Ⅴ 引言 ………………………………………………………………………………………………………… Ⅶ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 概述 ……………………………………………………………………………………………………… 2 4. 1 本文件的结构 ……………………………………………………………………………………… 2 4. 2 控制类别 …………………………………………………………………………………………… 3 5 信息安全策略 …………………………………………………………………………………………… 3 5. 1 信息安全管理指导 ………………………………………………………………………………… 3 5. 1. 1 信息安全策略 ………………………………………………………………………………… 3 5. 1. 2 信息安全策略的评审 ………………………………………………………………………… 4 6 信息安全组织 …………………………………………………………………………………………… 4 6. 1 内部组织 …………………………………………………………………………………………… 4 6. 1. 1 信息安全的角色和责任 ……………………………………………………………………… 4 ……………………………………………………………………………………… 4 6. 1. 3 与职能机构的联系 …………………………………………………………………………… 4 6. 1. 4 与特定相关方的联系 ………………………………………………………………………… 4 6. 1. 2 职责分离 6. 1. 5 项目管理中的信息安全 ……………………………………………………………………… 4 6. 2 移动设备和远程工作 ……………………………………………………………………………… 4 7 人力资源安全 …………………………………………………………………………………………… 4 7. 1 任用前 ……………………………………………………………………………………………… 4 7. 2 任用中 ……………………………………………………………………………………………… 5 ……………………………………………………………………………………… 5 7. 2. 2 信息安全意识、教育和培训 …………………………………………………………………… 5 7. 2. 3 违规处理过程 ………………………………………………………………………………… 5 7. 2. 1 管理责任 7. 3 任用的终止和变更 ………………………………………………………………………………… 5 8 资产管理 ………………………………………………………………………………………………… 5 9 访问控制 ………………………………………………………………………………………………… 5 9. 1 访问控制的业务要求 ……………………………………………………………………………… 5 9. 2 用户访问管理 ……………………………………………………………………………………… 5 9. 2. 1 用户注册和注销 ……………………………………………………………………………… 6 9. 2. 2 用户访问供给 ………………………………………………………………………………… 6 9. 2. 3 特许访问权管理 ……………………………………………………………………………… 6 9. 2. 4 用户的秘密鉴别信息管理 …………………………………………………………………… 6 9. 2. 5 用户访问权的评审 …………………………………………………………………………… 6 Ⅰ GB/T 41574—2022 9. 2. 6 访问权的移除或调整 ………………………………………………………………………… 6 9. 3 用户责任 …………………………………………………………………………………………… 6 9. 3. 1 秘密鉴别信息的使用 ………………………………………………………………………… 6 9. 4 系统和应用访问控制 ……………………………………………………………………………… 6 9. 4. 1 信息访问限制 ………………………………………………………………………………… 6 9. 4. 2 安全登录规程 ………………………………………………………………………………… 6 ………………………………………………………………………………… 6 9. 4. 4 特权实用程序的使用 ………………………………………………………………………… 7 9. 4. 5 程序源代码的访问控制 ……………………………………………………………………… 7 9. 4. 3 口令管理系统 10 密码 ……………………………………………………………………………………………………… 7 10. 1 密码控制 …………………………………………………………………………………………… 7 10. 1. 1 密码控制的使用策略 ………………………………………………………………………… 7 10. 1. 2 密钥管理 ……………………………………………………………………………………… 7 11 物理和环境安全 ………………………………………………………………………………………… 7 11. 1 安全区域 …………………………………………………………………………………………… 7 11. 2 设备 ………………………………………………………………………………………………… 7 11. 2. 1 设备安置和保护 ……………………………………………………………………………… 7 11. 2. 2 支持性设施 …………………………………………………………………………………… 7 11. 2. 3 布缆安全 ……………………………………………………………………………………… 7 11. 2. 4 设备维护 ……………………………………………………………………………………… 8 11. 2. 5 资产的移动 …………………………………………………………………………………… 8 11. 2. 6 组织场所外的设备与资产安全 ……………………………………………………………… 8 11. 2. 7 设备的安全处置或再利用 …………………………………………………………………… 8 11. 2. 8 无人值守的用户设备 ………………………………………………………………………… 8 11. 2. 9 清理桌面和屏幕策略 ………………………………………………………………………… 8 12 运行安全 ………………………………………………………………………………………………… 8 12. 1 运行规程和责任 …………………………………………………………………………………… 8 12. 1. 1 文件化的操作规程 …………………………………………………………………………… 8 12. 1. 2 变更管理 ……………………………………………………………………………………… 8 12. 1. 3 容量管理 ……………………………………………………………………………………… 8 12. 1. 4 开发、测试和运行环境的分离 ……………………………………………………………… 8 12. 2 恶意软件防范 ……………………………………………………………………………………… 9 12. 3 备份 ………………………………………………………………………………………………… 9 12. 3. 1 信息备份 ……………………………………………………………………………………… 9 12. 4 日志和监视 ………………………………………………………………………………………… 9 12. 4. 1 事态日志 ……………………………………………………………………………………… 9 12. 4. 2 日志信息的保护 ……………………………………………………………………………… 9 12. 4. 3 管理员和操作员日志 ……………………………………………………………………… 10 12. 4. 4 时钟同步 …………………………………………………………………………………… 10 12. 5 运行软件控制 …………………………………………………………………………………… 10 12. 6 技术方面的脆弱性管理 ………………………………………………………………………… 10 12. 7 信息系统审计的考虑 …………………………………………………………………………… 10 Ⅱ GB/T 41574—2022 13 通信安全 ……………………………………………………………………………………………… 10