安全工程考研,安全工程考研考哪几门
GB/T 41817-2022 英文版 信息安全技术 个人信息安全工程指南
GB/T 41817-2022 英文版,标准英文版,请点击bzfyw.com
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。
引言
为规范网络产品和服务个人信息处理活动,最大程度保障用户个人信息权益﹐业界陆续提出个人信息安全措施与产品和服务同步规划、同步建设,同步使用的理念。例如,欧盟《通用数据保护条例》规定在产品设计阶段要考虑个人信息保护要求,同时产品默认设置也要最大程度保护用户个人信息。这不仅有助于主动防御个人信息安全风险﹐也便于预防侵害用户个人信息权益事件发生。
本文件根据个人信息保护法律法规和政策标准要求,结合国内外在隐私工程方面的实践经验,给出了具有处理个人信息功能的网络产品和服务在规划和建设阶段的个人信息安全工程实施指南,为帮助网络产品和服务提升个人信息保护能力提供工程化指引。
1范围
本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求,设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。
本文件适用于涉及个人信息处理的网络产品和服务(含信息系统),为其同步规划,同步建设个人信息安全措施提供指导,也适用于组织在软件开发生存周期开展隐私工程时参考。
注:在不引起混淆的情况下,本文件中的“网络产品和服务”简称为“产品服务”。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2022信息安全技术 术语
GB/T 35273-2020信息安全技术 个人信息安金规范
GB/T 39335-2020信息安全技术 个人信息安全影响评估指南
GB/T41391-2022信息安全技术移动年联网应用程序(App)收集个人信息基本要求
3术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
个人信息安全工程personal information security engineering
将个人信息安全原则和要求融入到产品服务规划,建设的每个阶段,使个人信息安全要求在产品服务中有效落实的工程化过程。
注:也称“隐私工程”。
3.2
个人信息保护影响评估personal information protection impact assessment
针对个人信息处理活动,检验个人信息处理目的、处理方式是否合法、正当、必要,判断其对个人合法权益的影响及安全风险﹐以及评估所采取的个人信息保护措施有效性的过程。
注:也称“个人信息安全影响评估”。
3.3
个人信息处理活动personal information processing
对个人信息的收集﹑存储、使用、加工.传输、提供、公开、删除等行为。
4
缩略语
下列缩略语适用于本文件。
5总则
5.1个人信息安全工程原则
6个人信息安全工程需求阶段
6.1描述
在产品服务规划建设的需求阶段,针对产品服务的个人信息需求进行分析、评估和确定。
7个人信息安全工程设计阶段
7.1描述
在产品服务规划建设的设计阶段,针对产品服务的个人信息需求,对个人信息安全功能及实现机制进行设计。
7.2输入
设计阶段的主要输入为:产品服务功能需求和产品服务个人信息需求。
7.3角色与职责
本阶段主要涉及的角色及其职责为:
a)业务团队负责完成功能架构设计,配合个人信息保护团队完成相关工作﹔
b)个人信息保护团队负责设计产品服务个人信息安全功能,开展设计检查和评估。
8个人信息安全工程开发阶段
8.1描述
在产品服务规划建设的开发阶段,针对产品服务个人信息安全设计进行开发实现,以满足个人信息安全工程目标。
8.2输入
开发阶段主要输入为:产品服务个人信息安全资计。
8.3角色与职责
本阶段主要涉及的角色及其职责为:
a)业务团队负责根据个人信息安全设计完成开发﹔;
b)个人信息保护团队负责对第三方应用的安全使用进行管理,配合业务团队实现代码分析。
9个人信息安全工程测试阶段
9.1描述
在产品服务规划建设的测试阶段,对个人信息安全功能进行测试,并对测试结果进行分析。
9.2输入
测试阶段的主要输人为:
a)产品服务个人信息需求﹔
b)产品服务个人信息安全设计﹔
c)产品服务开发过程版本及其开发文档;d已开展的个人信息安全评估相关过程记录。
9.3角色与职责
本阶段主要涉及的角色及其职责为﹔
a)业务团队主要负责对产品服务进行安全测试﹑输出测试结果及测试报告﹐对测试不通过项进行整改﹔
b)个人信息保护团队主要负责提出个人信息安全测试要点,监督并配合业务团队开展个人信息安全功能测试,对测试不符合项进行说明并监督业务团队完成改进。
10个人信息安全工程发布阶段
10.1描述
在产品服务规划建设的发布阶段,对产品服务进行个人信息安全发布评审,评审通过后对产品服务进行发布和部署,使产品服务默认设置最大程度保护个人信息。
附录A(资料性)常见个人信息安全设计参考要点
附录B(资料性)常见个人信息安全默认配置参考要点
参考文献
安全工程考研(安全工程考研考哪几门)