GB/T32921-2016
信息安全技术信息技术产品供应方行为安全准则
Informationsecuritytechnology—Securitycriteriononsupplierconductofinformationtechnologyproducts
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2017-03-01
- 文件格式PDF
- 文本页数7页
- 文件大小287.08KB
以图片形式预览信息安全技术信息技术产品供应方行为安全准则
信息安全技术信息技术产品供应方行为安全准则
国家标准 GB/T32921一2016 信息安全技术信息技术产品供应方行为 安全准则 Informationsecurityteehnology一Securityeriteriononsuppliereomductof informationtechnologproduets 2016-08-29发布 2017-03-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T32921一2016 引 言 为贯彻落实《全国人民代表大会常务委员会关于加强网络信息保护的决定》的精神,加强信息技术 产品用户相关信息保护,维护用户信息安全,本标准规定了信息技术产品供应方在相关业务活动中应遵 循的基本安全准则
GB/T32921一2016 信息安全技术信息技术产品供应方行为 安全准则 范围 本标准规定了信息技术产品供应方在提供信息技术产品过程中,为保护用户相关信息、维护用户信 息安全应遵守的基本准则
本标准适用于信息技术产品供应、运行或维护过程中的供应方行为管理,也可为信息技术产品的研 发,运维及测评等提供依据 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T25069一2010信息安全技术术语 术语和定义 GB/T25069一2010界定的以及下列术语和定义适用于本文件
3.1 信息技术产品informationteehnoogyproduet 具有采集、存储,处理、传输、控制,交换、显示数据或信息功能的硬件、软件、系统和服务
注,信息技术产品包括计算机及其辅助设备,通信设备,网络设备,自动控制设备、操作系统、数据库,应用软件与服 务等
3.2 信息技术产品供应方informationteehnologyproduetsupplier 提供信息技术产品的组织
注信息技术产品供应方包括生产商、销售商、代理商、集成商、服务商等
3.3 wserrelatedinformant 用户相关信息 ation 与自然人或法人有关的信息以及定义和描述这些信息的数据
注,用户相关信息包括用户身份信息,以及用户生成的文档、程序,多媒体资料,用户通信的内容,地址、时间,产品 的配置、运行及位置数据,系统运行过程产生日志等
3.4 明示同意expressedconsent 用户信息主体明确授权同意,并保留证据
3.5 远程控制remotecontrol 通过远程连接方式对用户产品实施的控制活动
注;远程控制话动包括实现产品的启停、变更产品配置、改变产品运行状态弹出对话框、自动远程升级、推送业务
GB/T32921一2016 数据等
3.6 关键信息基础设施nationalceritiealinformationinfrastructure 关系国计民生的基础信息网络和重要信息系统,当这些网络或系统遭到攻击破坏时,会损害国家网 络安全、经济安全、公众利益、公共安全等
供应方行为安全准则 4.1 总则 信息技术产品供应方原则上不应收集,存储、处理用户相关信息,以及远程控制已提供给用户的产 品和产品所在的信息系统,确有必要时,应遵循明示授权、最少够用,最小权限、安全可信的原则 4.2用户相关信息收集和处理的安全准则 供应方在收集和处理用户相关信息时 应在用户购买产品时明确告知用户收集用户相关信息的目的、用途和保护用户相关信息的策 a 略,以及收集信息的类型,数量,存放地点、保存方式、保存期限、信息是否共享或转移等; 应在用户购买使用产品时,提供禁止收集用户相关信息的方法,并告知禁止收集用户相关信息 后产品缺失的功能 应在用户明示同意后,方可收集用户相关信息,并在收集用户相关信息时显示提示信息; 应将收集的用户相关信息仅用于用户同意的目的和用途
未经用户同意,不得出售用户相关 信息 应为用户提供查阅和修改其信息的方法包括查阅修改流程、供应方相关联系人等信息 应采取必要技术和管理措施在收集、存储、处理时保护用户相关信息,防止其被泄露或滥用等; 应在保存期限截至时或收到用户请求时,除非基于法律或监管原因,否则须彻底删除所有存储 的用户相关信息 应制定用户相关信息泄露等事件时的应急预案,以便将影响和损失减到最低 应在我国境内存储、传输和处理在我国市场经营活动中收集的政府部门,关键信息基础设施相 关信息; 应为收集用户相关信息以及产品与供应方之间数据交互的行为提供检测、-验证方法包括所使 用的端口和协议等信息使用加密技术的,应在第三方机构检测验证时提供加密算法等 k 不应根招国外法律向境外机构提供用户信息或为获取相关信息提供便利条件
远程控制用户产品的安全准则 4.3 供应方在远程控制用户产品时 a)应在用户购买使用产品前,明确告知用户远程控制行为的目的、用途等, b) 应在用户购买使用产品前,提供禁止远程控制的方法.并告知用户禁止远程控制后产品缺失的 功能; e)应经用户明示同意后,方可远程控制用户产品,并在远程控制用户产品时显示提示信息; d)应将远程控制活动仅用于用户同意的目的和用途,严格限制远程控制活动的频次和涉及产品 系统范围 不应在产品中设置隐蔽接口,不应加载能够禁用或绕过安全机制的组件 e f 不应在产品中存在未明示功能模块; g)应告知用户测试或维护接口,并给用户提供关闭测试或维护接口的方法;
GB/T32921一2016 h应采取必要技术和管理措施确保远程控制过程的安全性,并提供只能在限定的时间窗口使用 特定账户进行访问的安全功能 应对远程控制所有输人输出的数据进行记录,并将所实施的远程控制活动载人日志以备日后 审计; 应为远程控制用户产品以及产品与供应方之间数据交互的行为提供检测、验证方法,使用加密 技术的,应在第三方机构检测验证时提供加密算法等信息,并应告知第三方机构所使用的端 口,协议等 4.4其他行为安全准则 供应方 不应通过技术手段限制用户选择其他供应方的产品,组件或技术; a 应为用户数据和业务在不同产品或信息系统间的迁移,提供必要的技术支持; b 应重视保护用户相关信息的工作,并为接触用户相关信息的人员提供培训 c) d应在发生组织结构调整或服务外包时,及时告知用户并采取措施保证用户相关信息的安全
GB/T32921一2016 参 考 文 献 []cB/T27050.1一200合格评定供方的符合性声明第1部分;通用要求 GB/Z28828一2012信息安全技术公共及商用服务信息系统个人信息保护指南 [2 GB/T292442012信息安全技术办公设备基本安全要求 1sO/IEC15408一2009信息技术安全技术信息技术安全性评估准则 5]Iso/Ec29100信息技术安全技术隐私框架 [ 欧盟关于在个人数据处理过程中保护当事人及此类数据自由流通的指令1995/46/EC,1995 [ NISTSP800一53联邦信息系统安全与隐私控制措施 [81 NISTsSP800一122个人可识别信息(PII)机密性保护指南 [9 NISTFrameworkforlmprovingCriticallnfrastrueture Cybersecurity,2014.2
信息技术产品供应方行为安全准则GB/T32921-2016
在当今数字化时代,信息技术产品在人们的日常生活中扮演着越来越重要的角色。然而,信息技术产品的安全性问题也随之而来,如果不加以有效的保护,可能会导致用户个人信息泄露、系统瘫痪等严重后果。因此,GB/T32921-2016标准的出台具有十分重要的意义。
该标准主要围绕信息技术产品的供应方行为安全展开,提出了一系列严格的规范和指导措施,以确保供应方能够负责任地提供高质量、安全可靠的信息技术产品。
首先,GB/T32921-2016要求供应方应该建立健全的安全管理体系和安全生产保障体系,确保所有从事信息技术产品供应的人员都有足够的安全意识和技能;其次,对于涉及到用户个人信息的信息技术产品,供应方应该加强对这些信息的保护,并且不得将这些信息用于非法用途;此外,如果供应方发现其所提供的信息技术产品存在安全漏洞或者其他问题,应该及时采取措施进行修复或者告知用户。
除此之外,GB/T32921-2016还提出了一系列关于信息技术产品供应方行为管理的规范和指导。其中,最重要的是确保在信息技术产品的开发、测试、发布、维护和更新等各个环节中都要充分考虑安全因素,确保产品的安全可靠性。此外,该标准还要求供应方应该建立完整的安全文档管理机制,以便随时跟踪和追溯产品的安全性情况。
总之,GB/T32921-2016为信息技术产品的供应方行为安全提出了非常实用的规范和指导措施。如果信息技术产品供应方想要获得用户的信任和市场的认可,就必须认真遵循该标准中提出的各项安全控制措施。
