1、ICS 35.240 L 70 备案号:52396-2017 江苏省地方标准 DB32 DB32/T 3161-2016 信息消费信息安全基本保护要求 Baseline for information security protection of information consumption 2016-11-20 发布 2016-12-20 实施 江苏省质量技术监督局 发布 目 次 前言.II 1 范围.3 2 规范性引用文件.3 3 术语和定义.3 4 信息消费信息安全保护责任.4 4.1 信息消费者安全责任.4 4.2 信息消费基础环境运营方信息安全责任.4 4.3 信息服务和信息产品生
2、产商信息安全责任.5 4.4 第三方测评机构信息安全责任.5 5 信息消费信息安全保护基本原则.5 6 信息消费信息安全基本保护要求.6 6.1 消费者个人信息基本保护要求.6 6.2 信息消费基础环境信息安全基本保护要求.6 前 言 本标准依据GB/T 1.12009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准由江苏省经济和信息化委员会提出并归口。本标准起草单位:江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)。本标准主要起草人:王玉斐、黄申、王丹中、赵卫强、吴兰 信息消费信息安全基本保护要求 1 范围 本标准规范了全部或部分信息消费要素和过程,为信息消费不
3、同要素的信息安全保护提供指导。本标准适用于参与信息消费过程的各类组织和机构,如信息消费者、提供信息消费基础环境的机构、信息服务提供者和信息产品生产商,开展信息消费过程中的信息安全保护工作。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 28828 信息安全技术 公共及商用服务信息系统 个人信息保护指南 3 术语和定义 GB/Z 2
4、0986 和 GB/Z 28828 界定的及下列术语和定义适用于本标准。3.1 信息消费 information consumption 一种直接或间接以信息产品和信息服务为消费对象的经济活动。是信息消费者获取信息、认知信息和再生信息等基本环节所构成的社会活动。3.2 信息产品 information product 在信息化社会中产生的以传播信息为目的的服务性产品,包括依附于物质载体存在的有形产品和无固定物质载体的产品。3.3 信息服务 information service 是传播信息、交流信息、存储信息等活动,例如信息检索服务、信息报道与发布服务、信息咨询服务、网络信息服务等。3.4 信
5、息消费基础环境 information consumption foundation environment 为信息消费活动提供技术支撑和保障的基础平台环境,主要包括信息消费平台系统、支付业务系统和相关的数据信息等。3.5 信息系统 information system 计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。GB/Z 28828,定义3.1 3.6 消费者个人信息 consumper personal information 可为信息系统所处理、与信息消费者相关、能
6、够单独或通过与其他信息结合识别该信息消费者的计算机数据。3.7 消费者个人敏感信息 consumper personal sensitive information 一旦遭到泄漏或修改,会对标识的消费者造成不良影响的个人信息,具体内容根据消费者主体意愿和信息消费业务特点确定,可以包括图片、视频、身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。3.8 第三方测评机构 third party testing and evaluation agency 独立于信息消费各方的专业测评机构。4 信息消费信息安全保护责任 4.1 信息消费者安全责任 4.1.1 在信息消费前,要甄别信息消费对
7、象、信息消费基础环境和信息消费对象生产商的合法性和真实性。4.1.2 注意保护消费者个人敏感信息,当要求提供消费者个人信息时,要了解信息消费基础环境运营方、信息产品和信息服务生产商收集消费者个人信息的目的、用途等信息,按照个人意愿提供个人信息。4.1.3 信息消费过程中发现涉及信息安全的问题或消费者个人信息被泄露、丢失、篡改等,向信息消费基础环境运营方投诉或提出质询,或向信息消费监管部门和信息安全管理部门发起申诉。4.2 信息消费基础环境运营方信息安全责任 4.2.1 负责对通过信息消费平台进行交易的信息产品和信息服务的合法性、合规性进行甄别和审核,严禁非法的、不合规的信息产品和信息服务。4.
8、2.2 负责依照国家法律、法规、标准和本指导性技术文件,建立信息消费基础环境信息安全保障体系和消费者个人信息处理流程;从管理制度和技术措施层面,保障其所运营的信息消费基础环境在规划、设计、开发、建设、运维、下线等全生命周期各阶段信息安全。4.2.3 信息消费基础环境要按照在公安部门备案的信息系统等级进行等级化信息安全防护,要定期开展信息安全风险评估和加固,严控信息安全风险。4.2.4 指定专门机构或人员负责管理和保护所收集的信息消费者个人信息;制定消费者个人信息管理制度,落实消费者个人信息管理责任;接受消费者关于个人信息保护的投诉与质询;建立消费者个人信息保护内控机制;当消费者个人信息遭到泄露
9、、丢失、篡改时,及时采取应对措施并告知受影响的消费者。4.2.5 定期对信息消费基础环境的信息安全状况和消费者个人信息安全状况进行自查,必要时委托第三方测评机构进行测评;制定信息安全应急预案并定期演练,当发生重大信息安全事件时,及时向信息消费监管部门和信息安全管理部门通报。4.2.6 接受信息安全管理部门对信息安全状况的检查、监督和指导,积极参与和配合第三方测评机构对信息消费基础环境信息安全保护状况的测评。4.3 信息服务和信息产品生产商信息安全责任 4.3.1 对所生产或提供的信息服务和信息产品的合法性和合规性负责。4.3.2 对所生产或提供的信息服务和信息产品自身的信息安全属性负责。4.3
10、.3 当提供的信息服务和信息产品需要收集消费者个人信息时,应当向消费者明示并取得同意,依据消费者的意愿处理所收集的消费者个人信息。收集消费者个人信息时,应当遵守国家有关法律法规关于公民个人信息保护的规定。4.3.4 当所提供的信息服务和信息产品包含对消费者个人信息的加工处理等内容时,应经消费者委托或授权后,对获得的消费者个人信息进行加工处理,并在完成加工处理后,立即删除相关消费者个人信息。4.4 第三方测评机构信息安全责任 4.4.1 从维护公众利益和信息消费者角度出发,根据信息消费监管部门和信息安全管理部门授权,或受信息消费基础环境运营方的委托,依据相关国家法律、法规和本指导性技术文件,对信
11、息消费基础环境所涉及的信息系统进行安全测试和风险评估,获取信息安全保障状况和消费者个人信息保护状况,作为信息消费基础环境运营方评价、监督和指导信息消费信息安全保障的依据。4.4.2 对信息产品和服务的安全性进行检测和认证。5 信息消费信息安全保护基本原则 信息消费基础环境运营方、信息服务和信息产品生产商在整个信息消费过程中,进行信息安全保障和对消费者个人信息进行处理时,宜遵循以下基本原则:a)责任明确原则明确信息消费过程中的信息安全责任,采取相应的措施落实相关责任,实现信息消费关键过程可审计、可追溯。b)消费者个人信息保护原则在信息消费过程中,采取有效措施保障消费者个人信息,收集和处理消费者个
12、人信息时,应遵循目的明确、最少够用、公开告知、个人同意、诚信履行承诺等基本要求。c)安全保障原则采取适当的、与信息消费基础环境相关信息系统及相关数据重要程度相匹配的管理措施和技术手段,保障信息消费安全。6 信息消费信息安全基本保护要求 6.1 消费者个人信息基本保护要求 6.1.1 信息消费基础环境平台运营方、信息服务和信息产品生产商应根据国家相关法律法规和管理办法,遵循合法、正当、必要的原则,保护信息消费者个人信息,加强消费者个人信息在收集、加工、转移、删除等主要处理环节的保护。6.1.2 信息消费基础环境平台运营方、信息服务和信息产品生产商收集消费者个人信息要有特定、明确、合理的目的,收集
13、前要向消费者明示并征得信息消费者的同意,遵循“业务必需”和“最少收集”原则,并明确告知使用目的、使用范围、收集和处理方式手段、具体内容、留存时限、保护措施、投诉渠道等事项,警示消费者个人敏感信息泄露风险。6.1.3 信息消费基础环境平台运营方、信息服务和信息产品生产商对收集到的消费者个人信息进行加工时,应不违背收集前告知的使用目的、范围,采用已告知的方法手段对消费者个人信息进行加工,保证加工过程中消费者个人信息机密性、完整性和可用性。6.1.4 信息消费基础环境平台运营方、信息服务和信息产品生产商应当妥善保管消费者个人信息;保管的消费者个人敏感信息泄露或者可能泄露时,应当立即采取补救措施;造成
14、或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行的调查处理。6.1.5 信息消费基础环境平台运营方、信息服务和信息产品生产商如需要对收集和处理的消费者个人信息进行向公众公开、向特定群体披露、将消费者个人信息复制到其他信息系统等转移操作,应提前告知信息消费者转移目的、转移范围并不得违背告知事项,经消费者同意后(法律、行政法规另有规定除外),方可进行转移,并保证转移过程中消费者个人信息的机密性、完整性和可用性。6.1.6 信息消费基础环境平台运营方、信息服务和信息产品生产商如果出现以下情况,应及时删除消费者个人信息:信息消费者有正当理由要求删
15、除时,收集时告知的使用目的达到时,超出告知的的消费者个人信息留存期限时,无法继续履行消费者个人信息管理责任时。若删除消费者个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。6.1.7 信息消费基础环境平台运营方、信息服务和信息产品生产商应当加强信息系统安全防护,依法维护用户上载信息的安全,保障用户对上载信息的使用、修改和删除。6.1.8 信息消费相关应用程序在完成信息收集后,应自动清除客户端和服务器端缓存的消费者个人信息。6.2 信息消费基础环境信息安全基本保护要求 6.2.1 信息消费信任体系 6.2.1.1 对于信息消费者在线远程身份认证,宜采用由国家主管部门签发给公民的网络
16、身份标识,在不泄露身份信息的前提下实现在线远程身份识别。6.2.1.2 对于信息服务和信息产品生产商(提供商)的在线合法身份认证,宜采用由工商部门监制、核发的,以数字证书为基础的电子营业执照。6.2.1.3 信息消费基础环境的所有者或运营者应根据国家法律法规,对信息消费网站或交易平台在国家有关部门进行备案。6.2.1.4 信息消费网站或交易平台宜具有第三方权威机构对网站身份及相关信息认证(如官网认证、网站身份认证、技术安全认证、资质认证和信用认证等)并向信息消费者展示。6.2.1.5 信息消费交易各方宜依据 中华人民共和国电子签名法 等相关法律法规和规定要求,采用基于数字证书的电子签名,保证交
17、易信息的真实性、完整性、可靠性和抗抵赖性,以保障基于互联网的信息消费基础环境下信息消费各方的合法权益,数字证书认证中心宜选用权威、可信、公正的第三方。6.2.2 互联网支付 6.2.2.1 经中国人民银行批准在中华人民共和国境内设立的各类银行机构通过互联网提供的金融服务(网上银行业务)应遵循中华人民共和国有关金融法律、法规和网上银行业务相关管理办法,并保证信息消费支付信息和支付过程的机密性、完整性、可用性。6.2.2.2 经中国人民银行批准从事支付业务的非金融机构和个人应遵循非金融机构支付服务管理办法等中华人民共和国相关法律法规和管理办法,提供信息消费互联网支付服务的非金融机构和个人应获得中华
18、人民共和国支付业务许可证,并保证信息消费支付信息和支付过程的机密性、完整性、可用性。6.2.2.3 具备互联网支付功能的信息消费网站或交易平台,应保证所提供互联网支付渠道和链接的合法性、合规性和正确性。6.2.2.4 移动支付应用应遵从中国金融移动支付系列技术标准,宜选用在国家权威平台上注册和上架的安全可信的移动金融服务。6.2.3 信息消费交易平台系统 6.2.3.1 应按照GB/T 22239的要求,从技术和管理层面保障信息消费交易平台系统免受干扰、破坏或未经授权的访问,防止数据泄露或者被窃取、篡改。6.2.3.2 在信息消费交易平台系统安全保护方面,信息消费交易平台系统运营者应当履行以下
19、义务:a)制定内部安全管理制度和操作规程,确定信息消费交易平台系统信息安全负责人,落实信息安全保护责任。b)采取防范计算机病毒和攻击、侵入等危害信息消费交易平台系统安全行为的技术措施。c)采取监测、记录网络及平台系统运行状态、安全事件的技术措施,并留存网络和系统日志不少于六个月。d)采取数据分类、重要数据备份和加密等措施。e)国家法律、行政法规规定的其他义务。6.2.4 信息产品和信息服务 6.2.4.1 信息产品和信息服务应当符合相关国家标准的强制性要求。6.2.4.2 信息产品和信息服务的生产商(提供者)不得设置恶意程序,发现其信息产品、信息服务存在安全缺陷、漏洞等风险时,应当及时告知消费者并采取补救措施,并按照规定向有关主管部门报告。6.2.4.3 信息产品和信息服务生产商(提供者)应当为其信息产品、信息服务持续提供安全维护,在规定或者消费者约定的期间内,不得终止提供安全维护。
浙ICP备2021020529号-1 | 浙B2-20240490 
