GB2020信息技术 安全技术 个人可识别信息（PII）处理者在公有云中保护PII的实践指南-标准全文及编制说明.pdfVIP

GB2020信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南-编制说 明.pdf GB2020信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南.pdf 国家标准征求意见稿材料 国家标准 《信息技术 安全技术 个人可识别信息(PII)处理 者在公有云中保护PII的实践指南》 （征求意见稿）编制说 明 一、工作简况 1、任务来源 2019年8月21日，信安标委下发 《全国信息安全标准化技术委员会关于2019 年网络安全标准项目立项的通知》（信安秘字[2019]050号），标准《信息技术 安 全技术 个人可识别信息(PII)处理者在公有云中保护PII的实践指南》获批立项， 项目编号：2019BZZD-WG7-007。2020年4月，国家标准化技术委员会下达2020年 第一批推荐性国家标准计划 （国标委发[2020]14号），本标准计划号： T-469。 2、主要起草单位和工作组成员 本标准由全国信息安全标准化技术委员 （TC 260）会提出并归口，由山东省 标准化研究院牵头编制，起草有山东省标准化研究院、杭州拓深科技有限公司、 中国网络安全审查技术与认证中心、陕西省网络与信息安全测评中心、同程艺龙 控股有限公司、中电长城网际系统应用有限公司、北京钱袋宝支付技术有限公司、 国家工业信息安全发展研究中心、腾讯云计算 （北京）有限责任公司、陕西省信 息化工程研究院、中电数据服务有限公司、上海市信息安全行业协会、上海安言 信息技术有限公司、安徽省电子产品监督检验所 （安徽省信息安全测评中心）。 本标准主要起草人：王庆升、尤其、党斌、闵京华、兰安娜、柳彩云、王永 霞、张勇、张博、周亚超、张轩铭、王利强、王爱义、杨帆、石磊、黄磊、王理 东、王法中、许立前、范正翔、于秀彦、刘堪伪。 3、主要工作过程 （１）草案阶段 GB/T 22080－2016 《信息技术 安全技术 信息安全管理体系 要求》和GB/T 22081－2016 《信息技术 安全技术 信息安全控制实践指南》构成了我国信息安 全管理标准体系的基础。这两个标准的颁布和实施，有效提升了各类组织信息安 国家标准征求意见稿材料 全管理的水平，增强组织抵御灾难性事件的能力，大大提高了信息管理工作的安 全性和可靠性。同时，通过指导信息安全管理体系的建设，有效提高了对信息安 全风险的管控能力。 近年来，信息安全领域出现了新的形势。随着大数据、云计算等技术的应用 推广，公有云以其独特的优势越来越受到用户的青睐，数据信息由本地化存储逐 渐转向云端共享。带来便捷的同时，也产生了新的安全隐患，尤其是个人信息的 泄露可能带来更为严重的后果。国家急需制定相关标准对公有云服务商行为进行 规范，保护云端个人信息安全。 目前，我国除了基本的信息安全管理标准之外，还缺乏面向特定应用领域的 信息安全标准。ISO/IEC 27018是第一个指导公有云服务商保护云中个人信息安 全的国际标准，可为充当个人信息处理者的云服务商提供有关评估风险和实施控 制措施的指导。同时，以ISO/IEC 27018为依据的 “云隐私保护认证”也得到云 服务商的认可。我国的众多主流公有云服务商，如腾讯、平安、百度、华为等， 也都通过了该项认证。 ISO/IEC 27018是国际上公认的最权威、最严格的云中个人信息保护标准。 它是在GB/T22081 （ISO/IEC27002，IDT）的基础上，针对公有云个人信息保护 提出的额外控制措施。可见，该标准是对原有信息安全管理标准体系在云端实施 个人信息保护的细化和延伸，与现有信息安全管理标准体系具有天然的内在联 系。我国信息安全管理标准体系是由ISO 27000系列标准转化而来，完全可以继 续采用ISO/IEC 27018作为我国的国家标准，规范公有云服务商的个人信息处理 行为，保护个人信息安全。 ISO/IEC 27018转化实施后，我国认证机构也可据此建立认证规则，开展认 证服务，规范公有云服务商保护个人信息安全的行为，同时，促进标准的贯彻实 施。 草案阶段的主要工作如下： 2019年1月前，项目牵头单位一直跟踪国内外信息安全管理体系的技术发展， 关注国内个人信息保护方面的行业动态，及时了解到国内云服务提供商对于“云