DB44∕T 2189.3-2019移动终端信息安全 第3部分：敏感信息风险评估.pdfVIP

ICS 35.060 M 36 DB44 广 东 省 地 方 标 准 DB44/T 2189.3—2019 移动终端信息安全 第3 部分：敏感信息风险评估 Informataion security of mobile terminal Part3 Risk evaluation for sensitive — ： information 2019 - 09 - 09 发布 2019 - 12 - 01 实施 广东省市场监督管理局 发 布 DB44/T 2189.3—2019 目 次 前言III 1 范围1 2 规范性引用文件 1 3 术语和定义1 4 概述1 5 移动终端敏感信息风险评估模型 1 5.1 敏感信息风险要素 1 5.2 敏感信息风险分析示意图 1 5.3 敏感信息风险评估实施流程 2 6 敏感信息风险要素识别 2 6.1 敏感信息生成的风险要素识别 2 6.2 敏感信息存储的风险要素识别 2 6.3 敏感信息加工的风险要素识别 3 6.4 敏感信息转移的风险要素识别 3 6.5 敏感信息应用的风险要素识别 3 6.6 敏感信息废止与删除的风险要素识别 4 7 敏感信息风险评估实施 4 7.1 风险评估的准备 4 7.2 资产识别4 7.2.1 资产分类5 7.2.2 资产赋值5 7.3 威胁识别 6 7.3.1 总则6 7.3.2 威胁识别分类 7 7.3.3 威胁赋值 7 7.4 脆弱性识别8 7.4.1 脆弱性识别分类 8 7.4.2 脆弱性赋值 9 7.5 已有安全措施的确认9 8 敏感信息风险分析 10 8.1 风险分析原理 10 8.2 风险分析过程 10 8.2.1 风险计算方法 10 8.2.2 风险等级赋值 10 I DB44/T 2189.3—2019 8.3 风险处理 11 8.4 残余风险评估 11 9 敏感信息风险评估文档 11 参 考 文 献 12 II DB44/T 2189.3—2019 前 言 《移动终端信息安全》分为4个部分： ——移动终端信息安全 第1部分：敏感信息安全检测技术要求； ——移动终端信息安全 第2部分：敏感信息等级保护与测评； ——移动终端信息安全 第3部分：敏感信息风险评估； ——移动终端信息安全 第4部分：敏感信息安全检测方法。 本部分为第3部分。 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由广东省工业和信息化厅提出。 本标准由广东省大数据标准化技术委员会 （GD/TC120 ）归口。 本标准的主要起草单位：工业和信息化部电子第五研究所。 本标准主要起草人：王韬、王贵虎、杨春晖、林军、冯晓荣、谢克强、华小方。 本部分为首次发布。