DB44_T 2189.2-2019移动终端信息安全 第2部分：敏感信息安全等级保护与测评.docxVIP

ICS 35.060 M 36 DB44 广 东 省 地 方 标 准 DB44/T 2189.2—2019 移动终端信息安全 Informataion security of mobile terminal—Part2：Testing and evaluation Informataion security of mobile terminal—Part2：Testing and evaluation for classified protection of sensitive information security 2019 - 09 - 09 发布 2019 - 12 - 01 实施 广东省市场监督管理局 发 布 目 次 前言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 移动终端敏感信息等级保护概述 1 敏感信息安全保护等级 1 不同等级的安全保护能力 1 安全要求 2 5 移动终端敏感信息安全等级保护要求 2 5.1 总则 2 较轻要求 2 敏感信息的生成 2 敏感信息的存储 2 敏感信息的加工 2 敏感信息的转移 2 敏感信息的应用 3 敏感信息的废止与删除 3 一般要求 3 敏感信息的生成 3 敏感信息的存储 3 敏感信息的加工 3 敏感信息的转移 3 敏感信息的应用 4 敏感信息的废止与删除 4 严重要求 4 敏感信息的生成 4 敏感信息的存储 4 敏感信息的加工 5 敏感信息的转移 5 敏感信息的应用 5 敏感信息的废止与删除 5 6 移动终端敏感信息安全等级保护测评原则 5 客观性和公正性原则 5 经济性和可重用性原则 5 可重复性和可再现性原则 6 符合性原则 6 7 移动终端敏感信息安全等级保护测评要求 6 较轻测评要求 6 敏感信息的生成 6 敏感信息的存储 6 敏感信息的加工 7 敏感信息的转移 8 敏感信息的应用 8 敏感信息的废止与删除 9 一般测评要求 9 敏感信息的生成 10 敏感信息的存储 10 敏感信息的加工 11 敏感信息的转移 11 敏感信息的应用 12 敏感信息的废止与删除 13 严重测评要求 13 敏感信息的生成 13 敏感信息的存储 14 敏感信息的转移 15 敏感 敏感信息的转移 15 敏感信息的应用 16 敏感信息的废止与删除 17 参 考 文 献 18 前 言 《移动终端信息安全》分为4个部分： ——移动终端信息安全 第1部分：敏感信息安全检测技术要求； ——移动终端信息安全 第2部分：敏感信息安全等级保护与测评； ——移动终端信息安全 第3部分：敏感信息风险评估； ——移动终端信息安全 第4部分：敏感信息安全检测方法。本部分为第2部分。 本部分按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由广东省工业和信息化厅提出。 本部分由广东省大数据标准化技术委员会（GD/TC120）归口。 本部分起草单位：工业和信息化部电子第五研究所。 本部分主要起草人：王韬、王贵虎、杨春晖、华小方、冯晓荣、谢克强。本部分为首次发布。 移动终端信息安全 第 2 部分：敏感信息安全等级保护与测评 范围 本部分规定了移动终端敏感信息安全等级保护概述、敏感信息安全等级保护要求、敏感信息安全等级保护测评原则和敏感信息安全等级保护测评要求。 本部分适用于移动通信网的手机和平板电脑设备。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南DB44/T 2189.1-2019 移动终端信息安全 第 1 部分：敏感信息安全检测技术要求 术语和定义 DB44/T 2189.1-2019 界定的术语和定义适用于本部分。 移动终端敏感信息等级保护概述 敏感信息安全保护等级 本部分将移动终端敏感信息的安全保护等级分为以下三级： 较轻，敏感信息受到破坏或泄露后，会对个人和其他组织的合法权益造成较轻损害，但不损害社会秩序和公共利益。 一般，敏感信息受到破坏或泄露后，会对个人和其他组织的合法权益产生一般损害，或者对社会秩序和公共利益造成损害。 严重，敏感信息受到破坏或泄露后，会对社会秩序和公共利益造成严重损害。 不同等级的安全保护能力 不同等级的移动终端敏感信息应具备的基本安全保护能力如下： 较轻安全保护能力：应能够防护移动终端敏感