《信息安全技术 信息技术产品供应行为安全准则》.docVIP

GB/TXXXXX—XXXX

PAGE2

ICS?FORMTEXT35.040

FORMTEXTL80

中华人民共和国国家标准

GB/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT信息安全技术信息技术产品供应行为安全准则

FORMTEXTInformationsecuritytechnology-securitycriterionofsupplyingconductforinformationtechnologyproducts

FORMDROPDOWN

FORMTEXT（本稿完成日期：2014-04-08）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

GB/TXXXXX—XXXX

PAGE3

信息安全技术信息技术产品供应行为安全准则

范围

本标准规定了信息技术产品供应方在提供信息技术产品时，为保护用户相关信息应遵守的基本准则。

本标准适用于信息技术产品供应过程中的信息保护及其管理，也可为信息技术产品的研发、运维等提供参考。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

术语和定义

GB/T25069-2010中界定的以及下列术语和定义适用于本文件。

信息技术产品informationtechnologyproduct

具有采集、存储、处理、传输、控制、交换、显示数据或信息的软件与设备，包括计算机及其辅助设备、网络设备、自动控制设备、操作系统、数据库、应用软件与服务等。

信息技术产品供应方informationtechnologyproductsupplier

提供信息技术产品的组织，包括生产商、销售商、代理商、集成商、运维服务商等。

元数据metadata

定义和描述其他数据的数据。

用户相关信息userrelatedinformation

使用信息技术产品的自然人或法人的信息及其元数据，包括用户个人信息，产品中用户生成的文档、程序、多媒体资料等，用户通信内容、地址、时间，产品的配置和运行状况，以及位置数据等。

明示同意expressedconsent

用户信息主体明确授权同意，并保留证据。

行为准则

信息技术产品供应方：

1）为保证产品正常运行或其他正当理由确需收集、存储、处理用户相关信息时，应明确告知用户其信息使用的目的、用途、类型、数量、存放地域、保存期限等事项；确需同产品建立数据连接、远程控制用户产品时，应告知用户此行为的目的、用途以及所使用的端口、协议等。

2）在收集用户相关信息或实施远程控制用户产品前，应经用户明示同意，并提供同意或禁止收集用户相关信息以及同意或禁止连接、远程控制的方法与标志。

3）应将收集的用户相关信息以及远程控制的范围减少到最小，满足业务目的即可，且应满足相关的法规要求。

4）应将所收集到的用户相关信息仅用于其明示的目的和用途，并保护收集的用户相关信息，防止其被泄露以及滥用等；未经用户同意，不得公开、转让用户相关信息，不得为境外机构或个人获取用户相关信息提供便利条件。

5）如果在产品中设有测试或维护接口，应告知用户并提供关闭测试或维护接口的方法；不应预设隐蔽接口、加载未明示功能模块或禁用、绕过安全机制的组件。

6）在实施用于维护的远程控制时，应以安全的访问方式建立连接，且只对限定机器上的特定账户提供访问，所进行的任何远程维护活动均应载入日志以备日后审计。

7）应为用户相关信息的收集、用户产品的远程控制以及产品与供应方之间数据交互的行为提供可以被检测验证的方法。

8）应将在我国市场经营活动中收集掌握的政府部门、国家关键基础设施的用户相关信息仅在境内存储、传输和处理。

9）不应利用技术或市场优势，限制用户合理选择其他供应方的产品、部件或技术。

10）应为用户数据和业务在不同产品与系统间的迁移及替换，提供必要的技术资料和支持。

参考文献

[1]GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南

[2]GB/T29244-2012信息安全技术办公设备基本安全要求

[3]GB/T27050.1-2006合格评定供方的符合性声明第1部分：通用要求

[4]ISO/IEC15408-2009信息技术安全技术信息技术安全性评估准则

[5]ISO/IEC291