GBT-信息技术安全技术个人可识别信息（PII）处理者在公有云中保护PII的实践指南.pdfVIP

ICS35.040

L80

中华人民共和国国家标准

GB/T—XXXX

信息技术安全技术个人可识别信息

（PII）处理者在公有云中保护PII的实践

指南

Informationtechnology－Securitytechniques－Codeofpracticefor

protectionofpersonallyidentifiableinformation(PII)inpublicclouds

actingasPIIprocessors

(ISO/IEC27018:2019,MOD)

（征求意见稿）

（本稿完成日期：2020-06-19）

-XX-XX发布XXXX-XX-实施

GB/T—XXXX

目次

前言IV

引言VI

1范围1

2规范性引用文件1

3术语和定义1

4概述2

4.1文件结构2

4.2控制类别3

5信息安全策略3

5.1信息安全管理指导3

5.1.1信息安全策略3

5.1.2信息安全策略的评审4

6信息安全组织4

6.1内部组织4

6.1.1信息安全的角色和责任4

6.1.2职责分离4

6.1.3与职能机构的联系4

6.1.4与特定相关方的联系4

6.1.5项目管理中的信息安全4

6.2移动设备和远程工作4

7人力资源安全5

7.1任用前5

7.2任用中5

7.2.1管理责任5

7.2.2信息安全意识、教育和培训5

7.2.3违规处理过程5

7.3任用的终止和变更5

8资产管理5

9访问控制5

9.1访问控制的业务要求5

9.2用户访问管理5

9.2.1用户注册和注销6

9.2.2用户访问供给6

9.2.3特许访问权管理6

I

GB/T—XXXX

9.2.4用户的秘密鉴别信息管理6

9.2.5用户访问权的评审6

9.2.6访问权的移除或调整6

9.3用户责任6

9.3.1秘密鉴别信息的使用6

9.4系统和应用访问控制6

9.4.1信息访问限制6

9.4.2安全登录规程6

9.4.3口令管理系统7

9.4.4特权实用程序的使用7

9.4.5程序源代码的访问控制7

10密码7

10.1密码控制7

10.1.1密码控制的使用策略7

10.1.2密钥管理7

11物理和环境安全7

11.1安全区域7

11.2设备7

11.2.1设备安置和保护7

11.2.2支持性设施7

11