信息安全技术 信息技术产品供应行为安全准则

ICS

35.040GB/TL80XXXXX—XXXXOB中华人民共和I家标准信息安全技术信息技术产品供应行为安全准贝I]Information securitytechnology-security criterionof supplyingconduct forinformation technology products（征求意见稿）（本稿完成日期2014-04-08）XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国国家质量监督检验检疫总局国家标准化管理委员会-/a-1-L5刖舌1范围12规范性引用文件13术语和定义14行为准则2参考文献3—1—刖百本标准按照GB/T

1.1-2009的规则起草本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口本标准主要起草单位工业和信息化部电子工业标准化研究院、曙光信息产业股份有限公司、新浪网技术（中国）有限公司、北京奇虎科技有限公司、百度在线网络技术（北京）有限公司、北京瑞星科技股份有限公司、北京工业大学本标准主要起草人高林、胡啸、许东阳、姚相振、范科峰、蔡磊、罗锋盈、杨震、徐克超、刘硕信息安全技术信息技术产品供应行为安全准则1范围本标准规定了信息技术产品供应方在提供信息技术产品时.，为保护用户相关信息应遵守的基本准则本标准适用于信息技术产品供应过程中的信息保护及其管理，也可为信息技术产品的研发、运维等提供参考2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T25069-2010信息安全技术术语3术语和定义GB/T25069-2010中界定的以及下列术语和定义适用于本文件

3.1信息技术产品informationtechnoI ogyproduct具有采集、存储、处理、传输、控制、交换、显示数据或信息的软件与设备，包括计算机及其辅助设备、网络设备、自动控制设备、操作系统、数据库、应用软件与服务等信息技术产品供应方information technologyproduct suppIier提供信息技术产品的组织，包括生产商、销售商、代理商、集成商、运维服务商等元数据metadata定义和描述其他数据的数据用户相关信息user reI atedi nformati on使用信息技术产品的自然人或法人的信息及其元数据，包括用户个人信息，产品中用户生成的文档、程序、多媒体资料等，用户通信内容、地址、时间，产品的配置和运行状况，以及位置数据等明示同意expressed consent用户信息主体明确授权同意，并保留证据4行为准则信息技术产品供应方1）为保证产品正常运行或其他正当理由确需收集、存储、处理用户相关信息时，应明确告知用户其信息使用的目的、用途、类型、数量、存放地域、保存期限等事项；确需同产品建立数据连接、远程控制用户产品时，应告知用户此行为的目的、用途以及所使用的端口、协议等2）在收集用户相关信息或实施远程控制用户产品前，应经用户明示同意，并提供同意或禁止收集用户相关信息以及同意或禁止连接、远程控制的方法与标志3）应将收集的用户相关信息以及远程控制的范围减少到最小，满足业务目的即可，且应满足相关的法规要求4）应将所收集到的用户相关信息仅用于其明示的目的和用途，并保护收集的用户相关信息，防止其被泄露以及滥用等；未经用户同意，不得公开、转让用户相关信息、，不得为境外机构或个人获取用户相关信息提供便利条件5）如果在产品中设有测试或维护接口，应告知用户并提供关闭测试或维护接口的方法；不应预设隐蔽接口、加载未明示功能模块或禁用、绕过安全机制的组件6）在实施用于维护的远程控制时，应以安全的访问方式建立连接，且只对限定机器上的特定账户提供访问，所进行的任何远程维护活动均应载入日志以备日后审计7）应为用户相关信息的收集、用户产品的远程控制以及产品与供应方之间数据交互的行为提供可以被检测验证的方法8）应将在我国市场经营活动中收集掌握的政府部门、国家关键基础设施的用户相关信息仅在境内存储、传输和处理9）不应利用技术或市场优势，限制用户合理选择其他供应方的产品、部件或技术10）应为用户数据和业务在不同产品与系统间的迁移及替换，提供必要的技术资料和支持参考文献

[1]GB/Z28828-2012信息安全技术公共及商用服务信息系统个人信息保护指南

[2]GB/T29244-2012信息安全技术办公设备基本安全要求

[3]GB/T

27050.1-2006合格评定供方的符合性声明第1部分通用要求

[4]IS0/IEC15408-2009信息技术安全技术信息技术安全性评估准则

[5]IS0/IEC29100信息技术安全技术隐私框架

[6]欧盟关于在个人数据处理过程中保护当事人及此类数据自由流通的指令1995/46/EC,1995

[7]NIST SP800-122个人可识别信息（PH）机密性保护指南

[8]NIST SP800-53联邦信息系统安全与隐私控制措施-/a-1-L5刖舌1范围12规范性引用文件13术语和定义14行为准则2参考文献3—1—刖百本标准按照GB/T

1.1-2009的规则起草本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口本标准主要起草单位工业和信息化部电子工业标准化研究院、曙光信息产业股份有限公司、新浪网技术（中国）有限公司、北京奇虎科技有限公司、百度在线网络技术（北京）有限公司、北京瑞星科技股份有限公司、北京工业大学本标准主要起草人高林、胡啸、许东阳、姚相振、范科峰、蔡磊、罗锋盈、杨震、徐克超、刘硕。