收藏
下载资源

2024个人信息云存储应用技术要求和测试

上传人:周哈****孩子 文档编号:595393245 上传时间:2024-11-18 格式:DOCX 页数:9 大小:21.70KB
返回 下载 相关 举报
2024个人信息云存储应用技术要求和测试_第1页
第1页 / 共9页
2024个人信息云存储应用技术要求和测试_第2页
第2页 / 共9页
2024个人信息云存储应用技术要求和测试_第3页
第3页 / 共9页
2024个人信息云存储应用技术要求和测试_第4页
第4页 / 共9页
亲,该文档总共9页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《2024个人信息云存储应用技术要求和测试》由会员分享,可在线阅读,更多相关《2024个人信息云存储应用技术要求和测试(9页珍藏版)》请在金锄头文库上搜索。

1、个人信息云存储应用技术要求和测试方法目次前言I引 言II1 范围12 规范性引用文件13 术语和定义14 个人信息云存储应用技术要求24.1 个人信息保护要求24.2 用户权益保障要求24.3 安全保障要求25 测试评价方法35.1 存储技术处理能力要求测试评价方法35.2 用户权益保障要求测试评价方法45.3 安全保障要求测试评价方法4附 录 A (规范性附录/资料性附录) XXX71个人信息云存储应用技术要求和测试方法1 范围本标准规定了个人信息云存储应用的技术要求和测试方法,包括个人信息保护要求、用户体验保障 要求和安全保障要求等,并提供相应的测试评价方法。本标准适用于规范个人信息云存储

2、应用的技术要求及相关测试评价方法,指导云存储应用对个人信 息的安全防护。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T35273-2020信息安全技术 个人信息安全规范GB/T41479-2022网络数据处理安全要求GB/T39680-2020信息安全技术 服务器安全技术要求和测评准则GB/T29765-2021信息安全技术 数据备份与恢复产品技术要求与测试评价方法3 术语和定义下列术语和定义适用于本文件。3.1数据 data任何以电子或者其他方式对信息的记

3、录。3.2个人信息 personal information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。3.3敏感个人信息 sensitive personal information一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周 岁未成年人的个人信息。3.4云存储 cloud storage通过集群应用、网络技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备,通过 应用软件集合起来协同工作,形成云存储资

4、源池,共同对外提供数据存储和业务访问功能的一种存储使 用方式。3.5个人网盘服务业务运营者 personal online disk service business operator互联网服务提供者运用特定的计算机程序向自然人消费者提供的数据存储、备份、传输及其他信息服务业务的系列服务和产品。4 个人信息云存储应用技术要求4.1 个人信息保护要求个人信息云存储应用在收集用户个人信息时,应满足以下要求:a) 收集的信息及收集过程应严格按照GB/T 35273-2020个人信息安全规范执行;b) 收集个人信息时,应当遵循合法、正当、必要的原则,向个人信息主体公开收集、使用规则, 明示收集、使用信

5、息的方式和范围,并获得个人信息主体的授权同意;c)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。4.2 用户权益保障要求4.2.1 传输速率要求应用的传输速率应满足以下要求:a) 在同一网络条件下,个人网盘服务业务经营者应为各类用户提供无差别的上传/下载速率服务。b) 确因自身服务能力、业务发展和商业模式等因素,不能提供4.2.1 a)条服务时,向免费用户提供的上传和下载的最低速率应确保满足基本的下载需求。4.2.2 服务资费要求应用的服务资费应满足以下要求:a) 应优化产品服务资费介绍,向用户清晰明示存储空间、传输速率、功

6、能权益及资费水平等内容;b) 对于包含“限速”、“极速”等相关描述的,应向用户清晰明示提供的服务速率。4.3 安全保障要求4.3.1 数据存储安全对数据的存储安全应满足以下要求:a) 应支持将个人信息匿名化或去标识化处理。b) 存储个人信息等敏感网络数据,应采用加密,安全存储,访问控制、安全审计等安全措施,提供机 密性(加密算法、密钥管理符合密码应用安全要求)和完整性(算法符合密码应用安全要求)保护。c) 应对个人信息的存储应具备异地冗余容灾的数据备份机制,并保证个人信息的完整可用性。d) 存储个人信息,不应超过与和个人信息主体约定的存储期限或个人信息主体授权同意有效期。e) 存储个人生物特征

7、识别信息的,应遵守GB/T 352732020中 6.3 b)和c)的要求及生物特征识别信息保护相关国家标准要求。f) 进行数据存储的服务器应满足GB/T 39680-2020的安全技术要求。4.3.2 数据传输安全对数据的传输安全应满足以下要求:7a) 应使用安全通信协议或者应用层数据加密及完整性保护措施,保护传输中敏感个人信息的机密性和完整性。b)云端应明确数据上传来源、上传方式、上传范围等内容,并记录存档;c) 在数据上传前后应采用校验技术对数据完整性进行校验;d) 应保证上传的数据不被篡改或者伪造。4.3.3 数据备份安全对数据的备份安全应满足以下要求:a) 应在对用户进行明示并获得用

8、户的同意后才可进行自动备份,不应在未经用户同意的情况下自动开启备份;b) 应提供方便易操作的自动备份关闭选项;c) 应用在进行自动备份时,宜采用用户可感知的方式进行;d) 应支持用户对自主备份的数据进行更新、删除等操作;e) 应提供完整性校验机制,保证备份数据完整性,一旦发现完整性破坏应及时告警。4.3.4 数据删除安全a) 对个人云存储数据符合以下情形时,个人网盘服务业务运营者应及时告知用户转移数据,并对 个人信息进行删除:1) 个人信息超出双方约定的存储期限;2) 网络产品和服务停止运营;3) 个人信息主体注销账号;b) 网络运营者应确保个人信息不能被恢复。5 测试评价方法5.1 存储技术

9、处理能力要求测试评价方法测试编号:5.1.1测试项目:个人信息保护要求项目要求:见第 4.1 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤1:检查应用软件收集的数据及收集过程;步骤2:检查应用软件收集使用信息的方式和范围,并核实个人信息主体知情同意的情况; 步骤3:检查应用软件收集未成年人的个人信息的相关约定。预期结果:在步骤 1 后,支持收集的数据及收集过程严格按照 GB/T 35273-2020个人信息安全规范执行; 在步骤 2 后,支持在收集个人信息时,向个人信息主体公开收集、使用规则,明示收集、使用信息的方式和范围,并获得个人信息主体的授权同意;在步骤 3 后,支持在收集

10、年满 14 周岁未成年人的个人信息前,征得未成年人或其监护人的明示同意;不满 14 周岁的,征得其监护人的明示同意。如上述步骤 1、2、3 无异常,则该项目评测结果为“未见异常”,否则为“不符合要求”,评测结束。5.2 用户权益保障要求测试评价方法测试编号:5.2.1测试项目:传输速率项目要求:见第 4.2.1 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤1:检查在同一网络条件下,为不同类别的用户提供的上传下载速率服务。预期结果:在步骤 1 后,未发现为不同类别的用户提供有差别的上传下载速率服务。不能提供无差别的上传下载速率服务时,向免费用户提供的上传和下载的最低速率应确保满足基

11、本的下载需求。如上述步骤 1 无异常,则该项目评测结果为“未见异常”,否则为“不符合要求”,评测结束。测试编号:5.2.1测试项目:服务资费项目要求:见第 4.2.2 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤1:;检查云存储应用的产品服务资费介绍,并核实向用户明示的存储空间、传输速率、功能 权益及资费水平等内容;步骤2:;检查包含“限速”、“极速”等相关描述的云存储应用,核实是否向用户清晰明示提供的服务速率。预期结果:在步骤 1 后,未发现产品服务资费介绍与实际向用户明示的内容不一致;在步骤 2 后,支持向用户清晰明示所提供的服务速率。如上述步骤 1、2 无异常,则该项目评测

12、结果为“未见异常”,否则为“不符合要求”,评测结束。5.3 安全保障要求测试评价方法测试编号:5.3.1测试项目:数据存储安全项目要求:见第 4.3.1 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤1:检查是否支持个人信息匿名化、去标识化处理的能力,并核实个人信息实际处理情况; 步骤2:检查对个人信息存储的机密性保护、完整性保护能力,并核实保护算法和密钥的安全; 步骤3:检查对个人信息的异地数据备份机制,并核实可用性;步骤4:检查对个人信息的存储期限,并核实个人信息主体授权同意有效期; 步骤5:检查对个人生物特征信息的存储,并核实相关要求;步骤6:检查数据存储服务器的安全规范要求

13、。预期结果:在步骤 1 后,支持个人信息匿名化或去标识化处理,并对个人信息按需进行了处理;在步骤 2 后,支持个人信息存储的机密性保护、完整性保护,采用的密码算法安全有效同时对涉及的密钥进行了安全管理;在步骤 3 后,支持个人信息的异地数据备份机制,并且有效可用;在步骤 4 后,支持在约定期限对个人信息进行存储;在步骤 5 后,支持存储的个人生物特征识别信息严格按照 GB/T 352732020个人信息安全规范执行;在步骤6后,支持数据存储的服务器安全规范严格按照GB/T 39680-2020服务器安全技术要求和测评准则执行。如上述步骤 1、2、3、4、5、6 无异常,则该项目评测结果为“未见

14、异常”,否则为“不符合要求”, 评测结束。测试编号:5.3.2测试项目:数据传输安全项目要求:见第 4.3.2 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤 1:检查传输中敏感个人信息的机密性和完整性保护措施,并核实保护实施细节(协议版本、密码算法、密钥等的安全);步骤 2:检查云端上传数据的来源、方式、范围等内容,并核实存档记录; 步骤 3:检查数据上传前后的校验技术,并核实数据完整性;步骤 4:检查上传的数据的真实准确性。预期结果:在步骤 1 后,支持传输中敏感个人信息的机密性和完整性保护,并采用安全的通信协议或应用层数据安全加密算法进行了有效保护,同时对涉及的密钥进行了安全管理;在步骤 2 后,支持明确数据的上传来源、上传方式、上传范围等内容,同时记录存档;在步骤 3 后,支持在数据上传前后采用校验技术对数据完整性进行校验;在步骤 4 后,未发现上传的数据被篡改或者伪造。如上述步骤 1、2、3、4 无异常,则该项目评测结果为“未见异常”,否则为“不符合要求”,评测结束。测试编号:5.3.3测试项目:数据备份安全项目要求:见第 4.3.3 节预置条件:1、被测应用软件处于正常工作状态测试步骤:步骤1:检查对个人信息进行自动备

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号