《信息安全技术 信息技术产品供应行为安全准则》编制说明

《信息安全技术信息技术产品供应行为安全准则》

编制说明

一、工作简况

1.任务来源

根据工信协函[2013]27号文件“关于委托开展信息技术产品信息安全通用

规范研究起草工作的函”，中国电子技术标准化研究院作为主办单位，联合华为

技术有限公司、中兴通讯技术有限责任公司等企业和科研院所开展信息技术产品

供应行为安全准则国家标准研制工作。目前，已经形成标准征求意见稿。

2.主要工作过程

2013年2月，中国电子技术标准化研究院接到工业和信息化部信息安全协

调司下达任务后成立了《信息技术产品供应行为安全准则》国家标准工作组。工

作组由中国电子技术标准化研究院、华为技术有限公司、中兴通讯技术有限责任

公司、曙光计算机设备有限公司、新浪、百度、北京瑞星科技股份有限公司等单

位组成。

2013年3月29日，标准工作组主要人员前往奇虎360公司调研，调研软件

产品提供者的安全声明、用户数据保护等方面的方案与需求。

2013年3月29日，标准工作组主要人员前往绿盟公司调研，调研信息安全

提供者对于用户数据保护的技术、检测验证等方面的方案与需求。

2013年4月—5月，标准工作组主要人员先后调研了华为、新浪、中兴等公

司，调研信息技术提供者关于维护用户数据安全方面的技术方案与标准化需求。

2013年2月—5月，标准工作组主要人员研究国内外对信息技术产品及其供

应方维护用户信息安全的具体要求，包括整理NISTSP800-53联邦信息系统安

全与隐私控制措施、SP800-122个人可识别信息（PII）机密性保护指南、安全

内容自动化协议（SCAP）、联邦桌面核心配置（FDCC）、网络空间可信身份国家战

略（NSTIC）、ISO/IECJTC1SC27制定的ISO/IEC29100隐私保护框架等标准，

欧盟1995年发布的隐私权指令、1997年发布的电信业隐私权指令、2002年发布

的电子隐私权指令、美国2012年提出的网络用户隐私权利法案等相关的法律、

制度、政策中关于用户信息安全的相关要求和措施，以及国内法律、制度、政策

和相关标准等资料。

2013年6月，在前期工作的基础上，标准工作组主要人员参考和分析国内

外已有ISO/IEC29100、ISO/IEC29101、ISO/IEC29190、ISO22307、NIST

SP800-53、NISTSP800-122、ISO/IEC15408、GB/Z28828-2012、DB21/Y1628-2012

等相关标准，并结合我国信息技术产品信息安全审查机制的需要，形成了标准草

案初稿。

2013年7月19日，标准工作组在北京召开了信息技术产品供应行为规范标

准研讨会，主要研究讨论针对我国国情和信息安全管理需要的标准内容设置的合

理性、标准实施的可行性等问题，并讨论了标准工作组收集的针对该标准草案的

行业企业和部分专家意见。与会专家对标准文稿内容进行了研究研讨，认为该标

准的制定对建立信息技术产品信息安全审查机制很有必要，同时希望配合相关法

律法规共同维护国家以及用户的信息安全。

2013年7月20日至7月31日，标准工作组主要人员采纳了标准研讨会的

部分专家意见,并及时研读我国信息安全管理最新政策文件,分析比较NSTIC及

美国2012年提出的网络用户隐私权利法案等规范文件的有益内容,对标准草案

内容进行修改完善,形成标准草案。

2013年12月11日，标准工作组在北京召开了行为规范标准研讨会，主要

征求信息安全专家范围意见。与会专家针对标准草案提出了具体的建议，认为该

标准草案对用户相关信息的保护具有指导意义，可作为信息技术产品设计、开发、

安全管理、采购的依据，并建议标准名称改为《信息安全技术信息技术产品提

供者保护用户信息行为准则》。

2014年1月3日，标准工作组在北京召开了行为规范标准研讨会，主要征

求行业企业意见。与会专家对征求意见稿中的术语定义、原则与验证方法进行了

反复的论证和推敲，提出了宝贵的建议。

1

2014年3月13日，标准工作组在北京召开了行为规范标准研讨会，主要征

求测评认证行业专家意见。与会专家对征求意见稿中的术语定义、行为准则等提

出了宝贵的建议，对文本进行了修改完善。

2014年3月20日，标准工作组在北京召开了信息技术产品供应行为安全准

则标准评审会。与会专家对征求意见稿中的术语定义、行为准则等提出了宝贵的

建议，对文本进行了修改完善，建议尽快网上征求意见。

2014年1月至4月，标准工作组主要人员多次和工业和信息化部信息安全

协调司负责同志就标准草案内容的科学性、合理性、标准范围和标准名称进行沟

通讨论，反复斟酌,对文本进行了修改完善，形成了标准征求意见稿。

二、标准编制原则和主要内容

1.编制原则

本标准在编制过程中参考了国际隐私保护、用户数据安全等方面的标准与法

规，并依据GB/T1.1-2009给出的规则进行起草。在编制过程中结合并贯彻全国

人大常委会《关于加强网络信息保护的决定》相关要求，充分发挥国家信息安全

标准在保障个人、企业和国家信息安全，促进产业发展作用等精神，充分考虑信

息安全审查工作的需要，从信息技术产品（包括软件、硬件、系统等）安全使用

和管理的角度，规范了信息技术产品提供者在提供信息技术产品时应遵守的信息

安全行为规范。

2.主要内容

本标准规定了信息技术产品供应方在提供信息技术产品时，为保护用户相关

信息应遵守的基本准则。

本标准适用于信息技术产品供应过程中的信息保护及其管理，也可为信息技

术产品的研发、运维等提供参考。

本标准主要框架内容如下：

2

1范围

2规范性引用文件

3术语和定义

4行为准则

本标准关键技术内容如下：

信息技术产品提供者应以明示授权、最少够用、安全保障、开放兼容、透明

可信等方式提供相关产品：

(1)明示授权原则

明示授权原则要求信息技术产品提供者收集用户相关信息和通过有线、无线

网络控制产品启停、变更产品配置、禁用产品功能、改变运行状态、更改用户信

息、限制其他产品使用等远程控制用户产品时应告知哪些内容、目的应公开、需

要用户明示同意，如果用户中止授权时享有的权利，以及提供者披露或转移用户

数据时需要再次获得用户的授权。

(2)最少够用原则

最少够用原则要求信息技术产品提供者所收集的用户数据最小化，在数据使

用方面受到限制。

(3)安全保障原则

安全保障原则要求信息技术产品提供者应保障用户的数据安全以及采取安

全防护行为，保证在产品中未预置后门、未加载禁用或绕过安全机制的组件等。

(4)开放兼容原则

开放兼容原则要求信息技术产品的开放性与兼容性，首选通用的技术和组

件，降低关键组件缺失造成的产品不可用的风险，便于数据和业务在不同产品与

系统间的迁移及替换。

(5)透明可信原则

透明可信原则要求信息技术产品可审计、可验证，信息技术产品提供者应为

3

用户了解被收集的信息和可被远程控制的情况提供技术支持。

基于以上原则，信息技术产品供应方：

1）为保证产品正常运行或其他正当理由确需收集、存储、处理用户相关信

息时，应明确告知用户其信息使用的目的、用途、类型、数量、存放地域、保存

期限等事项；确需同产品建立数据连接、远程控制用户产品时，应告知用户此行

为的目的、用途以及所使用的端口、协议等。（透明性，向用户明示）

2）在收集用户相关信息或实时远程控制用户产品前，应经用户明示同意，

并提供同意或禁止收集用户相关信息以及同意或禁止连接、远程控制的方法与标

志。（用户授权）

3）应将收集的用户相关信息以及远程控制的范围减少到最小，满足业务目

的即可，且应满足相关的法规要求。（法规包括：身份证法、侵权责任法、电信

条例、互联网电子邮件管理办法、刑法修正案等）

4）应将所收集到的用户相关信息仅用于其明示的目的和用途，并保护收集

的用户相关信息，防止其被泄露以及滥用等；未经用户同意，不得公开、转让用

户相关信息，不得为境外机构或个人获取用户相关信息提供便利条件。（保障采

集到的数据的安全性）

5）如果在产品中设有测试或维护接口，应告知用户并提供关闭测试或维护

接口的方法；不应预设隐蔽接口、加载未明示功能模块或禁用、绕过安全机制的

组件。（防止后门等造成用户相关信息泄露以及被非法远程控制）

6）在实施用于维护的远程控制时，应以安全的访问方式建立连接，且只对

限定机器上的特定账户提供访问，所进行的任何远程维护活动均应载入日志以备

日后审计。（防止实施维护时造成用户相关信息泄露）

7）应为用户相关信息的收集、用户产品的远程控制以及产品与供应方之间

数据交互的行为提供可以被检测验证的方法。（解决供应方在用户不知情的情况

下采集数据、扩大采集数据的范围、控制用户产品等行为）

8）应将在我国市场经营活动中收集掌握的政府部门、国家关键基础设施的

用户相关信息仅在境内存储、传输和处理。（我国重要信息跨境传输问题）

4

9）不应利用技术或市场优势，限制用户合理选择其他供应方的产品、部件

或技术。（用户选择权问题、垄断问题）

10）应为用户数据和业务在不同产品与系统间的迁移及替换，提供必要的技

术资料和支持。（用户选择权问题、垄断问题）

三、预期的效益

本标准的制定对于保障信息技术产品信息安全审查工作的开展与保障用户

信息安全具有重要意义，并对我国信息技术产业发展起到促进作用，同时对于保

障用户信息安全配套标准制定具有借鉴意义。

四、与国际、国外同类标准水平的对比情况

本标准充分考虑信息技术产品提供者保障用户信息安全实际情况和发展现

状，给出了指导原则与验证方法，引导信息技术产品产业的健康稳定发展。

目前，美国国家网络空间可信身份战略（NSTIC）公平信息实践原则(FIPPs)

规定了8项原则，即透明性、用户参与、目的明确、数据最小化、使用限制、数

据质量和完整性、安全性、责任和审计，主要目的是保护用户的个人信息。本标

准主要针对用户相关信息进行保护，不仅仅是用户的个人信息，还包括除此之外

的用户数据以及元数据保护，对信息技术产品提供者的信息安全行为做出规范，

本标准中定义的原则包含了NSTIC公平信息实践原则FIPPs的相关内容，并从保

护用户相关信息的角度对原则进行了合并归类，形成了本标准中的重点关注信息

技术产品与提供者之间的信息交互安全问题，指导性更强，是立足于我国当前技

术和市场环境下的信息技术产品提供者行为规范。同时，该标准对促进我国信息

技术产业发展与技术进步具有重要意义。

五、与有关现行法律、法规和强制性行业标准的关系

本标准是落实2012年12月28日第十一届全国人民代表大会常务委员会第

三十次会议通过的《关于加强网络信息保护的决定》精神，加强维护用户的信息

安全保护。国发〔2012〕23号文件明确规定“强化信息资源和个人信息保护”，

5

要“严格规范企业、机构在我国境内收集数据的行为”，本标准规定了信息技术

产品提供者收集用户相关信息与远程控制用户产品的行为准则。

本标准符合我国现行的法律、法规，可以与现有国家标准配合使用。

六．重大分歧意见的处理经过和依据

详见标准意见汇总处理表。

七、废止现行有关标准的建议

无需废止现行的标准。

八、其它应于说明的事项