ICS 35. 020 CCS L 70 团 体 标 准 T/CERS 0021-2023 电力移动互联网应用个人信息及接口安全 防护技术要求 Technical requirements for personal information and interface security protection of powermobile internet applications 2023-12-25发布 2023-12-25实施 中国能源研究会发布
T/CERS 0021-2023 目次 前言. 1范围. 2规范性引用文件 3术语和定义, 4缩略语. 5总体要求. 6电力移动互联网应用个人信息和接口类型 6.1个人信息类型 6.2接口类型. 7个人信息保护要求, 7.1个人信息收集, 7.2个人信息传输 7.3个人信息存储, 7.4个人信息使用.. 7.5个人信息共享、转让和公开披露, 7.6个人信息主体权利 8接口安全防护要求, 8.1基本安全要求, 8.2身份认证.. 8.3访间控制. 8.4传输安全. 8.5集成和部署安全. 8.6风险控制, 8.7安全审计 参考文献.
T/CERS 0021-2023 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国能源研究会归口.
本文件起草单位:国网智能电网研究院有限公司、上海上讯信息技术有限公司、国家电网公司客 户服务中心、国网数字科技控股有限公司、国网重庆市电力公司、国网湖南省电力有限公司、国网江 苏省电力有限公司.
本文件主要起草人:李勇、陈璐、卢子昂、陈牧、张涛、马媛媛、李尼格、邵志鹏、戴造建、方 文高、王腾岩、陆晓雄、王晨飞、彭轼、靳敏、陈中伟、夏飞、李树、赵新建、石琳珊.
本文件首次发布.
本文件在执行过程中的意见或建议至中国能源研究会.
相关意见联系方式:中国能源研究会标准执行办公室(E-mail:.cn:Tel: )、中国能源研究会信息通信专业委员会标准工作委员会(E-mail:icc@.cn).
T/CERS0021-2023 电力移动互联网应用个人信息及接口安全防护技术要求 1范围 本文件规定了电力移动互联网应用个人信息及接口安全防护技术要求,包括电力移动互联网应用 个人信息和接口类型、个人信息保护要求及接口安全防护要求.
本文件适用电力移动互联网应用的技术评估、监督检查和安全防护.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB17859计算机信息系统安全保护等级划分准则 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T35273信息安全技术个人信息安全规范 GB/T35276信息安全技术SM2密码算法使用规范 GB/T35278信息安全技术移动终端安全保护技术要求 GB/T37964信息安全技术个人信息去标识化指南 GB/T38636信息安全技术传输层密码协议(TLCP) GB/T41391信息安全技术移动互联网应用程序(App)收集个人信息基本要求 电力行业网络安全等级保护管理办法国能发安全规(2022)101号 3术语和定义 GB/T22239、GB/T25069、GB/T35273和GB/T35278界定的以及下列术语和定义适用于本文件.
3. 1 电力移动互联网应用powermobileinternetapplication 电力企业开展业务服务基于移动操作系统开发的互联网应用软件.
注:简称电力移动App 3. 2
T/CERS 0021-2023 电力移动互联网应用接口powermobileapplicationinterface 电力移动互联网应用对外提供功能访间的通道,外部开发者可以通过访问该通道获取电力企业应 用服务,无需关注服务具体设计与实现.
3.3 逻辑隔离logicalisolation 指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是 隔离的,只有被系统要求传输的、内容受限的信息可以通过.
3. 4 数据脱敏data masking 一种数据保护技术,通过对原始数据进行变换、替换、混淆等方式,将敏感信息部分或全部隐藏, 达到数据保密的目的.
3. 5 数字水印digitalwatermark 通过特定算法将特定信息嵌入到多媒体内容中以实现文件真伪鉴别、保护等功能的数据保护 技术.
3. 6 去标识化 de-identification 通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息 主体的过程.
4缩略语 下列缩略语适用于本文件: App:应用程序(Application) API:应用程序接口(Application Programming Interface) IMEI:国际移动设备识别码(International Mobile Equipment Identity) IMSI:国际移动用户识别码(Intermational Mobile Subscriber Identity) MAC:介质访间控制(Medium Access Control) REST:表述性状态传递(Representational State Transfer) SDK:软件开发工具包(Software Development Kit) SOAP:简单对象访问协议(Simple Object Access Protocol) SQL:结构化查询语言(Structured Query Language)
