安全计算环境-（六）应用系统-7

应用系统

 

控制点

7.个人信息保护

为了加强对个人信息的保护，《基本要求》对个人信息的采集、存储和使用提出了强制保护要求。

a)

安全要求：应仅采集和保存业务必需的用户个人信息。

要求解读：此项的目的是保护个人信息，不采集业务不需要的个人数据。

检查方法

1．询问系统管理员，了解应用系统采集了用户的哪些个人信息。

2．询问系统管理员，了解应用系统采集的用户个人信息是否是业务应用所必需的。

期望结果

1．已记录应用系统采集的用户个人信息。

2．已记录应用系统的各个功能模块使用了哪些用户个人信息，说明了使用用户个人信息的必要性。

b)

安全要求：应禁止未授权访问和非法使用用户个人信息。

要求解读：应用系统应采取措施，禁止未授权的访问和非法使用个人信息，从而保护个人信息。

检查方法

1．询问系统管理员，了解哪些系统账户可以访问个人信息，以及应用系统采取了什么措施来控制可访问个人信息的系统账户对个人信息的访问。

2．核查相关措施是否有效限制了相关账户对个人信息的访问和使用。

期望结果

1．应用系统已采取措施，控制系统账户对个人信息的访问，例如权限控制等。

2．未经授权，不能访问和使用用户的个人信息。