TCHEAA 0001.2-2019 智能家电云云互联互通 第2部分：信息安全能力要求

 1  ISC35.100.70L79团体标准T/CHEAA0001.2—2019智能家电云云互联互通第2部分：信息安全能力要求Cloudtocloudinterconnectionforsmarthouseholdappliances—Part2:Requirementsforthecompetenceofinformationsecurity2019-03-15发布2019-03-15实施中国家用电器协会发布T/CHEAA0001.2—2019I  目次前言......................................................................II引言.....................................................................III1.范围.....................................................................12.规范性引用文件...........................................................13.术语和定义及缩略语.......................................................13.1术语和定义..............................................................13.2缩略语..................................................................34.接口信息安全要求.........................................................44.1通信安全................................................................44.2身份认证和授权..........................................................44.3数据安全................................................................54.4错误信息处理............................................................64.5接口稳定性..............................................................64.6日志审计................................................................65.安全事件协同管理要求.....................................................75.1安全事件的分类和分级....................................................75.2责任模型................................................................75.3服务条款................................................................75.4明确责任部门和人员......................................................85.5应急响应................................................................85.6事件通告................................................................85.7持续改进................................................................9附录A（规范性附录）对用户数据和隐私保护的特别要求.........................10A.1导则...................................................................10A.2数据生产和收集.........................................................10A.3数据传输...............................................................10A.4数据的使用.............................................................10A.5数据保存...............................................................11A.6数据销毁...............................................................11附录B（资料性附录）相关法规、标准、认证规则...............................12B.1导则...................................................................12B.2国内相关标准和认证规则.................................................12B.3国际相关法规、标准、认证规则...........................................12T/CHEAA0001.2—2019II  前言T/CHEAA0001《智能家电云云互联互通》分为以下2个部分：——第1部分：基本要求及一般模型——第2部分：信息安全能力要求本部分为T/CHEAA0001的第2部分。本部分按照GB/T1.1—2009给出的规则起草。本部分由中国家用电器协会提出。本部分由中国家用电器协会标准化委员会归口。本部分版权归中国家用电器协会所有，未经中国家用电器协会许可不得随意复制，其他机构采用本部分的技术内容制修订标准须经中国家用电器协会允许，任何单位或个人引用本部分的内容需指明本部分的标准号。截至本部分正式发布之日，中国家用电器协会未收到任何有关于本部分涉及专利的报告，中国家用电器协会不负责确认本部分的某些内容是否还存在涉及专利的可能性。本部分起草单位：中国家用电器协会、杭州涂鸦信息技术有限公司、青岛海尔科技有限公司、博西家用电器投资（中国）有限公司、广州云智易物联网有限公司、联想（北京）有限公司、青岛聚好联科技有限公司、TCL电子控股有限公司、长虹美菱股份有限公司、创维集团有限公司、康佳集团股份有限公司、美的集团股份有限公司、奥克斯空调股份有限公司、广东格兰仕集团有限公司、苏州三星电子有限公司、惠而浦（中国）股份有限公司。本部分主要起草人：姜风、刘龙威、王淼、苏州、李杨、张亚群、张沛、罗寿中、李昱兵、黄辰、陆军锋、陈挺、刘复鑫、李桂丰、黄圣祥、谢厂节、万春晖、邵光达、钱海峰、柯都敏、周瑞鑫、井皓、祖岩岩、黄兵、胡协斌、张瑜龙、祁树壮、罗新宇、严勇、陈嘉琦、廖杰、毕志国、张天顺、曾伟枢、张小平、王涛。T/CHEAA0001.2—2019III  引言近年，随着越来越多的家用电器接入了互联网、物联网，众多家电厂商的智能云平台从私有走向开放共享，而信息安全风险也随之被扩大，所以，实施云云互联互通的厂商间达成一致的信息安全要求就势在必行。本部分针对家电云云互联面临的信息安全风险，提出了实施云云互联的云平台接口的信息安全能力要求、出现安全事件的协同管理机制、应满足或参考的国内外标准和技术法规、用户数据和隐私的保护规定，旨在帮助云云互联的企业达成一致的信息安全规范，保障双方利益，遏制因共享而产生的安全风险。   T/CHEAA0001.2—2019 1  智能家电云云互联互通第2部分：信息安全能力要求1.范围本部分规定了在中国开展云云互联互通业务的各关联厂商云平台（以下简称各云平台）之间云云互联互通接口及相关要素的信息安全能力要求、信息安全事件的管理要求、相关标准及技术法规以及对用户数据和隐私保护的特别要求。本部分不涉及对各云平台上非云云互联互通业务的安全和隐私性做要求。2.规范性引用文件下列文件对于本部分的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本部分。凡是不注日期的引用文件，其昀新版本（包括所有的修改单）适用于本部分。GB/T16264.8信息技术第8部分：开放系统互联目录GB/Z20985信息技术安全技术信息安全事件管理指南GB/Z20986信息安全技术信息安全分类事件分级指南GB/T25069信息安全技术术语GB/T35273信息安全技术个人信息安全规范IETFRFC5246安全传输层协议1.2版本[TheTransportLayerSecurity（TLS）ProtocolVersion1.2]3.术语和定义及缩略语3.1术语和定义以下术语和定义适用于本部分。3.1.1安全传输层协议transportlayersecurity在两个通信应用程序之间提供身份认证、数据保密性和数据完整性功能的协议。[IETFRFC5246，TheTransportLayerSecurity(TLS)ProtocolVersion1.2]3.1.2T/CHEAA0001.2—2019 2  证书认证机构CertificateAuthority（CA）负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。[GB/T16264.8-2005，定义3.3.16]3.1.3个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。注2：关于个人信息的范围和类型详见GB/T35273-2017附录A。[GB/T35273-2017，定义3.1]3.1.4个人敏感信息personalsensitiveinformation一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。注2：关于个人敏感信息的范围和类型可详见GB/T35273-2017附录B。[GB/T35273-2017，定义3.2]3.1.5个人信息主体personaldatasubject个人信息所标识的自然人[GB/T35273-2017，定义3.3]3.1.6收集collect获得对个人信息的控制权的行为，包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。[GB/T35273-2017，定义3.5]3.1.7密钥key一种用于控制密码变换操作(例如加密、解密、密码校验函数计算、签名生成或签名验证)的符号序列。[GB/T25069-2010，定义2.2.2.106]3.1.8T/CHEAA0001.2—2019 3  匿名化anonymization通过对个人信息的技术处理，使得个人