DB44T 2189.2-2019 移动终端信息安全 第2部分：敏感信息安全等级保护与测评

DB44/T 2189.2-2019《移动终端信息安全 第2部分：敏感信息安全等级保护与测评》是广东省地方标准，该标准对移动终端上敏感信息的保护和测评提出了具体要求。以下将选取一些重要的条款进行详细解读。

5.1 敏感信息分类分级

本条款规定了敏感信息的分类和分级方法。敏感信息分为个人敏感信息、企业敏感信息和社会公共敏感信息三大类。每一类信息根据其泄露后可能造成的危害程度进一步细分为三个级别。例如，个人敏感信息中的身份证号码属于一级敏感信息，因为它一旦泄露可能会直接导致个人财产损失或身份被盗用。

5.2 安全技术要求

此部分详细描述了在移动终端上保护敏感信息的技术措施。其中包括数据加密、访问控制、安全审计等方面的要求。比如，在数据加密方面，建议使用不低于AES-256的加密算法来保护存储在本地的数据，并且加密密钥应定期更换以提高安全性。

5.3 安全管理要求

这部分强调了组织层面的安全管理措施。包括但不限于建立完善的信息安全管理制度、定期开展员工培训、实施严格的权限管理和日志记录等。特别是对于敏感信息的操作，应当实行双人复核制度，确保任何操作都有迹可循。

5.4 测评方法

标准还给出了如何评估上述技术和管理措施是否得到有效执行的方法。测评过程通常包括文档审查、现场检查以及渗透测试等多种手段相结合的方式来进行综合评价。此外，还特别指出，在每次重大版本更新之后都必须重新进行一次全面的测评工作，以保证系统的持续合规性。

这些条款共同构成了一个完整的框架体系，旨在指导相关单位和个人正确地识别、处理并妥善保管好各类敏感信息资源，从而最大限度地降低潜在风险发生概率。