DB21-T1628.9-2019-信息安全個人信息安全管理體系附則-遼寧省

ICS35.020DB21L70遼寧省地方標準DB21/T1628.9—2019信息安全個人信息安全管理體系附則Informationsecurity-Personalinformationsecuritymanagementsystem-Annex遼寧省市場監(jiān)督管理局發(fā)布DB21/T1628.9—2019目次前言................................................................................II引言...............................................................................III12345范圍..............................................................................1規(guī)范性引用文件....................................................................1術(shù)語和定義........................................................................1概述..............................................................................1同一性設計........................................................................1附錄A（資料性附錄）管理體系標準條款對照表..........................................5IDB21/T1628.9—2019前言本標準按照GB/T1.1—2009《標準化工作導則第1部分：標準的結(jié)構(gòu)與編寫》給出的規(guī)則起草。本標準由遼寧省工業(yè)和信息化廳提出并歸口。本標準主要起草單位：大連軟件行業(yè)協(xié)會、大連軟信咨詢服務有限公司、大連交通大學、大連市計算機學會。本標準主要起草人：郎慶斌、孫鵬、尹宏、丁宗安、董晶、楊萬清、楊莉、郭玉梅、曹劍、司丹、孫毅、王小庚、王鑫。本標準發(fā)布實施后，任何單位和個人如有問題和意見建議，均可以通過來電和來函等方式進行反饋，我們將及時答復并認真處理，根據(jù)實際情況依法進行評估及復審。遼寧省工業(yè)和信息化廳：沈陽市皇姑區(qū)北陵大街45-2號大連軟件行業(yè)協(xié)會：大連市高新區(qū)七賢嶺10號人才服務大廈102室IIDB21/T1628.9—2019引言在個人信息管理者的管理生態(tài)中，寄生多體系管理要素，互相制約、影響，造成資源浪費、管理交叉，冗余、繁復。然因標準框架、管理痼疾等多因素限制，尚無法形成管理體系的一體化。本標準旨在說明PISMS與QMS、SMS、ISMS的異同，以期在個人信息安全實踐中建立同一性規(guī)范，在個人信息安全標準體系實施中，兼顧體系間的共性和個性。本標準是DB21/T1628系列標準實施的附加說明。本標準涵蓋DB21/T1628標準體系，為標準實施提供參考和指導。與標準體系構(gòu)成框架是平行的。IIIDB21/T1628.9—2019信息安全個人信息安全管理體系附則1范圍本標準為個人信息安全管理體系兼容質(zhì)量管理體系、服務管理體系、信息安全管理體系提供借鑒和指導。本標準適用于自動或非自動處理全部或部分個人信息的機關(guān)、企業(yè)、事業(yè)、社會團體等組織。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T19001質(zhì)量管理體系要求GB/T24405.1信息技術(shù)服務管理第1部分：規(guī)范GB/T24405.2信息技術(shù)服務管理第2部分：實踐規(guī)則GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081信息技術(shù)安全技術(shù)信息安全控制實用規(guī)則DB21/T1628信息安全個人信息安全管理3GB/T19001、GB/T24405、GB/T22080、GB/T22081、DB21/T1628界定的術(shù)語和定義適用于本文件。4DB21/T1628個人信息安全標準系列，兼容GB/T19001（等同采用ISO/IEC9001）、GB/T24405.1、GB/T24405.2（等同采用ISO/IEC20000.1、ISO/IEC20000.2）、及GB/T22080、GB/T22081（等同采用ISO/IEC27001、ISO/IEC27002）的思想和方法，為多種管理體系的融和實施，奠定適宜的基礎。個人信息安全標準系列，以管理為主線，以個人信息生命周期為導向，以個人信息安全和個人信息管理質(zhì)量為目標，規(guī)定個人信息生命周期內(nèi)管理要素的約束規(guī)則。因而，個人信息安全標準系列與GB/T19001、GB/T24405.1、GB/T24405.2、GB/T22080、GB/T22081具有類同的管理、服務和安全管理要素。51DB21/T1628.9—2019個人信息安全管理體系是個人信息管理的結(jié)果，其基本目的應是滿足個人信息管理的需要，指導各類組織建立健全各類管理機制，協(xié)調(diào)各類資源，充分保障個人信息主體的權(quán)利，保障個人信息管理業(yè)務的穩(wěn)定運行。5.1.2要素5.1.2.1綜述PISMS構(gòu)成要素的基礎：a）PISMS是基于個人信息生命周期展開的；b）個人信息生命周期是個人信息管理者向個人信息主體提供個人信息相關(guān)的服務管理的過程；c）在服務管理過程中，個人信息主體感知服務能力和服務質(zhì)量；d）通過服務能力和服務質(zhì)量的管控，實現(xiàn)個人信息安全。5.1.2.2構(gòu)成要素基于GB/T24405.1、GB/T24405.2和GB/T19001，PISMS構(gòu)成要素，主要包括：a）目標和基本原則：明確管理的目標和管理的基本原則；b）管理策略：方針、責任、能力等；c）組織機構(gòu)：明確管理機構(gòu)、組織方式、職能、職責、權(quán)限等；d）管理機制：角色、制度、培訓、文檔等；e）人員管理：可調(diào)配、使用的相關(guān)人員管理；f）資源管理：體系相關(guān)、可協(xié)調(diào)、調(diào)配資源管理；g）過程管理：體系建立、實施過程管理；h）過程改進：體系建立、實施過程監(jiān)控、內(nèi)審、改進等。GB/T19001等同采用ISO/IEC9001，其特征主要包括：a）廣泛適用：可適用于所有產(chǎn)品類別、不同規(guī)模和各種類型的組織，并可根據(jù)實際需要剪裁某些質(zhì)量管理體系要求；b）管理模式：質(zhì)量管理體系模式，以過程為基礎，強調(diào)過程間的聯(lián)系和相互作用，邏輯性更強，相關(guān)性更好；c）兼容性：強調(diào)質(zhì)量管理體系與其它管理體系保持一致或融合，便于與其它管理體系相互兼容；d）過程改進：更注重質(zhì)量管理體系的有效性和持續(xù)改進等。a）風險管理：應用PDCA管理模式中運用風險管理策略，實現(xiàn)過程和體系的有效管理和改進；b）過程和要素：應用PDCA管理模式管理過程及過程中相互作用的要素，實現(xiàn)質(zhì)量管理體系的目標。2DB21/T1628.9—20195.2.1.4構(gòu)成要素質(zhì)量管理體系的構(gòu)成要素，主要包括：a）管理策略：包括質(zhì)量方針、質(zhì)量目標、管理承諾、職責與權(quán)限、策劃、顧客需求、質(zhì)量管理體系和管理評審等項內(nèi)容；b）資源管理：包括人力資源、信息資源、設施設備和工作環(huán)境等項內(nèi)容；c）過程管理：包括顧客需求轉(zhuǎn)換、設計、采購、產(chǎn)品生產(chǎn)與服務提供的管理等項內(nèi)容；d）測量、分析與改進：包括資源評測、質(zhì)量管理體系內(nèi)審、產(chǎn)品監(jiān)測和測量、過程監(jiān)測和測量、不合格品控制、持續(xù)改進、糾正和預防措施等項內(nèi)容等。注1：產(chǎn)品，具有雙重含義，可以表示有形的實物產(chǎn)品，也可以表示“服務”。5.2.2GB/T24405GB/T24405（等同采用ISO/IEC20000）以流程為中心、以用戶滿意和服務質(zhì)量為核心，整合IT服務與業(yè)務流程，提高信息服務提供和支持的能力和水平：a）引入GB/T19001的質(zhì)量管理思想，與QMS更協(xié)調(diào)、融合；b）引入GBT22080的信息安全管理思想，與ISMS更協(xié)調(diào)、融合；c）引入GB/T19001的術(shù)語、定義和構(gòu)成要素，并依據(jù)服務管理的特征定義等。5.2.3綜述5.2.3.1一般意義GB/T19001所規(guī)制的質(zhì)量管理體系、質(zhì)量管理思想和方法具有普適性，在遵從GB/T24405實施服務管理中，規(guī)范SMS并融入質(zhì)量管理思想和方法，可通過服務能力感知服務質(zhì)量，亦為DB/T1628的設計提供借鑒。基于GB/T19001、GB/T24405的規(guī)則設計，DB21/T1628系列標準為PISMS設計了相應的可實施的a）遵從GB/T24405IT服務管理的基本思想和GB/T19001質(zhì)量管理原則，以服務管理為導向，關(guān)注個人信息生命周期內(nèi)服務管理能力、服務管理質(zhì)量；b）依據(jù)GB/T19001、GB/T24405，DB21/T1628系列標準建構(gòu)了PISMS的各項要素、過程等；c）依據(jù)GB/T19001、GB/T24405，DB21/T1628系列標準規(guī)范了PISMS構(gòu)成要素、過程的管理活動和行為，細粒度地建立了要素對應的各項管理規(guī)則。a）集成性：ISMS與組織（個人信息管理者）整體管理結(jié)構(gòu)、管理過程集成一致，并構(gòu)成關(guān)鍵要素；b）兼容性：標準結(jié)構(gòu)、體例、核心定義等與GB/T19001對應，ISMS與GMS具有兼容性；c）風險管理：基于風險管理過程的應用，降低潛在的安全風險，保證信息資產(chǎn)、業(yè)務等的安全等。3DB21/T1628.9—2019DB21/T1628系列遵從GB/T19001、GB/T24405的思想和方法，融合GB/T22080信息安全管理思想，因此，PISMS與ISMS是相似的，但二者存在差異：a）基點不同：ISMS是基于信息資產(chǎn)的安全管理活動，GB/T22080規(guī)范了基于信息資產(chǎn)安全的管理規(guī)則；PISMS是基于保障個人信息主體權(quán)益展開的相應管理活動或行為，DB21/T1628系列規(guī)范了個人信息管理的相關(guān)規(guī)則；b）資產(chǎn)相關(guān)性：個人信息安全亦與信息資產(chǎn)安全相關(guān)，但相關(guān)性體現(xiàn)個人信息的存在特征，及對信息資產(chǎn)的影響、變化；c）復雜性：個人信息安全的復雜性表現(xiàn)為：1）個人信息環(huán)境復雜、多變，呈現(xiàn)多樣性；2）個人信息存在形態(tài)多樣化；3）個人信息風險隨環(huán)境、形態(tài)的多樣化變化。5.2.5總論個人信息管理者內(nèi)可存在多種管理體系，與PISMS的關(guān)系可描述為：a）GMS、SMS、ISMS和PISMS可并存（標準制定的現(xiàn)實）；b）PISMS兼容了質(zhì)量管理、服務管理和信息安全管理；c）ISMS可以包容PISMS，但GB/T22080、GB/T22081不能完全包容個人信息管理；d）GB/T19001、GB/T24405亦不能包容個人信息管理；e）若依據(jù)GB/T19001、GB/T24405、GB/T22080、GB/T22081等相關(guān)標準，分散個人信息管理，將增加個人信息存在風險、管理風險和管理成本；f）可在ISMS認證中，兼顧DB21/T1628系列的標準特征，實施統(tǒng)一認證管理。4DB21/T1628.9—2019AA附錄A（資料性附錄）管理體系標準條款對照表DB21/T1628GB/T19001GB/T24405.1GB/T22080GB/T22081標準系列1628.11628.21628.11628.21628.11628.21628.11628.21628.11628.21628.1章節(jié)章節(jié)章節(jié)章節(jié)章節(jié)3.1.2個人信息6個人信息3.1.4個人信息主體7個人信息主體4個人信息生命周期8個人信息生命周期5個人信息主體權(quán)利7.4權(quán)利4.2其它方運行過程的治理6個人信息管理者9個人信息管理者7個人信息管理7.2原則10.5.4相關(guān)團體的聯(lián)系5DB21/T1628.9—20191628.17.5.3個人信息安全管理4.4質(zhì)量管理體系4.5建立和改進服務管體系及其過程理體系1628.21628.21628.110.5.2構(gòu)建和管理PISMS11資源管理8管理機制7.1資源4.4資源管理7.1資源8資產(chǎn)管理8.1管理制度8.2人員管理7.2能力7.3意識4.4.2人力資源7.2能力7.3意識7人力資源安全7.2.2信息安全意識、教育和培訓1628.28.3宣傳教育12管理機制1628.11628.31628.11628.48.4數(shù)據(jù)庫管理個人信息數(shù)據(jù)庫管理指南8.5文檔管理7.5文件化信息4.3文件管理7.5文檔信息個人信息管理文檔管理指南1628.11628.21628.11628.29個人信息獲取13獲取過程14信息系統(tǒng)獲取、開發(fā)和維護10個人信息處理14處理過程6.1.5項目管理中的信息安全6.2.2遠程工作15.1供應商關(guān)系中的信息安全6DB21/T1628.9—20191628.11628.511.1風險管理0.3.3基于風險的思維6計劃風險管理指南8.2信息安全風險評估8.3信息安全風險處置6.1應