DB21 T 1628.9—2019 信息安全 个人信息安全管理体系 附则.pdf

1、ICS 35.020 L 70 DB21 辽宁省 地 方 标 准 DB21/T 1628.9 2019 信息安全 个人信息安全管理体系 附则 Information security-Personal information security management system-Annex 2019 - 09 - 30 发布 2019 - 10 - 30 实施 辽宁省市场监督管理局 发布 DB21/T 1628.9 2019 I 目 次 前言 . II 引言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 概述 . 1 5 同一性设计 . 1 附录 A（资

2、料性附录） 管理体系标准条款对照表 . 5 DB21/T 1628.9 2019 II 前 言 本 标准 按 照 GB/T 1.1 2009标准化工作导则 第 1 部分：标准的结构与编写给出的规则起草。 本 标准 由 辽宁省 工业 和信息化 厅 提出并 归口。 本 标准 主要起草单位：大连软件行业协会、 大连软信咨询服务有限公司、 大连交通大学 、大连市计 算机学会。 本 标准 主要起草人： 郎 庆斌、孙鹏、 尹宏、丁宗安、董晶、杨万清、杨莉、郭玉梅、曹剑 、 司丹、 孙毅、王小庚 、王鑫 。 本标准发布实施后，任何单位和 个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及

3、时答复并认真处理，根据实际情况依法进行评估及复审。辽宁省工业和信息化厅：沈阳市皇姑 区北陵大街 45-2 号， 024-86913384；大连软件行业协会：大连市高新区七贤岭 10 号人才服务大厦 102 室， 0411-83655181。 DB21/T 1628.9 2019 III 引 言 在 个人信息管理者的管理生态中，寄生多体系管理要素 ，互相制约、影响 ，造成资源浪费、管理交 叉，冗余、繁复。然因标准框架、管理痼疾 等 多因素限制，尚无法形成管理体系的一体化。 本标准旨在说明 PISMS与 QMS、 SMS、 ISMS的异同，以期在个人信息安全实践中建立同一性规范， 在 个人信息安全

4、标准体系实施 中，兼顾体系间的共性和个性。 本标准是 DB21/T 1628系列标准实施的附加说明。 本标准涵盖 DB21/T 1628标 准体系，为标准实施提供参考和指导。与 标准 体系 构成框架 是平行的。 DB21/T 1628.9 2019 1 信息安全 个人信息安全管理体系 附则 1 范围 本标准为个人信息安全管理体系兼容质量管理体系、服务管理体系、信息安全管理体系提供借鉴和 指导。 本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不

5、注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 19001 质量管理体系 要求 GB/T 24405.1 信息技术 服务管理 第 1部分：规范 GB/T 24405.2 信息技术 服务管理 第 2部 分： 实践规则 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081 信息技术 安全技术 信息安全控制实用规则 DB21/T 1628 信息安全 个人信息安全管理 3 术语和定义 GB/T 19001、 GB/T 24405、 GB/T 22080、 GB/T 22081、 DB21/T 1628界定的 术语 和 定义适用于本文 件。 4

6、 概述 DB21/T 1628个人信息安全标准系列，兼容 GB/T 19001（等同采用 ISO/IEC 9001） 、 GB/T 24405.1、 GB/T 24405.2（等同采用 ISO/IEC 20000.1、 ISO/IEC 20000.2）、 及 GB/T 22080、 GB/T 22081（等同采 用 ISO/IEC 27001、 ISO/IEC 27002） 的思想和方法 ，为多种管理体系的融和实施，奠定适宜的基础。 个人信息安全标准系列， 以管理为主线，以个人信息生命周期为导向，以个人信息安全和个人信息 管理质量为目标，规定个人信息生命周期内管理要素的约束规则。 因而，个人信

7、息安全标准系列与 GB/T 19001、 GB/T 24405.1、 GB/T 24405.2、 GB/T 22080、 GB/T 22081具有类同的管理、服务和安全管理要 素。 本标准建立 PISMS与 QMS、 SMS、 ISMS的 同一性规范。 5 同一性 设计 5.1 PISMS 设计 5.1.1 目的 DB21/T 1628.9 2019 2 个人信息安全管理体系 是个人信息管理的结果，其 基本目的 应 是满足个人信息管理的需要，指导各 类组织建立健全各类管理机制，协调各类资源，充分保障个人信息主体的权利，保障个人信息管理业务 的稳定运行。 5.1.2 要素 5.1.2.1 综述

8、PISMS构成要素的基础： a） PISMS是基于个人信息生命周期展开的； b） 个人信息生命周期是个人信息管理者向个人信息主体提供个人信息相关的服务管理的过程 ； c）在服务管理过程中，个人信息主体感知服务能力和服务质量； d）通过服务能力和服务质量的管控，实现个人信息安全。 5.1.2.2 构成要素 基于 GB/T 24405.1、 GB/T 24405.2和 GB/T 19001， PISMS构成要素，主要包括： a）目标和基本原则：明确管理的目标和管理的基本原则； b）管理策略：方针、责任、能力等； c）组织 机构 ：明确管理机构、组织方式、职能、职责、权限等； d）管理机制：角色、制

9、度、培训、文档等； e）人员管理：可调配、使用的相关人员管理； f）资源管理：体系相关、可 协调、 调配 资源管理； g）过程管理：体系建立、实施过程管理； h）过程改进：体系建立、实施过程监控、内审 、改进 等。 5.2 体系综述 5.2.1 GB/T 19001 5.2.1.1 特征 GB/T 19001等同采用 ISO/IEC 9001， 其特征主要包括： a）广泛适用： 可适用于所有产品类别、不同规模和各种类型的组织，并可根据实际需要 剪裁 某些 质量管理体系要求 ； b）管理模式： 质量管理体系模式，以过程为基础 ， 强调过程 间 的联系和相互作用，逻辑性更强， 相关性更好； c）兼

10、容性： 强调质量管理体系 与 其 它 管理体系 保持一致或融合 ，便于与 其它 管理体系 相互兼容 ； d）过程改进： 更注重质量管理体系的有效性和持续改进 等。 5.2.1.2 质量管理 原则 GB/T 19001等同采用 ISO/IEC 9001，明确 在实施质量管理中必须遵循 7项 原则 。 5.2.1.3 过程管理 在质量管理体系和质量管理过程中应用 PDCA过程管理模式 ： a）风险管理：应用 PDCA管理模式中运用风险管理策略，实现过程和体系的有效管理和改进； b） 过程和要素： 应用 PDCA管理模式管理过程及过程中相互作用的要素，实现质量管理体系的目 标。 DB21/T 162

11、8.9 2019 3 5.2.1.4 构成要素 质量管理体系的构成要素，主要包括： a）管理策略： 包括质量方针、质量目标、管理承诺、职责 与权限、策划、顾客需求、质量管理体 系和管理评审等项内容； b） 资源管理： 包括人力资源、信息资源、设施设备和工作环境等项内容； c）过程管理： 包括顾客需求转换、设计、采购、产品生产与服务提供 的管理 等项内容； d）测量、分析与改进： 包括 资源 评测、质量管理体系内审、产品监测和测量、过程监测和测量、 不合格品控制、持续改进、纠正和预防措施等项内容 等。 注 1： 产品，具有双重含义，可以表示 有形的实物产品，也可 以表示“ 服务 ” 。 5.2.

12、2 GB/T 24405 GB/T 24405（等同采用 ISO/IEC 20000） 以流程为中心、以用户满意和服务质量为核心，整合 IT服 务与业务流程，提高信息服务提供和支持的能力和水平 ： a）引入 GB/T 19001的质量管理思想，与 QMS更协调、融合； b）引入 GBT 22080的信息安全管理思想，与 ISMS更协调、融合； c）引入 GB/T 19001的术语、定义和构成要素，并依据服务管理的特征定义等。 5.2.3 综述 5.2.3.1 一般意义 GB/T 19001所规制的 质量管理体系、 质量管理思想 和方法 具有普适性，在遵从 GB/T 24405实施服务 管理中，

13、 规范 SMS并 融入质量管理思想 和方法 ，可通过服务能力感知服 务质量 ， 亦 为 DB/T 1628的设计提 供借鉴。 5.2.3.2 DB/T 1628 基于 GB/T 19001、 GB/T 24405的规则设计， DB21/T 1628系列标准为 PISMS设计了相应的可实施的 规则： a） 遵从 GB/T 24405 IT服务管理的基本思想和 GB/T 19001质量管理原则，以服务管理为导向，关注 个人信息生命周期内服务管理能力、服务管理质量 ； b） 依据 GB/T 19001、 GB/T 24405， DB21/T 1628系列标准建构了 PISMS的各项要素、过程等； c

14、） 依据 GB/T 19001、 GB/T 24405， DB21/T 1628系列标准规范了 PISMS构成要素 、过程 的管理活动 和行为，细粒度地建立了要素对应的各项管理规则。 5.2.4 GB/T 22080 5.2.4.1 综述 GB/T 22080等同采用 ISO/IEC 27001， 其特征应包括： a）集成性： ISMS与组织（个人信息管理者）整体管理结构、管理过程集成一致，并构成关键要素； b）兼容性： 标准结构、体例、核心定义等 与 GB/T 19001对应， ISMS与 GMS具有兼容性； c） 风险管理：基于风险管理过程的应用，降低潜在的安全风险，保证信息资产、业务等的

15、安全 等。 5.2.4.2 差异 DB21/T 1628.9 2019 4 DB21/T 1628系列遵从 GB/T 19001、 GB/T 24405的思想和方法，融合 GB/T 22080信息安全管理思想， 因此， PISMS与 ISMS是相似的，但二者存在差异： a） 基点不同： ISMS是基于信息资产的安全管理活动 ， GB/T 22080规范了基于信息资产安全的管理 规则； PISMS是 基于 保障个人信息主体权益展开的相应管理活动或行为， DB21/T 1628系列规范了个人信 息管理的相关规则； b）资产相关性：个人信息安全亦与信息资产安全相关，但相关性体现个人信息的存在特征，及

16、对 信息 资产的影响、变化； c） 复杂性：个人信息安全的复杂性表现为： 1）个人信息环境复杂、多变，呈现多样性； 2） 个人信息存在形态多样化； 3）个人信息风险随环境、形态的多样化变化。 5.2.5 总论 个人信息管理者内可存在多种管理体系，与 PISMS的关系可描述为： a） GMS、 SMS、 ISMS和 PISMS可并存（标准制定的现实）； b） PISMS兼容了质量管理、服务管理和信息安全管理； c） ISMS可以包容 PISMS，但 GB/T 22080、 GB/T 22081不能完全包容个人信息管理； d） GB/T 19001、 GB/T 24405亦不能包容个人信息管理；

17、e）若依据 GB/T 19001、 GB/T 24405、 GB/T 22080、 GB/T 22081等相关标准，分散个人信息管理， 将增加个人信息存在风险、管理风险和管理成本； f）可在 ISMS认证中，兼顾 DB21/T 1628系列的标准特征，实施统一认证管理。 DB21/T 1628.9 2019 5 A A 附 录 A （资料性附录） 管理体系标准条款对照表 DB21/T 1628 GB/T 19001 GB/T 24405.1 GB/T 22080 GB/T 22081 标准系列 章节 章节 章节 章节 章节 1628.1 1628.2 3.1.2 个人信息 6 个人信息 162

18、8.1 1628.2 3.1.4 个人信息主体 7 个人信息主体 1628.1 1628.2 4 个人信息生命周期 8 个人信息生命周期 4.2 其它方运行过程的 治理 1628.1 1628.2 5 个人信息主体权利 7.4 权利 1628.1 1628.2 6 个人信息管理者 9 个人信息管理者 1628.1 1628.2 7 个人信息管理 7.2 原则 7.3 方针 5.2 质量方针 4.1.2 服务管理方针 5.2 方针 5 信息安全方针 7.4 计划 6.2 质量目标和实 现计划 6.6.1 信息安全方针 7.5 组织 5.1 领导力和承诺 4.1.1 管理承诺 5.1 领导与承诺

19、6 信息安全组织 5.3 组织的角色职 责和权限 4.1.3 权限职责沟通 5.3 组织的角色职 责和权力 7.2.1 管理者职责 7.3 任用的终止和 变化 7.4 沟通 4.1.4 管理者代表 7.4 沟通 10 个人信息管理 10.3 管理边界 4 组织情境 4 组织的环境 10.5.4 相关团体的联系 6.1.3 与监管机构 的联系 6.1.4 与特定利益 集团的联系 DB21/T 1628.9 2019 6 1628.1 1628.2 7.5.3 个人信息安全管理 体系 10.5.2 构建和管理 PISMS 4.4 质量管理体系 及其过程 4.5 建立和改进服务管 理体系 1628.

20、2 11 资源管理 7.1 资源 4.4 资源管理 7.1 资源 8 资产管理 1628.1 1628.2 8 管理机制 8.1 管理制度 8.2 人员管理 8.3 宣传教育 12 管理机制 7.2 能力 7.3 意识 4.4.2 人力资源 7.2 能力 7.3 意识 7 人力资源安全 7.2.2 信息安全意 识、教育和培训 1628.1 1628.3 8.4 数据库管理 个人信息数据库管理指南 1628.1 1628.4 8.5 文档管理 个人信息管理文档管理指 南 7.5 文件化信息 4.3 文件管理 7.5 文档信息 1628.1 1628.2 9 个 人信息获取 13 获取过程 14

21、信息系统获取、 开发和维护 1628.1 1628.2 10 个人信息处理 14 处理过程 6.1.5 项目管理中 的信息安全 6.2.1 移动设备策 略 6.2.2 远程工作 15.1 供应商关系中 的信息安全 DB21/T 1628.9 2019 7 1628.1 1628.5 11.1 风险管理 风险管理指南 0.3.3 基于风险的 思维 6.1 应对风险和机 会的措施 6 计划 8.2 信息安全风险评估 8.3 信息安全风险处置 1628.1 1628.6 11 安全 管理 安全技术实施指南 7 信息安全 9 访问控制 11 物理和环境安全 12 操作安全 13 通信安全 1628.1 1628.8 12 过程管理 12.3 应急管理 过程管理指南 0.3 过程方法 引言 16 信息安全事件管理 1628.1 1628.7 12.1 PISMS 内审 内审实施指南 9.2 内部审核 9.3 管理评审 4.5.4 监视和评审服务 管理体系 9 绩效评价 1628.1 1628.2 12.2 过程改进 18 过程改进 10 改进 4.5.5 维护和改进服务 管理体系 10 改进 1628.2 19 管理和业务的连续性 管理 6.3 服务连续性和可用 性管理 17 信息安全与业务连续性管理 _