DB21 T 1628.1-2012 信息安全 个人信息保护规范.pdf

《DB21 T 1628.1-2012 信息安全 个人信息保护规范.pdf》由会员分享，可在线阅读，更多相关《DB21 T 1628.1-2012 信息安全 个人信息保护规范.pdf（20页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.020 L70 DB21 辽 宁 省 地 方 标 准 DB 21/ T1628.12012 代替DB21/T1628-2008 信息安全 个人信息保护规范 Information Security-Specification for Personal Information Protection 2012 - 2 - 7发布 2012 - 03 - 07实施辽宁省质量技术监督局 发 布 DB21/ T1628.12012 I 目 次 前言 . IV 引言 . 1 1 范围 . 2 2 术语、定义和缩略语 . 2 3 个人信息管理原则 . 4 3.1 目的明确 . 4 3.2 主

2、体权利 . 4 3.3 信息质量 . 4 3.4 合理限制 . 4 3.5 安全保障 . 4 4 个人信息主体权利 . 4 4.1 知情权 . 4 4.2 支配权 . 4 4.3 质疑权 . 4 5 个人信息管理者义务 . 5 5.1 管理责任 . 5 5.2 权利保障 . 5 5.3 目的明确 . 5 5.4 告知 . 5 5.5 质量保证 . 5 5.6 保密性 . 5 6 个人信息管理 . 5 6.1 目的 . 5 6.2 计划 . 5 6.3 组织 . 5 6.4 控制 . 6 6.5 协调 . 6 7 个人信息安全管理体系（PISMS） . 6 8 个人信息管理方针 . 6 9 个人

3、信息管理相关机构及职责 . 6 9.1 最高管理者 . 6 9.2 个人信息管理机构 . 6 9.2.1 宣传教育 . 7 9.2.2 个人信息安全 . 7 DB21/ T1628.12012 II 9.2.3 服务台 . 7 9.3 PISMS内审机构 . 7 10 个人信息管理机制 . 7 10.1 管理制度 . 8 10.1.1 基本规章 . 8 10.1.2 管理细则 . 8 10.1.3 其它管理规定 . 8 10.2 宣传 . 8 10.2.1 基本宣传 . 8 10.2.2 业务宣传 . 8 10.2.3 社会宣传 . 8 10.3 培训教育 . 8 10.3.1 计划 . 8

4、10.3.2 对象 . 9 10.3.3 内容 . 9 10.4 公示 . 9 10.5 个人信息数据库管理 . 9 10.5.1 保存 . 9 10.5.2 时限 . 9 10.5.3 备案 . 9 10.6 个人信息管理文档 . 9 10.6.1 记录 . 9 10.6.2 备案 . 10 10.7 人员管理 . 10 10.7.1相关人员 . 10 10.7.2 工作人员 . 10 10.7.3 激励 . 10 11 个人信息管理过程 . 10 11.1 收集 . 10 11.1.1 目的 . 10 11.1.2限制 . 10 11.1.3类别 . 10 11.1.3.1 直接收集 .

5、10 11.1.3.2 间接收集 . 11 11.2 处理 . 11 11.3 利用 . 11 11.3.1 提供 . 11 11.3.1.1 合法性 . 11 11.3.1.2 权益保障 . 11 11.3.1.3 授权许可 . 11 11.3.1.4 质量保证 . 11 11.3.1.5 安全承诺 . 11 DB21/ T1628.12012 III 11.3.2 委托 . 11 11.3.2.1 范围限定 . 11 11.3.2.2 委托信用 . 12 11.3.3 其它 . 12 11.3.3.1 二次开发 . 12 11.3.3.2 交易 . 12 11.4 使用 . 12 11.5

6、后处理 . 12 11.5.1 质量 . 13 11.5.2 销毁 . 13 12 个人信息安全管理 . 13 12.1 风险管理 . 13 12.2 物理环境管理 . 13 12.3 工作环境管理 . 13 12.4 网络行为管理 . 13 12.5 IT环境安全 . 13 12.6 个人信息数据库安全 . 13 12.6.1 管理安全 . 13 12.6.2 使用安全 . 14 12.6.3 备份和恢复 . 14 13 PISMS内审 . 14 13.1 管理 . 14 13.2 计划 . 14 13.3 实施 . 14 14 过程改进 . 14 14.1 服务台管理 . 14 14.2

7、跟踪和监控 . 14 14.3 持续改进 . 15 15 应急管理 . 15 16 例外 . 15 16.1 收集例外 . 15 16.2 法律例外 . 15 17 评价 . 15 DB21/ T1628.12012 IV 前 言 本标准代替DB21/T 16282008个人信息保护规范。与DB21/T 16282008相比，本标准除编辑性修改外，主要技术变化如下： 个人信息保护体系修订为个人信息安全管理体系； 个人信息保护监察修订为个人信息安全管理体系内审； 个人信息安全管理体系要素划分调整为个人信息管理方针、个人信息管理机构和职责、个人信息管理机制、个人信息管理过程、个人信息安全管理、个人

8、信息安全管理体系内审、过程改进和应急管理； 个人信息保护管理机构调整为个人信息管理机构； 个人信息保护是针对个人信息及相关资源、环境、管理体系的管理活动或行为之一，因而将 个人信息保护修订为个人信息管理，增加了个人信息管理相关规则，标准各章节依据这一规则修订； 修订个人信息交易相关条款； 原13、16章合并，并修订为过程改进； 个人信息保护负责人调整为个人信息管理者代表；个人信息保护监察负责人调整为个人信息安全管理体系内审代表。 本部分的修订，充分考虑其它管理体系，如 GB/T190012000、GB/T 24405.12009、GB/T 24405.22010、GB/T 220802008、

9、GB/T 220812008等的特点，为多种管理体系的融和实施，奠定适宜的基础。 本标准是依据GB/T1.12009标准化工作导则 第1部分：标准的结构与编写制定的。 本标准由大连市经济和信息化委员会提出。 本标准由辽宁省经济和信息化委员会归口。 本标准主要起草单位：大连软件行业协会、辽宁省信息安全与软件测评认证中心。 本标准主要起草人：郎庆斌、孙鹏、曹剑、孙毅、吕蕾蕾、王开红、郭玉梅、李倩。 DB21/T 16282008个人信息保护规范于2008年6月首次发布，本次修订为第一次修订。DB21/ T1628.12012 1 引言 DB21/T1628已经实施近3年，对辽宁省个人信息保护工作起

10、到了重要的指导作用。个人信息安全领域相关研究、实践，随着社会、经济、文化等各个领域的深刻变革不断深入，个人信息安全事件的特征发生变化，对个人信息相关安全法规、标准的认识不断进步、发展，有必要调整DB21/T1628的结构，修订DB21/T1628的内容，建立规范的个人信息安全标准体系。 本标准修订以个人信息管理为主线、个人信息安全为目的，规定普适的个人信息管理过程中各要素的约束条件。在管理过程中，管理活动或行为可以视为要素。在个人信息管理过程中，个人信息保护是针对个人信息及相关资源、环境、管理体系等的管理活动或行为之一。 本标准修订后，将陆续编制个人信息安全标准体系其它标准，主要包括： 个人信

11、息安全管理体系实施指南 个人信息数据库管理指南 个人信息管理文档管理指南 个人信息安全风险管理指南 个人信息安全管理体系安全技术实施指南 个人信息安全管理体系内审实施指南等。 DB21/ T1628.12012 2 信息安全 个人信息保护规范 1 范围 本标准规定了个人信息管理原则、个人信息主体权利、个人信息管理者的义务、个人信息管理、个人信息安全管理体系建立、个人信息管理过程、个人信息安全管理、个人信息安全管理体系内审、过程改进等的基本规则和要求。 本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。 2 术语、定义和缩略语 2.1 术语和定义 下列术语和

12、定义适用于本文件。 2.1.1 个人信息 personal information 与特定个人相关、并可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其它相关信息对照、参考、分析仍可间接识别特定个人的信息。 2.1.2 个人信息数据库 personal information database 为实现一定的目的，按照某种规则组织的个人信息的集合体。包括： a）可以通过自动处理检索特定的个人信息的集合体，如磁介质、电子及网络媒介等； b）可以采用非自动处理方式检索、查阅特定的个人信息的集合体，如纸介质、声音、照片等； c）除前2项外，法律规定的可检索特定个人信息的集合体。 2.1

13、.3 个人信息主体 personal information subject 可通过个人信息识别的特定的自然人。 2.1.4 个人信息管理者 personal information controller 获个人信息主体授权，基于特定、明确、合法目的，管理个人信息的机关、企业、事业、社会团体等组织及个人。 2.1.5 个人信息管理 personal information management 计划、组织、协调、控制个人信息及相关资源、环境、管理体系等的相关活动或行为。 DB21/ T1628.12012 3 2.1.6 个人信息安全管理体系 personal information Secu

14、rity management system 个人信息管理活动或行为的结果。基于个人信息管理目标，整合目标、方针、原则、方法、过程、审核、改进等管理要素，及实现要素的方法和过程，提高个人信息管理有效性的系统。 2.1.7 个人信息收集 personal information collect 基于特定、明确、合法的目的获取个人信息的行为。 2.1.8 个人信息处理 personal information process 自动或非自动处置个人信息的过程，如收集、加工、编辑、存储、检索、交换等及其它使用行为或活动。 2.1.8.1 自动处理 automatic processing 利用计算机及

15、其相关和配套设备、信息网络系统、信息资源系统等，按照一定的应用目的和规则，收集、加工、编辑、存储、检索、交换等相关数据处置行为或活动。 2.1.8.2 非自动处理 non-automatic processing 除自动处理外的其它数据处置行为或活动。 2.1.9 利用 utilize 基于特定、明确、合法目的，提供、委托第三方使用个人信息及其它因某种利益使用个人信息的行为。 2.1.10 个人信息主体同意 personal information subject agreement 个人信息管理活动或行为与个人信息主体意愿一致，个人信息主体明确表示赞成。表达形式包括： a）个人信息主体以书面

16、形式同意； b）个人信息主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意。 注：下述情况视为个人信息主体同意： a）由监护人代表未成年的或无法做出正确判断的成年个人信息主体表达的意愿； b）个人信息管理者与个人信息主体签订合同中确认了相关个人信息处理的规定，个人信息主体同意履行合同。 2.2 缩略语 2.2.1 PDCA Plan-Do-Check-Act 全面质量管理应遵循的科学方法。本标准用于个人信息管理相关活动的质量管理。 DB21/ T1628.12012 4 2.2.2 PISMS personal information Security management sys

17、tem 个人信息安全管理体系。 3 个人信息管理原则 3.1 目的明确 收集个人信息应有明确的目的，不应超目的范围处理、利用、使用。 3.2 主体权利 个人信息主体对与个人相关的个人信息享有权利。 3.3 信息质量 在管理活动或行为中保证个人信息的准确性、完整性和最新状态。 3.4 合理限制 收集、处理、使用、利用个人信息，应采用合法、合理的手段和方式，并保持公开的形式。 3.5 安全保障 应采取必要、合理的管理和技术措施，防止个人信息滥用、篡改、丢失、泄露、损毁等。 4 个人信息主体权利 4.1 知情权 a）确认个人信息数据库中与个人信息主体相关的信息； b）确认个人信息收集、处理、使用、利

18、用的目的、方式、范围等相关信息； c）查询个人信息收集、处理、使用、利用情况及个人信息质量等相关信息。 4.2 支配权 a）收集、处理、使用、利用个人信息，应经个人信息主体同意，并签字盖章； b）个人信息主体有权修改、删除、完善与之相关的个人信息，以保证个人信息的完整、准确和最新状态； c）个人信息主体有权决定如何使用与之相关的个人信息。 4.3 质疑权 a）个人信息主体有权质疑与之相关的个人信息的准确性、完整性和时效性； b）个人信息主体有权质疑或反对与之相关的个人信息管理目的、过程等； c）如果个人信息管理目的、过程违背了个人信息主体意愿或其它正当理由，个人信息主体有权请求停止个人信息管理

19、活动、行为或提出撤消该个人信息。停止或撤销应经个人信息主体确认。 DB21/ T1628.12012 5 5 个人信息管理者义务 5.1 管理责任 个人信息管理者对所拥有的个人信息负有管理责任，并征得个人信息主体同意后开展个人信息管理相关活动或行为。 5.2 权利保障 个人信息管理者必须保障个人信息主体的权利。 5.3 目的明确 个人信息管理者必须保证个人信息管理目的与个人信息主体意愿一致，管理过程或行为不应超目的、超范围。 5.4 告知 个人信息管理者应将个人信息管理目的、方式、不提供个人信息的后果、查询和更正相关个人信息的权利，以及个人信息管理者本身的相关信息等告知个人信息主体。 5.5

20、质量保证 个人信息管理者应在管理活动或行为中保证个人信息的完整性、准确性、可用性，并保持最新状态。 5.6 保密性 个人信息管理者必须对所管理的个人信息予以保密，并对个人信息管理过程中的安全负责。 6 个人信息管理 6.1 目的 个人信息管理者应依据5.1，协调、组织PISMS和各类相关资源，根据收集目的，采取相应的控制策略和措施，处理、使用、利用个人信息。 6.2 计划 个人信息管理者应根据管理、业务目标，制定个人信息管理计划。计划应包括： a）个人信息收集目的、策略； b）个人信息管理措施、策略； c）个人信息管理和各类相关资源的组织、协调、沟通； d）个人信息安全风险评估； e）计划评估

21、； f）其它必要的管理策略。 6.3 组织 个人信息管理者应根据管理计划，组织个人信息管理活动或行为，主要包括： a）建立PISMS，保证管理、业务需要； b）明确个人信息管理职责和行为准则； DB21/ T1628.12012 6 c）实施、运行PISMS； d）评估PISMS效能； e）评估个人信息管理效果； f）其它相关管理。 6.4 控制 个人信息管理者应根据管理计划，检查、修正个人信息管理相关活动、行为，并监督管理计划的实施。 6.5 协调 在个人信息管理活动或行为中，应注意个人信息主体与个人信息管理者、个人信息管理者各部门（从属机构）与PISMS、PISMS内、PISMS与相关资源

22、之间等的协调、沟通。 7 个人信息安全管理体系（PISMS） PISMS应包括以下要素： a）目标和基本原则； b）方针； c）机构及职责； d）管理机制； e）管理过程； f）安全管理； g）内审； h）过程改进； i）应急管理。 8 个人信息管理方针 应是指导个人信息管理，保障个人信息安全，符合个人信息管理者实际情况，遵守国家相关法律、法规的原则和措施。应以简洁、明确的语言阐述，并公之于众。内容宜包括： a）个人信息主体的权利； b）个人信息管理者的义务； c）个人信息管理的目的和原则； d）个人信息管理的措施和方法； e）个人信息管理的改进和完善。 9 个人信息管理相关机构及职责 9.1

23、 最高管理者 个人信息管理者的最高行政领导，应重视个人信息管理，并选择、任命有能力的个人信息管理者代表组建、负责个人信息管理机构，在资金、资源等各个方面提供完全的支持。 9.2 个人信息管理机构 DB21/ T1628.12012 7 个人信息管理机构主要包括宣传教育、个人信息安全、服务台等责任主体，其主要职责包括： a）个人信息管理计划制定、实施； b）PISMS建立、实施、运行； c）明确个人信息管理相关机构和人员职责、责任； d）个人信息相关活动、行为的管理； e）PISMS运行检查、评估、改进、完善； f）记录个人信息管理活动，并编制PISMS运行报告。 9.2.1 宣传教育 宣传教育

24、宜指定责任主体，在个人信息管理者代表领导下开展工作。宣传教育的主要职责是： a）组织、实施PISMS宣传、教育； b）制定PISMS宣传、教育制度、计划； c）制定PISMS宣传策略和方法； d）个人信息相关知识、管理和安全技术等的宣传、教育； e）改进、完善宣传、教育措施、方法。 9.2.2 个人信息安全 个人信息安全宜指定信息安全责任主体负责，在个人信息管理者代表指导下开展个人信息安全管理工作。其主要职责应包括： a）个人信息安全风险管理； b）制定个人信息安全管理策略、措施； c）实施个人信息安全管理措施； d）改进、完善个人信息安全管理。 9.2.3 服务台 服务台宜指定责任主体，在个

25、人信息管理者代表领导下提供个人信息相关的服务。服务台的主要职责包括： a）提供个人信息管理、安全的相关咨询和服务； b）提供个人信息处理、使用建议和意见； c）接受有关个人信息管理、安全的意见，并落实和反馈； d）沟通、交流； e）个人信息管理、安全相关事项、问题处理等的发布； f）其它应处理的问题。 9.3 PISMS内审机构 PISMS内审机构应由最高管理者指定的PISMS内审代表负责，该代表可以在个人信息管理者内部选聘，或聘请社会人士担任。其职责是： a）独立、公平、公正地开展PISMS监督、检查、调查工作； b）制定PISMS内审制度和内审计划，并按计划实施内审； c）跟踪、监控、评估PISMS实施、运行； d）编制内审报告，督促、建议PISMS的改进