GB/T 33770.2-2019信息技術(shù)服務(wù)外包第2部分：數(shù)據(jù)保護(hù)要求

ICS35080

L77.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T337702—2019

.

信息技術(shù)服務(wù)外包

第2部分?jǐn)?shù)據(jù)保護(hù)要求

:

Informationtechnologyservice—Outsourcing—

Part2Datarotectionreuirements

:pq

2019-08-30發(fā)布2020-03-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T337702—2019

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

數(shù)據(jù)生命周期

5……………3

數(shù)據(jù)主體權(quán)利

6……………4

知情權(quán)

6.1………………4

支配權(quán)

6.2………………4

控制權(quán)

6.3………………4

共享權(quán)

6.4………………4

質(zhì)疑權(quán)

6.5………………4

數(shù)據(jù)管理者

7………………5

規(guī)則

7.1…………………5

角色

7.2…………………5

服務(wù)管理

7.3……………5

責(zé)任和義務(wù)

7.4…………………………5

數(shù)據(jù)管理

8…………………6

要求

8.1…………………6

原則

8.2…………………6

方針

8.3…………………6

計(jì)劃

8.4…………………7

組織

8.5…………………7

數(shù)據(jù)管理體系

8.6………………………9

資源管理

8.7……………10

控制

8.8…………………10

協(xié)調(diào)

8.9…………………10

管理機(jī)制

9…………………11

管理制度

9.1……………11

宣傳

9.2…………………11

培訓(xùn)教育

9.3……………12

公示

9.4…………………12

數(shù)據(jù)庫(kù)管理

9.5…………………………12

數(shù)據(jù)管理文檔

9.6………………………14

人員管理

9.7……………14

Ⅰ

GB/T337702—2019

.

保密

9.8…………………14

數(shù)據(jù)獲取

10………………14

目的

10.1………………14

限制

10.2………………14

類別

10.3………………14

保存

10.4………………15

數(shù)據(jù)處理

11………………15

過程

11.1………………15

使用

11.2………………15

提供

11.3………………16

委托

11.4………………16

二次開發(fā)

11.5…………………………16

交易

11.6………………17

后處理

11.7……………17

安全管理

12………………17

要求

12.1………………17

風(fēng)險(xiǎn)管理

12.2…………………………18

物理環(huán)境安全

12.3……………………18

工作環(huán)境安全

12.4……………………18

網(wǎng)絡(luò)行為管理

12.5……………………18

環(huán)境安全

12.6IT………………………18

存儲(chǔ)安全

12.7…………………………18

數(shù)據(jù)庫(kù)安全

12.8………………………18

移動(dòng)終端安全

12.9……………………19

數(shù)據(jù)主體安全

12.10……………………19

過程管理

13………………19

過程模式

13.1…………………………19

內(nèi)審

13.2………………20

過程改進(jìn)

13.3…………………………20

應(yīng)急管理

14………………20

例外

15……………………21

收集例外

15.1…………………………21

法律例外

15.2…………………………21

管理評(píng)價(jià)

16………………21

附錄規(guī)范性附錄數(shù)據(jù)管理相關(guān)資源

A()………………22

參考文獻(xiàn)

……………………23

Ⅱ

GB/T337702—2019

.

前言

信息技術(shù)服務(wù)外包分為個(gè)部分

GB/T33770《》6:

第部分服務(wù)提供方通用要求

———1:;

第部分?jǐn)?shù)據(jù)保護(hù)要求

———2:;

第部分交付中心要求

———3:;

第部分非結(jié)構(gòu)化數(shù)據(jù)管理與服務(wù)要求

———4:;

第部分發(fā)包方項(xiàng)目管理要求

———5:;

第部分服務(wù)需方通用要求

———6:。

本部分為的第部分

GB/T337702。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC28)。

本部分起草單位大連軟件行業(yè)協(xié)會(huì)大連華信計(jì)算機(jī)技術(shù)股份有限公司東軟集團(tuán)股份有限公司

:、、、

成都市大數(shù)據(jù)中心北京護(hù)航科技股份有限公司廣州賽寶認(rèn)證中心服務(wù)有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)

、、、

化研究院金稅信息技術(shù)服務(wù)股份有限公司上海北宙企業(yè)管理咨詢有限公司上海有孚網(wǎng)絡(luò)股份有限

、、、

公司北京信城通數(shù)碼科技有限公司廣州番禺職業(yè)技術(shù)學(xué)院上海三零衛(wèi)士信息安全有限公司神州數(shù)

、、、、

碼系統(tǒng)集成服務(wù)有限公司上海寶信軟件股份有限公司昆明東電科技有限公司東軟睿道教育信息技

、、、

術(shù)有限公司江蘇潤(rùn)和軟件股份有限公司文思海輝技術(shù)有限公司

、、。

本部分主要起草人郎慶斌尹宏劉宏高昕陳錫民趙振文但強(qiáng)于浩梁曉雁丁宗安熊健淞

:、、、、、、、、、、、

職亮亮劉颋張樹玲劉亭杉杜遠(yuǎn)唐百惠王偉鄔敏華李陽(yáng)鄭義王斌斌萬(wàn)啟東徐瑤謝尚飛

、、、、、、、、、、、、、、

韓沫邵峰董雷宋悅王鑫

、、、、。

Ⅲ

GB/T337702—2019

.

引言

本部分內(nèi)涵和外延均較寬泛存在易于混淆多義性的概念理解需予以說(shuō)明以便于標(biāo)準(zhǔn)條文的

,、、,,

解釋和標(biāo)準(zhǔn)的應(yīng)用

。

01基準(zhǔn)

.

本部分考慮個(gè)人信息與商業(yè)數(shù)據(jù)具有類同的特質(zhì)在收集處理使用中其安全要求安全機(jī)制安

,、、,、、

全策略等是同等的可以采用同一的管理方式適于服務(wù)外包組織共同遵守和應(yīng)用也可為其他行

,,IT,

業(yè)提供借鑒

。

02數(shù)據(jù)

.

數(shù)據(jù)是一個(gè)廣義的概念本部分中代指涉及個(gè)人信息商業(yè)數(shù)據(jù)的相關(guān)信息

“”,,、。

知識(shí)產(chǎn)權(quán)涉及面廣構(gòu)成復(fù)雜且已有相關(guān)法規(guī)然而與知識(shí)產(chǎn)權(quán)相關(guān)信息的保護(hù)存在法律空白

、,,,。

由于這部分信息與商業(yè)數(shù)據(jù)的特質(zhì)類同因此本部分將知識(shí)產(chǎn)權(quán)相關(guān)信息歸入商業(yè)數(shù)據(jù)

。,。

03商業(yè)數(shù)據(jù)

.

商業(yè)數(shù)據(jù)亦是一個(gè)廣義的概念內(nèi)涵寬泛本部分中特指敏感的商業(yè)秘密或其他需要保護(hù)的

“”,。,

數(shù)據(jù)

。

04綜合數(shù)據(jù)庫(kù)

.

本部分限定綜合數(shù)據(jù)庫(kù)是由結(jié)構(gòu)化非結(jié)構(gòu)化個(gè)人信息商業(yè)數(shù)據(jù)包括自動(dòng)處理和非自動(dòng)處理分

、、()

別構(gòu)成的邏輯數(shù)據(jù)庫(kù)

。

05數(shù)據(jù)管理

.

數(shù)據(jù)保護(hù)是針對(duì)數(shù)據(jù)及相關(guān)資源環(huán)境管理體系等的管理活動(dòng)或行為之一因而本部分采用數(shù)

、、,,“

據(jù)管理涵蓋數(shù)據(jù)保護(hù)本部分?jǐn)?shù)據(jù)管理涉及個(gè)人信息管理商業(yè)數(shù)據(jù)管理

”“”。、。

數(shù)據(jù)管理包含數(shù)據(jù)收集處理使用的整個(gè)生命周期

、、。

06數(shù)據(jù)安全性

.

本部分涉及的數(shù)據(jù)安全性是指?jìng)€(gè)人信息商業(yè)數(shù)據(jù)的保密性完整性準(zhǔn)確性可用性真實(shí)性可

,、、、、、、

控性和不可抵賴性

。

07數(shù)據(jù)管理體系

.

指具有特定功能由相互關(guān)聯(lián)的若干要素構(gòu)成的有機(jī)整體通過整合協(xié)調(diào)資源聚焦管理要素實(shí)

、,、,,

Ⅴ

GB/T337702—2019

.

現(xiàn)預(yù)定目標(biāo)要素與要素要素與體系體系與環(huán)境等之間相互作用又相互影響

。、、。

本部分為個(gè)人信息管理商業(yè)數(shù)據(jù)管理提供了基本的規(guī)則和要求以構(gòu)建數(shù)據(jù)管理體系充分保障

、,,

數(shù)據(jù)主體的權(quán)利保障相關(guān)業(yè)務(wù)的穩(wěn)定有效運(yùn)行

,、。

08標(biāo)準(zhǔn)架構(gòu)和體例

.

本部分以管理為主線以數(shù)據(jù)生命周期為導(dǎo)向構(gòu)建數(shù)據(jù)管理標(biāo)準(zhǔn)架構(gòu)并不同于質(zhì)量管理體系的

,,,

標(biāo)準(zhǔn)體例以便于集聚整合管理要素完善改進(jìn)可控?cái)?shù)據(jù)管理體系以策數(shù)據(jù)安全

,、,、、,。

09標(biāo)準(zhǔn)兼容性

.

本部分與國(guó)際國(guó)內(nèi)信息安全標(biāo)準(zhǔn)及其他相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致并與這些標(biāo)準(zhǔn)相互配合或相互整合實(shí)

、,

施和運(yùn)行

。

010業(yè)務(wù)連續(xù)性

.

本部分在提供安全指導(dǎo)的同時(shí)需基于數(shù)據(jù)的合理流通保證業(yè)務(wù)的連續(xù)性

,,。

011標(biāo)準(zhǔn)適用性

.

服務(wù)外包組織與各類組織的數(shù)據(jù)安全屬性特征基本一致其安全機(jī)制安全策略是類同的因

IT、,、,

而本部分具有普適性

,:

本部分規(guī)范的數(shù)據(jù)管理規(guī)則既是服務(wù)管理的基礎(chǔ)亦可為服務(wù)的發(fā)展建立數(shù)據(jù)管理

a),IT,IT

基準(zhǔn)

;

本部分規(guī)范的數(shù)據(jù)管理規(guī)則具有共性的特征可以依據(jù)組織的特征解釋剪裁

b),,、;

服務(wù)外包組織與各類組織的特征區(qū)別是組織的業(yè)務(wù)和管理其所涉數(shù)據(jù)含合同管理亦

c)IT,(),

為本部分范疇

;

本部分不僅適用于服務(wù)外包組織其他機(jī)關(guān)企業(yè)事業(yè)社會(huì)團(tuán)體等各類組織可以參照

d)IT,、、、,

執(zhí)行

。

Ⅵ

GB/T337702—2019

.

信息技術(shù)服務(wù)外包

第2部分?jǐn)?shù)據(jù)保護(hù)要求

:

1范圍

的本部分規(guī)定了信息技術(shù)外包服務(wù)中數(shù)據(jù)保護(hù)所涉及的數(shù)據(jù)生命周期數(shù)據(jù)主體權(quán)

GB/T33770