DB21∕T 1628.9-2019 信息安全 個(gè)人信息安全管理體系 附則

35.020L

70DB21 21/T

1628.9—2019信息安全

個(gè)人信息安全管理體系

附則

security-Personal

security

system-Annex 遼寧省市場(chǎng)監(jiān)督管理局 發(fā)

布DB21/T

1628.9—2019 前言

................................................................................

II引言

...............................................................................

III1

..............................................................................

12 規(guī)范性引用文件

....................................................................

13 術(shù)語(yǔ)和定義

........................................................................

14

..............................................................................

15 同一性設(shè)計(jì)

........................................................................

1附錄

A（資料性附錄） 管理體系標(biāo)準(zhǔn)條款對(duì)照表..........................................

5DB21/T

1628.9—2019

附則1 范圍指導(dǎo)。本標(biāo)準(zhǔn)適用于自動(dòng)或非自動(dòng)處理全部或部分個(gè)人信息的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織。2 規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T

19001

質(zhì)量管理體系

要求GB/T

信息技術(shù)

服務(wù)管理

第1部分：規(guī)范GB/T

信息技術(shù)

服務(wù)管理

第2部分：實(shí)踐規(guī)則GB/T

22080

信息技術(shù)

安全技術(shù)

信息安全管理體系

要求GB/T

22081

信息技術(shù)

安全技術(shù)

信息安全控制實(shí)用規(guī)則DB21/T

1628

信息安全

個(gè)人信息安全管理3 術(shù)語(yǔ)和定義GB/T

19001、GB/T

24405、GB/T

22080、

、DB21/T

1628界定的術(shù)語(yǔ)和定義適用于本文件。4 概述DB21/T

1628個(gè)人信息安全標(biāo)準(zhǔn)系列，兼容GB/T

（等同采用ISO/IEC

9001）、GB/T

、GB/T

（等同采用ISO/IEC

20000.1、

20000.2）、及GB/T

、

22081（等同采用ISO/IEC

27001、

27002）的思想和方法，為多種管理體系的融和實(shí)施，奠定適宜的基礎(chǔ)。GB/T19001、GB/T

24405.1、GB/T

24405.2、

22080、GB/T

22081具有類(lèi)同的管理、服務(wù)和安全管理要素。本標(biāo)準(zhǔn)建立PISMS與、、ISMS的同一性規(guī)范。5 同一性設(shè)計(jì)5.1 PISMS

設(shè)計(jì)5.1.1 目的DB21/T

1628.9—2019的穩(wěn)定運(yùn)行。5.1.2 要素5.1.2.1 綜述PISMS構(gòu)成要素的基礎(chǔ)：a）PISMS是基于個(gè)人信息生命周期展開(kāi)的；b）個(gè)人信息生命周期是個(gè)人信息管理者向個(gè)人信息主體提供個(gè)人信息相關(guān)的服務(wù)管理的過(guò)程；c）在服務(wù)管理過(guò)程中，個(gè)人信息主體感知服務(wù)能力和服務(wù)質(zhì)量；d）通過(guò)服務(wù)能力和服務(wù)質(zhì)量的管控，實(shí)現(xiàn)個(gè)人信息安全。5.1.2.2構(gòu)成要素基于GB/T

、GB/T

24405.2和GB/T

19001，構(gòu)成要素，主要包括：a）目標(biāo)和基本原則：明確管理的目標(biāo)和管理的基本原則；b）管理策略：方針、責(zé)任、能力等；c）組織機(jī)構(gòu)：明確管理機(jī)構(gòu)、組織方式、職能、職責(zé)、權(quán)限等；d）管理機(jī)制：角色、制度、培訓(xùn)、文檔等；e）人員管理：可調(diào)配、使用的相關(guān)人員管理；f）資源管理：體系相關(guān)、可協(xié)調(diào)、調(diào)配資源管理；g）過(guò)程管理：體系建立、實(shí)施過(guò)程管理；h）過(guò)程改進(jìn)：體系建立、實(shí)施過(guò)程監(jiān)控、內(nèi)審、改進(jìn)等。5.2 體系綜述5.2.1 GB/T

190015.2.1.1 特征GB/T

19001等同采用

9001a）廣泛適用：可適用于所有產(chǎn)品類(lèi)別、不同規(guī)模和各種類(lèi)型的組織，并可根據(jù)實(shí)際需要剪裁某些質(zhì)量管理體系要求；b）管理模式：質(zhì)量管理體系模式，以過(guò)程為基礎(chǔ)，強(qiáng)調(diào)過(guò)程間的聯(lián)系和相互作用，邏輯性更強(qiáng)，相關(guān)性更好；c）兼容性：強(qiáng)調(diào)質(zhì)量管理體系與其它管理體系保持一致或融合，便于與其它管理體系相互兼容；d）過(guò)程改進(jìn)：更注重質(zhì)量管理體系的有效性和持續(xù)改進(jìn)等。5.2.1.2 質(zhì)量管理原則GB/T

19001等同采用

，明確在實(shí)施質(zhì)量管理中必須遵循7項(xiàng)原則。5.2.1.3 過(guò)程管理在質(zhì)量管理體系和質(zhì)量管理過(guò)程中應(yīng)用PDCA過(guò)程管理模式：a）風(fēng)險(xiǎn)管理：應(yīng)用PDCA管理模式中運(yùn)用風(fēng)險(xiǎn)管理策略，實(shí)現(xiàn)過(guò)程和體系的有效管理和改進(jìn)；bPDCADB21/T

1628.9—20195.2.1.4構(gòu)成要素質(zhì)量管理體系的構(gòu)成要素，主要包括：a）管理策略：包括質(zhì)量方針、質(zhì)量目標(biāo)、管理承諾、職責(zé)與權(quán)限、策劃、顧客需求、質(zhì)量管理體系和管理評(píng)審等項(xiàng)內(nèi)容；b）資源管理：包括人力資源、信息資源、設(shè)施設(shè)備和工作環(huán)境等項(xiàng)內(nèi)容；c）過(guò)程管理：包括顧客需求轉(zhuǎn)換、設(shè)計(jì)、采購(gòu)、產(chǎn)品生產(chǎn)與服務(wù)提供的管理等項(xiàng)內(nèi)容；d）測(cè)量、分析與改進(jìn)：包括資源評(píng)測(cè)、質(zhì)量管理體系內(nèi)審、產(chǎn)品監(jiān)測(cè)和測(cè)量、過(guò)程監(jiān)測(cè)和測(cè)量、不合格品控制、持續(xù)改進(jìn)、糾正和預(yù)防措施等項(xiàng)內(nèi)容等。產(chǎn)品，具有雙重含義，可以表示有形的實(shí)物產(chǎn)品，也可以表示“服務(wù)”。5.2.2 GB/T

24405GB/T

24405（等同采用

20000）以流程為中心、以用戶(hù)滿(mǎn)意和服務(wù)質(zhì)量為核心，整合IT服務(wù)與業(yè)務(wù)流程，提高信息服務(wù)提供和支持的能力和水平：a）引入GB/T

19001的質(zhì)量管理思想，與更協(xié)調(diào)、融合；b）引入GBT

22080的信息安全管理思想，與ISMS更協(xié)調(diào)、融合；c）引入GB/T

19001的術(shù)語(yǔ)、定義和構(gòu)成要素，并依據(jù)服務(wù)管理的特征定義等。5.2.3 綜述5.2.3.1 一般意義GB/T

19001所規(guī)制的質(zhì)量管理體系、質(zhì)量管理思想和方法具有普適性，在遵從GB/T

24405DB/T

1628的設(shè)計(jì)提供借鑒。5.2.3.2DB/T

1628基于GB/T

19001、

GB/T

24405的規(guī)則設(shè)計(jì)，

1628系列標(biāo)準(zhǔn)為PISMS設(shè)計(jì)了相應(yīng)的可實(shí)施的規(guī)則：a）遵從GB/T

24405

服務(wù)管理的基本思想和GB/T

19001質(zhì)量管理原則，以服務(wù)管理為導(dǎo)向，關(guān)注個(gè)人信息生命周期內(nèi)服務(wù)管理能力、服務(wù)管理質(zhì)量；b）依據(jù)GB/T

19001、

24405，

1628系列標(biāo)準(zhǔn)建構(gòu)了PISMS的各項(xiàng)要素、過(guò)程等；c）依據(jù)GB/T

19001、

GB/T

24405，DB21/T

1628系列標(biāo)準(zhǔn)規(guī)范了PISMS構(gòu)成要素、過(guò)程的管理活動(dòng)和行為，細(xì)粒度地建立了要素對(duì)應(yīng)的各項(xiàng)管理規(guī)則。5.2.4 GB/T

220805.2.4.1綜述GB/T

22080等同采用

27001，其特征應(yīng)包括：aISMSb）兼容性：標(biāo)準(zhǔn)結(jié)構(gòu)、體例、核心定義等與GB/T

對(duì)應(yīng)，ISMS與GMS具有兼容性；c5.2.4.2 差異DB21/T

1628.9—2019DB21/T

1628系列遵從GB/T

19001、

GB/T

24405的思想和方法，融合GB/T

信息安全管理思想，因此，PISMS與ISMS是相似的，但二者存在差異：a）基點(diǎn)不同：ISMS是基于信息資產(chǎn)的安全管理活動(dòng)，GB/T

22080規(guī)范了基于信息資產(chǎn)安全的管理規(guī)則；PISMS是基于保障個(gè)人信息主體權(quán)益展開(kāi)的相應(yīng)管理活動(dòng)或行為，

1628系列規(guī)范了個(gè)人信息管理的相關(guān)規(guī)則；b）資產(chǎn)相關(guān)性：個(gè)人信息安全亦與信息資產(chǎn)安全相關(guān)，但相關(guān)性體現(xiàn)個(gè)人信息的存在特征，及對(duì)信息資產(chǎn)的影響、變化；c）復(fù)雜性：個(gè)人信息安全的復(fù)雜性表現(xiàn)為：1）個(gè)人信息環(huán)境復(fù)雜、多變，呈現(xiàn)多樣性；2）個(gè)人信息存在形態(tài)多樣化；3）個(gè)人信息風(fēng)險(xiǎn)隨環(huán)境、形態(tài)的多樣化變化。5.2.5 總論個(gè)人信息管理者內(nèi)可存在多種管理體系，與PISMS的關(guān)系可描述為：a）GMS、、ISMS和可并存（標(biāo)準(zhǔn)制定的現(xiàn)實(shí)）；b）PISMS兼容了質(zhì)量管理、服務(wù)管理和信息安全管理；c）ISMS可以包容PISMSGB/T

22080、GB/T

不能完全包容個(gè)人信息管理；d）GB/T

19001、

GB/T

亦不能包容個(gè)人信息管理；e）若依據(jù)GB/T

19001、

24405、

22080、

22081等相關(guān)標(biāo)準(zhǔn)，分散個(gè)人信息管理，將增加個(gè)人信息存在風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和管理成本；f）可在ISMS認(rèn)證中，兼顧DB21/T

1628系列的標(biāo)準(zhǔn)特征，實(shí)施統(tǒng)一認(rèn)證管理。DB21/T

1628GB/T

GB/T

24405.1GB/T

GB/T

1628.11628.23.1.2

1628.11628.23.1.4

1628.11628.2

4.2

1628.11628.2

7.4

1628.11628.2

1628.11628.2

7.2

7.3

5.2

4.1.2

5.2

7.4

6.2

6.6.1

7.5

5.1

4.1.1

5.1

5.3

4.1.3

7.2.1

7.3

7.4

4.1.4

7.4

10

10.3

10.5.4

6.1.3

6.1.4

DB21/T

1628.9—2019AA附

錄 A（資料性附錄）管理體系標(biāo)準(zhǔn)條款對(duì)照表1628.11628.27.5.3

10.5.2

4.4

4.5

1628.211

7.1

4.4

7.1

1628.11628.2

8.1

8.2

8.3

12

7.2

7.3

4.4.2

7.2

7.3

7.2.2

1628.11628.38.4

1628.11628.48.5

7.5

4.3

7.5

1628.11628.2

13

14

1628.11628.210

14

6.1.5

6.2