ICS 35.020 L 70 DB21 辽 宁 省 地 方 标 准 DB21/T 1628.9—2019 信息安全 个人信息安全管理体系 附则 Information security-Personal information security management system-Annex 2019 - 09 - 30 发布 辽宁省市场监督管理局 2019 - 10 - 30 实施 发 布 DB21/T 1628.9—2019 目 次 前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 概述 .............................................................................. 1 5 同一性设计 ........................................................................ 1 附录 A（资料性附录） 管理体系标准条款对照表 .......................................... 5 I DB21/T 1628.9—2019 前 言 本标准按照 GB/T 1.1—2009《标准化工作导则 第 1 部分：标准的结构与编写》给出的规则起草。 本标准由辽宁省工业和信息化厅提出并归口。 本标准主要起草单位：大连软件行业协会、大连软信咨询服务有限公司、大连交通大学、大连市计 算机学会。 本标准主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、董晶、杨万清、杨莉、郭玉梅、曹剑、司丹、 孙毅、王小庚、王鑫。 本标准发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。辽宁省工业和信息化厅：沈阳市皇姑 区北陵大街 45-2 号，024-86913384；大连软件行业协会：大连市高新区七贤岭 10 号人才服务大厦 102 室，0411-83655181。 II DB21/T 1628.9—2019 引 言 在个人信息管理者的管理生态中，寄生多体系管理要素，互相制约、影响，造成资源浪费、管理交 叉，冗余、繁复。然因标准框架、管理痼疾等多因素限制，尚无法形成管理体系的一体化。 本标准旨在说明PISMS与QMS、SMS、ISMS的异同，以期在个人信息安全实践中建立同一性规范，在 个人信息安全标准体系实施中，兼顾体系间的共性和个性。 本标准是DB21/T 1628系列标准实施的附加说明。 本标准涵盖DB21/T 1628标准体系，为标准实施提供参考和指导。与标准体系构成框架是平行的。 III DB21/T 1628.9—2019 信息安全 个人信息安全管理体系 附则 1 范围 本标准为个人信息安全管理体系兼容质量管理体系、服务管理体系、信息安全管理体系提供借鉴和 指导。 本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 19001 质量管理体系 要求 GB/T 24405.1 信息技术 服务管理 第1部分：规范 GB/T 24405.2 信息技术 服务管理 第2部分：实践规则 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081 信息技术 安全技术 信息安全控制实用规则 DB21/T 1628 信息安全 个人信息安全管理 3 术语和定义 GB/T 19001、GB/T 24405、GB/T 22080、GB/T 22081、DB21/T 1628界定的术语和定义适用于本文 件。 4 概述 DB21/T 1628个人信息安全标准系列，兼容GB/T 19001（等同采用ISO/IEC 9001）、GB/T 24405.1、 GB/T 24405.2（等同采用ISO/IEC 20000.1、ISO/IEC 20000.2）、及GB/T 22080、GB/T 22081（等同采 用ISO/IEC 27001、ISO/IEC 27002）的思想和方法，为多种管理体系的融和实施，奠定适宜的基础。 个人信息安全标准系列，以管理为主线，以个人信息生命周期为导向，以个人信息安全和个人信息 管理质量为目标，规定个人信息生命周期内管理要素的约束规则。因而，个人信息安全标准系列与GB/T 19001、GB/T 24405.1、GB/T 24405.2、GB/T 22080、GB/T 22081具有类同的管理、服务和安全管理要 素。 本标准建立PISMS与QMS、SMS、ISMS的同一性规范。 5 同一性设计 5.1 PISMS 设计 5.1.1 目的 1 DB21/T 1628.9—2019 个人信息安全管理体系是个人信息管理的结果，其基本目的应是满足个人信息管理的需要，指导各 类组织建立健全各类管理机制，协调各类资源，充分保障个人信息主体的权利，保障个人信息管理业务 的稳定运行。 5.1.2 要素 5.1.2.1 综述 PISMS构成要素的基础： a）PISMS是基于个人信息生命周期展开的； b）个人信息生命周期是个人信息管理者向个人信息主体提供个人信息相关的服务管理的过程； c）在服务管理过程中，个人信息主体感知服务能力和服务质量； d）通过服务能力和服务质量的管控，实现个人信息安全。 5.1.2.2 构成要素 基于GB/T 24405.1、GB/T 24405.2和GB/T 19001，PISMS构成要素，主要包括： a）目标和基本原则：明确管理的目标和管理的基本原则； b）管理策略：方针、责任、能力等； c）组织机构：明确管理机构、组织方式、职能、职责、权限等； d）管理机制：角色、制度、培训、文档等； e）人员管理：可调配、使用的相关人员管理； f）资源管理：体系相关、可协调、调配资源管理； g）过程管理：体系建立、实施过程管理； h）过程改进：体系建立、实施过程监控、内审、改进等。 5.2 体系综述 5.2.1 GB/T 19001 5.2.1.1 特征 GB/T 19001等同采用ISO/IEC 9001，其特征主要包括： a）广泛适用：可适用于所有产品类别、不同规模和各种类型的组织，并可根据实际需要剪裁某些 质量管理体系要求； b）管理模式：质量管理体系模式，以过程为基础，强调过程间的联系和相互作用，逻辑性更强， 相关性更好； c）兼容性：强调质量管理体系与其它管理体系保持一致或融合，便于与其它管理体系相互兼容； d）过程改进：更注重质量管理体系的有效性和持续改进等。 5.2.1.2 质量管理原则 GB/T 19001等同采用ISO/IEC 9001，明确在实施质量管理中必须遵循7项原则。 5.2.1.3 过程管理 在质量管理体系和质量管理过程中应用PDCA过程管理模式： a）风险管理：应用PDCA管理模式中运用风险管理策略，实现过程和体系的有效管理和改进； b）过程和要素：应用PDCA管理模式管理过程及过程中相互作用的要素，实现质量管理体系的目标。 2 DB21/T 1628.9—2019 5.2.1.4 构成要素 质量管理体系的构成要素，主要包括： a）管理策略：包括质量方针、质量目标、管理承诺、职责与权限、策划、顾客需求、质量管理体 系和管理评审等项内容； b）资源管理：包括人力资源、信息资源、设施设备和工作环境等项内容； c）过程管理：包括顾客需求转换、设计、采购、产品生产与服务提供的管理等项内容； d）测量、分析与改进：包括资源评测、质量管理体系内审、产品监测和测量、过程监测和测量、 不合格品控制、持续改进、纠正和预防措施等项内容等。 注1：产品，具有双重含义，可以表示有形的实物产品，也可以表示“服务”。 5.2.2 GB/T 24405 GB/T 24405（等同采用ISO/IEC 20000）以流程为中心、以用户满意和服务质量为核心，整合IT服 务与业务流程，提高信息服务提供和支持的能力和水平： a）引入GB/T 19001的质量管理思想，与QMS更协调、融合； b）引入GBT 22080的信息安全管理思想，与ISMS更协调、融合； c）引入GB/T 19001的术语、定义和构成要素，并依据服务管理的特征定义等。 5.2.3 综述 5.2.3.1 一般意义 GB/T 19001所规制的质量管理体系、质量管理思想和方法具有普适性，在遵从GB/T 24405实施服务 管理中，规范SMS并融入质量管理思想和方法，可通过服务能力感知服务质量，亦为DB/T 1628的设计提 供借鉴。 5.2.3.2 DB/T 1628 基于GB/T 19001、 GB/T 24405的规则设计，DB21/T 1628系列标准为PISMS设计了相应的可实施的 规则： a）遵从GB/T 24405 IT服务管理的基本思想和GB/T 19001质量管理原则，以服务管理为导向，关注 个人信息生命周期内服务管理能力、服务管理质量； b）依据GB/T 19001、 GB/T 24405，DB21/T 1628系列标准建构了PISMS的各项要素、过程等； c）依据GB/T 19001、 GB/T 24405，DB21/T 1628系列标准规范了PISMS构成要素、过程的管理活动 和行为，细粒度地建立了要素对应的各项管理规则。 5.2.4 GB/T 22080 5.2.4.1 综述 GB/T 22080等同采用ISO/IEC 27001，其特征应包括： a）集成性：ISMS与组织（个人信息管理者）整体管理结构、管理过程集成一致，