DB21∕T 2702.1-2016 信息安全 个人信息安全管理体系评价 第1部分要求

ICS35.020L70DB21辽宁省地方标准DB21/T2702.1—2016信息安全个人信息安全管理体系评价第1部分：要求InformationSecurity-PersonalInformationsecuritymanagementsystemevaluation-Part1-Requirements2016-09-27发布2016-11-27实施辽宁省质量技术监督局发布DB21/T2702.1—2016I目次前言................................................................................IV引言.................................................................................V1范围..............................................................................12规范性引用文件....................................................................13术语、定义和缩略语................................................................14评价管理..........................................................................15评价指标..........................................................................46评价流程..........................................................................57评价准备..........................................................................58申请受理..........................................................................59现场审核..........................................................................710审批和公示......................................................................1211仲裁服务........................................................................1312人员管理........................................................................1313文档管理........................................................................1414过程管理........................................................................1515资格管理........................................................................15附录A（规范性附录）评价流程.......................................................16附录B（规范性附录）评价指标构成...................................................17DB21/T2702.1—2016II前言DB21/T2702分为11部分：——信息安全个人信息安全管理体系评价要求——信息安全个人信息安全管理体系评价评价管理指南——信息安全个人信息安全管理体系评价评价员管理——信息安全个人信息安全管理体系评价评价指标——信息安全个人信息安全管理体系评价评价方法——信息安全个人信息安全管理体系评价资格审查——信息安全个人信息安全管理体系评价现场管理——信息安全个人信息安全管理体系评价保证方法——信息安全个人信息安全管理体系评价仲裁指南——信息安全个人信息安全管理体系评价审批指南——信息安全个人信息安全管理体系评价资格管理本部分是DB21/T2702的第1部分。本部分按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。本部分由大连市经济和信息化委员会提出。本部分由辽宁省经济和信息化委员会归口。本部分主要起草单位：大连软件行业协会、大连交通大学.本部分主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、杨万清、王小更、宋悦。DB21/T2702.1—2016III引言0.1综述个人信息管理是基于特定、明确、合法目的，以有效、能动、可控、安全为目的、针对个人信息及相关资源、环境、管理体系等的相关活动或行为。DB21/T1628系列标准，定义了保证个人信息安全的基本规则和行为准则，约束了个人信息拥有者的管理个人信息的活动和行为。然而，个人信息管理的标准符合性、一致性和目的有效性，必须经第三方认证机构确认。个人信息安全管理体系评价标准体系，规定了个人信息安全管理体系的认证规则，及个人信息安全管理体系评价机构的行为准则。0.2评价评价是认证的一种形式。个人信息安全管理体系评价，是以个人信息安全为目的，采用合理、有效的技术和管理方法，系统、客观、全面地监督、判断、评估个人信息安全管理体系的建立、实施、完善、变化及其影响因素。0.3评价对象个人信息管理是个人信息管理者向个人信息主体提供服务的过程，通过计划、组织、协调个人信息资源需求与个人信息主体的符合性，采取相应的规范化、系列化控制策略和控制措施，保证个人信息的安全。相对于组织形态，个人信息管理是发散的。构建个人信息安全管理体系，映射个人信息管理的特征、属性，约束相关因素，可以相互关联、协调，实现个人信息相对安全的状态。因而，评价的对象是个人信息安全管理体系。0.4评价体系实施个人信息安全管理体系评价的评价体系，是基于个人信息安全目标，整合目标、原则、管理、方法、过程、资源等要素，及实现要素的方法、过程，所形成的知识、方法和实践的有机整体。以保证个人信息安全管理体系评价的科学性、规范性和有效性。0.5标准体系个人信息安全管理体系评价标准体系包括：个人信息安全管理体系评价要求：个人信息安全管理体系评价的基本规则；个人信息安全管理体系评价评价管理指南：个人信息安全管理体系评价的实施细则；个人信息安全管理体系评价评价员管理：实施个人信息安全管理体系评价人员的约束规则；个人信息安全管理体系评价评价指标：个人信息安全管理体系评价的指标设计、构成；个人信息安全管理体系评价评价方法：实施个人信息安全管理体系评价的方法设计和选择；DB21/T2702.1—2016IV个人信息安全管理体系评价资格审查：申请个人信息安全管理体系评价的资格评估；个人信息安全管理体系评价现场管理：实施个人信息安全管理体系评价的现场审核规则；个人信息安全管理体系评价保证方法：实施个人信息安全管理体系评价的质量保证；个人信息安全管理体系评价仲裁指南：个人信息安全管理体系评价的争端解决规则；个人信息安全管理体系评价审批指南：个人信息安全管理体系评价结果的判定规则；个人信息安全管理体系评价资格管理：通过个人信息安全管理体系评价后的管理规则。0.6业务连续性个人信息安全管理体系评价，应基于各类组织的实际，保证业务、管理运行的连续性。0.7要求本标准基于DB21/T1628系列个人信息安全标准确立的个人信息安全原则和要求，重点描述和指导个人信息安全管理体系评价规则。实施个人信息安全管理体系评价，应同时使用DB21/T1628系列个人信息安全标准和本标准确立的个人信息安全管理体系评价规则。0.8兼容性个人信息安全管理体系评价标准体系，可与B21/T1628系列个人信息安全标准、其它国际、国内信息安全标准及相关标准协调一致，并与这些标准相互配合或相互参照、整合实施和运行。个人信息安全管理体系评价标准体系，易于与其它国际、国内相关认证标准整合实施。0.9基准《信息安全个人信息安全管理体系评价要求》应做为个人信息安全管理体系评价的基准，其内容并不一定完全适用各类组织。宜根据组织特点、技术发展、行业应用、市场需求等剪裁、设计，或根据本标准规制延伸使用。DB21/T2702.1—20161信息安全个人信息安全管理体系评价第1部分：要求1范围本标准规定了个人信息安全管理体系评价的管理、指标、流程、准备、申请受理、现场审核、审批和公示、仲裁服务、人员管理、文档管理、过程管理和资格管理等的规范。本标准适用于各类个人信息安全管理体系评价机构，亦为已建立个人信息安全管理体系的个人、企业、事业、社会团体等组织提供参照。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。DB21/T1628.1信息安全个人信息保护规范DB21/T1628.2信息安全个人信息安全管理体系实施指南3术语、定义和缩略语3.1术语和定义DB21/T1628界定的以及下列术语和定义适用于本文件。3.1.1个人信息安全管理体系评价personalinformationsecuritymanagementsystemevaluate由独立、公正的第三方评价机构，基于DB21/T1628系列标准，系统、全面、客观地审查、判断、评估个人信息安全管理体系评价实施、运行状况的标准符合性、一致性和目的有效性的活动。注1：包括自动或非自动处理全部或部分个人信息的个人、企业、事业、社会团体等组织的个人信息管理；注2：评价与认证是一致的。3.2缩略语3.2.1PISMSE个人信息安全管理体系评价。4评价管理DB21/T2702.1—201624.1评价原则4.1.1以用户为中心应充分理解用户需求，关注用户业务流程，使评价客观、全面、整体、有效。4.1.2基于事实管理应保证获得数据、信息的可靠性、准确性，基于事实科学、客观分析、判断、评估。4.1.3质量管理应采用PDCA过程管理模式，保证评价质量和评价的权威性。4.1.4持续改进应不断改进、完善评价体系，提高评价体系的有效性，以更加适应用户、社会的需要。4.2评价组织4.2.1要求实施PISMSE，应建立相应的管理机构，以约束评价活动、行为。4.2.2工作委员会4.2.2.1构成个人信息安全工作委员会是为推进个人信息安全、实施PISMSE设立的专门的管理机构。a）委员会应由主管机构、相关行业、相关企业代表，及专家、学者和相关研究人员组成；b）委员会应设立若干职能单元，履行委员会的各项职能，如法规组、仲裁组、宣传组、国际交流组、教育培训组等。4.2.2.2职能个人信息安全工作委员会的职能，主要应包括：a）推进、实施个人信息安全相关工作；b）推进PISMS建设；c）研究、制定、解释、修改、实施个人信息安全相关法规、标准；d）研究、制定、解释、修改、实施PISMSE相关标准、规则；e）监督PISMSE机构的工作；f）审计PISMSE相关活动和文档；g）推进个人信息安全、PISMSE相关宣传、培训、教育；h）建立争端解决仲裁机制；i）国际间的交流、合作等。4.2.3评价机构DB21/T2702.1—201634.2.3.1构成PISMSE机构是个人信息安全工作委员会为管理、实施PISM