GB/T 33770.2-2019信息技術(shù)服務(wù)外包第2部分：數(shù)據(jù)保護要求

ICS35080

L77.

中華人民共和國國家標準

GB/T337702—2019

.

信息技術(shù)服務(wù)外包

第2部分數(shù)據(jù)保護要求

:

Informationtechnologyservice—Outsourcing—

Part2Datarotectionreuirements

:pq

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T337702—2019

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

數(shù)據(jù)生命周期

5……………3

數(shù)據(jù)主體權(quán)利

6……………4

知情權(quán)

6.1………………4

支配權(quán)

6.2………………4

控制權(quán)

6.3………………4

共享權(quán)

6.4………………4

質(zhì)疑權(quán)

6.5………………4

數(shù)據(jù)管理者

7………………5

規(guī)則

7.1…………………5

角色

7.2…………………5

服務(wù)管理

7.3……………5

責任和義務(wù)

7.4…………………………5

數(shù)據(jù)管理

8…………………6

要求

8.1…………………6

原則

8.2…………………6

方針

8.3…………………6

計劃

8.4…………………7

組織

8.5…………………7

數(shù)據(jù)管理體系

8.6………………………9

資源管理

8.7……………10

控制

8.8…………………10

協(xié)調(diào)

8.9…………………10

管理機制

9…………………11

管理制度

9.1……………11

宣傳

9.2…………………11

培訓(xùn)教育

9.3……………12

公示

9.4…………………12

數(shù)據(jù)庫管理

9.5…………………………12

數(shù)據(jù)管理文檔

9.6………………………14

人員管理

9.7……………14

Ⅰ

GB/T337702—2019

.

保密

9.8…………………14

數(shù)據(jù)獲取

10………………14

目的

10.1………………14

限制

10.2………………14

類別

10.3………………14

保存

10.4………………15

數(shù)據(jù)處理

11………………15

過程

11.1………………15

使用

11.2………………15

提供

11.3………………16

委托

11.4………………16

二次開發(fā)

11.5…………………………16

交易

11.6………………17

后處理

11.7……………17

安全管理

12………………17

要求

12.1………………17

風險管理

12.2…………………………18

物理環(huán)境安全

12.3……………………18

工作環(huán)境安全

12.4……………………18

網(wǎng)絡(luò)行為管理

12.5……………………18

環(huán)境安全

12.6IT………………………18

存儲安全

12.7…………………………18

數(shù)據(jù)庫安全

12.8………………………18

移動終端安全

12.9……………………19

數(shù)據(jù)主體安全

12.10……………………19

過程管理

13………………19

過程模式

13.1…………………………19

內(nèi)審

13.2………………20

過程改進

13.3…………………………20

應(yīng)急管理

14………………20

例外

15……………………21

收集例外

15.1…………………………21

法律例外

15.2…………………………21

管理評價

16………………21

附錄規(guī)范性附錄數(shù)據(jù)管理相關(guān)資源

A()………………22

參考文獻

……………………23

Ⅱ

GB/T337702—2019

.

前言

信息技術(shù)服務(wù)外包分為個部分

GB/T33770《》6:

第部分服務(wù)提供方通用要求

———1:;

第部分數(shù)據(jù)保護要求

———2:;

第部分交付中心要求

———3:;

第部分非結(jié)構(gòu)化數(shù)據(jù)管理與服務(wù)要求

———4:;

第部分發(fā)包方項目管理要求

———5:;

第部分服務(wù)需方通用要求

———6:。

本部分為的第部分

GB/T337702。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分由全國信息技術(shù)標準化技術(shù)委員會提出并歸口

(SAC/TC28)。

本部分起草單位大連軟件行業(yè)協(xié)會大連華信計算機技術(shù)股份有限公司東軟集團股份有限公司

:、、、

成都市大數(shù)據(jù)中心北京護航科技股份有限公司廣州賽寶認證中心服務(wù)有限公司中國電子技術(shù)標準

、、、

化研究院金稅信息技術(shù)服務(wù)股份有限公司上海北宙企業(yè)管理咨詢有限公司上海有孚網(wǎng)絡(luò)股份有限

、、、

公司北京信城通數(shù)碼科技有限公司廣州番禺職業(yè)技術(shù)學(xué)院上海三零衛(wèi)士信息安全有限公司神州數(shù)

、、、、

碼系統(tǒng)集成服務(wù)有限公司上海寶信軟件股份有限公司昆明東電科技有限公司東軟睿道教育信息技

、、、

術(shù)有限公司江蘇潤和軟件股份有限公司文思海輝技術(shù)有限公司

、、。

本部分主要起草人郎慶斌尹宏劉宏高昕陳錫民趙振文但強于浩梁曉雁丁宗安熊健淞

:、、、、、、、、、、、

職亮亮劉颋張樹玲劉亭杉杜遠唐百惠王偉鄔敏華李陽鄭義王斌斌萬啟東徐瑤謝尚飛

、、、、、、、、、、、、、、

韓沫邵峰董雷宋悅王鑫

、、、、。

Ⅲ

GB/T337702—2019

.

引言

本部分內(nèi)涵和外延均較寬泛存在易于混淆多義性的概念理解需予以說明以便于標準條文的

,、、,,

解釋和標準的應(yīng)用

。

01基準

.

本部分考慮個人信息與商業(yè)數(shù)據(jù)具有類同的特質(zhì)在收集處理使用中其安全要求安全機制安

,、、,、、

全策略等是同等的可以采用同一的管理方式適于服務(wù)外包組織共同遵守和應(yīng)用也可為其他行

,,IT,

業(yè)提供借鑒

。

02數(shù)據(jù)

.

數(shù)據(jù)是一個廣義的概念本部分中代指涉及個人信息商業(yè)數(shù)據(jù)的相關(guān)信息

“”,,、。

知識產(chǎn)權(quán)涉及面廣構(gòu)成復(fù)雜且已有相關(guān)法規(guī)然而與知識產(chǎn)權(quán)相關(guān)信息的保護存在法律空白

、,,,。

由于這部分信息與商業(yè)數(shù)據(jù)的特質(zhì)類同因此本部分將知識產(chǎn)權(quán)相關(guān)信息歸入商業(yè)數(shù)據(jù)

。,。

03商業(yè)數(shù)據(jù)

.

商業(yè)數(shù)據(jù)亦是一個廣義的概念內(nèi)涵寬泛本部分中特指敏感的商業(yè)秘密或其他需要保護的

“”,。,

數(shù)據(jù)

。

04綜合數(shù)據(jù)庫

.

本部分限定綜合數(shù)據(jù)庫是由結(jié)構(gòu)化非結(jié)構(gòu)化個人信息商業(yè)數(shù)據(jù)包括自動處理和非自動處理分

、、()

別構(gòu)成的邏輯數(shù)據(jù)庫

。

05數(shù)據(jù)管理

.

數(shù)據(jù)保護是針對數(shù)據(jù)及相關(guān)資源環(huán)境管理體系等的管理活動或行為之一因而本部分采用數(shù)

、、,,“

據(jù)管理涵蓋數(shù)據(jù)保護本部分數(shù)據(jù)管理涉及個人信息管理商業(yè)數(shù)據(jù)管理

”“”。、。

數(shù)據(jù)管理包含數(shù)據(jù)收集處理使用的整個生命周期

、、。

06數(shù)據(jù)安全性

.

本部分涉及的數(shù)據(jù)安全性是指個人信息商業(yè)數(shù)據(jù)的保密性完整性準確性可用性真實性可

,、、、、、、

控性和不可抵賴性

。

07數(shù)據(jù)管理體系

.

指具有特定功能由相互關(guān)聯(lián)的若干要素構(gòu)成的有機整體通過整合協(xié)調(diào)資源聚焦管理要素實

、,、,,

Ⅴ

GB/T337702—2019

.

現(xiàn)預(yù)定目標要素與要素要素與體系體系與環(huán)境等之間相互作用又相互影響

。、、。

本部分為個人信息管理商業(yè)數(shù)據(jù)管理提供了基本的規(guī)則和要求以構(gòu)建數(shù)據(jù)管理體系充分保障

、,,

數(shù)據(jù)主體的權(quán)利保障相關(guān)業(yè)務(wù)的穩(wěn)定有效運行

,、。

08標準架構(gòu)和體例

.

本部分以管理為主線以數(shù)據(jù)生命周期為導(dǎo)向構(gòu)建數(shù)據(jù)管理標準架構(gòu)并不同于質(zhì)量管理體系的

,,,

標準體例以便于集聚整合管理要素完善改進可控數(shù)據(jù)管理體系以策數(shù)據(jù)安全

,、,、、,。

09標準兼容性

.

本部分與國際國內(nèi)信息安全標準及其他相關(guān)標準協(xié)調(diào)一致并與這些標準相互配合或相互整合實

、,

施和運行

。

010業(yè)務(wù)連續(xù)性

.

本部分在提供安全指導(dǎo)的同時需基于數(shù)據(jù)的合理流通保證業(yè)務(wù)的連續(xù)性

,,。

011標準適用性

.

服務(wù)外包組織與各類組織的數(shù)據(jù)安全屬性特征基本一致其安全機制安全策略是類同的因

IT、,、,

而本部分具有普適性

,:

本部分規(guī)范的數(shù)據(jù)管理規(guī)則既是服務(wù)管理的基礎(chǔ)亦可為服務(wù)的發(fā)展建立數(shù)據(jù)管理

a),IT,IT

基準

;

本部分規(guī)范的數(shù)據(jù)管理規(guī)則具有共性的特征可以依據(jù)組織的特征解釋剪裁

b),,、;

服務(wù)外包組織與各類組織的特征區(qū)別是組織的業(yè)務(wù)和管理其所涉數(shù)據(jù)含合同管理亦

c)IT,(),

為本部分范疇

;

本部分不僅適用于服務(wù)外包組織其他機關(guān)企業(yè)事業(yè)社會團體等各類組織可以參照

d)IT,、、、,

執(zhí)行

。

Ⅵ

GB/T337702—2019

.

信息技術(shù)服務(wù)外包

第2部分數(shù)據(jù)保護要求

:

1范圍

的本部分規(guī)定了信息技術(shù)外包服務(wù)中數(shù)據(jù)保護所涉及的數(shù)據(jù)生命周期數(shù)據(jù)主體權(quán)

GB/T33770