版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
DB21DB21/T1628.1—2016信息安全個(gè)人信息保護(hù)規(guī)范InformationSecurity-SpecificationforPersonalInformationProtection2016-09-27發(fā)布2016-11-27實(shí)施遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布IDB21/T1628.1—2016 V 1 1 1 4 4 4 5 7 DB21/T1628.1—2016——信息安全個(gè)人信息保護(hù)規(guī)范——信息安全個(gè)人信息安全管理體系實(shí)施指南——信息安全個(gè)人信息數(shù)據(jù)庫(kù)管理指南——信息安全個(gè)人信息管理文檔管理指南——信息安全個(gè)人信息安全風(fēng)險(xiǎn)管理指南——信息安全個(gè)人信息安全管理體系安全技術(shù)實(shí)施指南——信息安全個(gè)人信息安全管理體系內(nèi)審實(shí)施指南——標(biāo)準(zhǔn)結(jié)構(gòu)修改,構(gòu)建個(gè)人信息安全管理框架;——標(biāo)準(zhǔn)粒度修訂,剔除規(guī)章制度等部分過(guò)細(xì)的約束規(guī)則;——適當(dāng)跟蹤新技術(shù)的發(fā)展,增加部分相關(guān)規(guī)則,如移動(dòng)設(shè)備等;——修訂個(gè)人信息定義;——修訂個(gè)人信息主體定義,更加嚴(yán)謹(jǐn)、規(guī)范地描述個(gè)人信息主體;——定義個(gè)人信息管理者的行為約束;——建立被動(dòng)收集的約束規(guī)則;DB21/T1628.1—2016危機(jī),需要在新的形勢(shì)下重新審視個(gè)人信息安全標(biāo)以個(gè)人信息安全和個(gè)人信息管理質(zhì)量為目標(biāo),規(guī)定個(gè)人信息生命周期內(nèi)管理1DB21/T1628.1—2016件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用a)可通過(guò)聽覺(jué)、視覺(jué)、觸覺(jué)等感官直接識(shí)別個(gè)人的信息,如數(shù)字、文字、圖像、影像個(gè)人信息主體personalinformat2DB21/T1628.1—2016個(gè)人信息管理者personalinformati個(gè)人信息安全personalinformat個(gè)人信息生命周期personalinformatio個(gè)人信息管理personalinformatio個(gè)人信息安全管理體系personalinformationSecuritymanagement審核、改進(jìn)等管理要素,及實(shí)現(xiàn)要素的方法和過(guò)程,個(gè)人信息數(shù)據(jù)庫(kù)personalinformationdata為實(shí)現(xiàn)一定目的,按照某種方式和規(guī)則組織的個(gè)a)可以通過(guò)自動(dòng)處理檢索特定的個(gè)人信息的集合體,如磁介質(zhì)、電子、b)可以采用非自動(dòng)處理方式檢索、查閱特定的個(gè)人信息的集合體,如紙介質(zhì)、聲音、照片等;個(gè)人信息收集personalinfor3DB21/T1628.1—2016個(gè)人信息處理personalinfo個(gè)人信息主體同意personalinformationsubjec1)由監(jiān)護(hù)人代表未成年的或無(wú)法做出正確2)個(gè)人信息管理者與個(gè)人信息主體簽訂合同中確認(rèn)了相關(guān)個(gè)人信息處理的規(guī)定,個(gè)人信息主體同意履行合PISMSpersonalinformationsecuritymanagement4個(gè)人信息生命周期4DB21/T1628.1—2016a)個(gè)人信息獲取過(guò)程:個(gè)人信息主體同意,基于特定、明確、合法目的,直接或間接收集個(gè)人信b)個(gè)人信息處理過(guò)程:基于收集目的的個(gè)人信息使用、利用過(guò)程,可劃分4種形式:2)包括提供、委托、交換等不同的利用過(guò)4)個(gè)人信息的后處理過(guò)程;c)基于生命周期的過(guò)程管理:在個(gè)人信息生命周期內(nèi),采用PDCA模式管理針對(duì)個(gè)人信息及相關(guān)5個(gè)人信息主體權(quán)利a)個(gè)人信息主體應(yīng)有權(quán)知悉個(gè)人信息數(shù)據(jù)庫(kù)中與個(gè)人信息主體b)個(gè)人信息主體應(yīng)有權(quán)知悉個(gè)人信息收集、處理、使用、利用的目的、方式、范圍等相關(guān)信息;c)個(gè)人信息主體應(yīng)有權(quán)查詢個(gè)人信息收集、處理、使用、利用情況及個(gè)人信息質(zhì)量等d)個(gè)人信息主體應(yīng)有權(quán)知悉個(gè)人信息生命周期內(nèi)個(gè)人a)收集、處理、使用、利用個(gè)人信息,應(yīng)經(jīng)個(gè)人信息主體同意,并b)個(gè)人信息主體應(yīng)有權(quán)修改、刪除、完善與之相關(guān)的個(gè)人信息,以保證個(gè)人信息的完整、準(zhǔn)確和c)個(gè)人信息主體應(yīng)有權(quán)決定如何使用與之相關(guān)的d)在個(gè)人信息生命周期內(nèi),個(gè)人信息主體應(yīng)有權(quán)提議改進(jìn)、完善個(gè)b)個(gè)人信息主體應(yīng)有權(quán)質(zhì)疑或反對(duì)與之相關(guān)的個(gè)人信息管理目的、過(guò)程等;c)如果個(gè)人信息管理目的、過(guò)程違背了個(gè)人信息主體意愿或其它正當(dāng)理由,個(gè)人信息主體應(yīng)有權(quán)請(qǐng)求停止個(gè)人信息管理活動(dòng)、行為或提出撤消該個(gè)人信息。停止或撤銷應(yīng)經(jīng)個(gè)人d)在個(gè)人信息生命周期內(nèi),個(gè)人信息主體應(yīng)有權(quán)質(zhì)疑個(gè)人信息管理質(zhì)量的a)個(gè)人信息管理者獲取、處理、使用、利用、管理個(gè)人信息應(yīng)獲得個(gè)人信息主體授權(quán),并確定明5DB21/T1628.1—2016b)個(gè)人信息管理者應(yīng)基于個(gè)人信息生命周期,為個(gè)人信息主體提供個(gè)人信息的服務(wù)管理;c)個(gè)人信息管理者不應(yīng)因利益、條件等的變化降低個(gè)人信息管理質(zhì)量的可個(gè)人信息管理應(yīng)是個(gè)人信息管理者向個(gè)人信息主體提供服務(wù)的過(guò)程。個(gè)人信息管理b)個(gè)人信息管理者應(yīng)建立有效的內(nèi)部管理機(jī)制并形成管理體系,以保證個(gè)人信息管理的質(zhì)量可靠c)個(gè)人信息管理者應(yīng)提供透明的服務(wù)管理過(guò)程,以保證第5章確立的個(gè)人信息主體的個(gè)人信息管理者應(yīng)對(duì)所管理的個(gè)人信息予以保密,并對(duì)個(gè)人信息管理過(guò)程采取相應(yīng)的控制策略和措施,收集、處理、使用、利用個(gè)6DB21/T1628.1—2016在管理活動(dòng)或行為中應(yīng)保證個(gè)人信息的準(zhǔn)確性、完收集、處理、使用、利用個(gè)人信息,應(yīng)采用合法、合理的手應(yīng)采取必要、合理的管理和技術(shù)措施,防止個(gè)人信息濫用、篡改、丟失、b)個(gè)人信息管理者的義務(wù);個(gè)人信息管理者應(yīng)根據(jù)管理、業(yè)務(wù)目標(biāo),制定基于個(gè)人信息生命周期的管理b)個(gè)人信息管理措施、策略;c)個(gè)人信息管理和各類相關(guān)資源的組織、協(xié)調(diào)、轉(zhuǎn)換人信息相關(guān)法規(guī)、標(biāo)準(zhǔn)的管理,組織個(gè)人信息表組建、負(fù)責(zé)個(gè)人信息管理機(jī)構(gòu),在資金、資源等各個(gè)方面7DB21/T1628.1—2016信息管理機(jī)構(gòu)宜包括宣傳教育、安全管理、服務(wù)臺(tái)等責(zé)任主體,管理機(jī)構(gòu)的主要職b)PISMS建立、實(shí)施、運(yùn)行;d)編制內(nèi)審報(bào)告,督促、建議PISMS的個(gè)人信息管理者代表應(yīng)建立基于服務(wù)管理的PISMS,滿足屬機(jī)構(gòu))與PISMS、PISMS內(nèi)、PISMS與相關(guān)資源之間等的8DB21/T1628.1—2016其它業(yè)務(wù)開展或有特殊要求的業(yè)務(wù),涉及個(gè)人信息管理,應(yīng)制定相員保護(hù)個(gè)人信息的熱情、責(zé)任感、積極性和8.3.1宣傳8.3.1.1基本宣傳個(gè)人信息管理者應(yīng)在其內(nèi)部向全體工作人員及其它相關(guān)人員說(shuō)明個(gè)人信息管理的重要性和相關(guān)管理策略,以得到工作人員及其它相關(guān)人員對(duì)個(gè)人信息8.3.1.2業(yè)務(wù)宣傳8.3.1.3社會(huì)宣傳8.3.2.1計(jì)劃9DB21/T1628.1—20168.3.2.2對(duì)象b)臨時(shí)員工;a)個(gè)人信息安全相關(guān)法律、法規(guī)、規(guī)范、標(biāo)準(zhǔn)和b)個(gè)人信息管理的重要性和必要性;e)管理、業(yè)務(wù)活動(dòng)中個(gè)人信息管理的方式、個(gè)人信息管理者應(yīng)為個(gè)人信息的存儲(chǔ)、保存設(shè)定一個(gè)合理的時(shí)限,意識(shí),采取必要的安全措施,防止不正當(dāng)收集8.5.1記錄DB21/T1628.1—2016b)公示的目的、方式、范圍和內(nèi)容;9個(gè)人信息獲取a)應(yīng)將收集目的、范圍、方法和手段、處理方式等清晰無(wú)誤的告知個(gè)人信息主體,并征得個(gè)人信注4:被動(dòng)收集,即個(gè)人信息主體不知情或不能控制情9.3.1直接收集b)個(gè)人信息收集、處理、使用的目的、方法;DB21/T1628.1—2016非直接地收集個(gè)人信息時(shí),應(yīng)遵循9.2的規(guī)定,保證個(gè)人信息主體知悉并同意。間接收集應(yīng)保證個(gè)人信息主體權(quán)益不受侵害。應(yīng)保證個(gè)人信息主體知悉的信息,9.3.3被動(dòng)收集b)應(yīng)遵循9.2的限制;c)通過(guò)各種電子媒介(如博客、微博、微信、論壇、云盤、網(wǎng)盤、郵件、即時(shí)通訊、網(wǎng)站、網(wǎng)絡(luò)9.4保存以各種形式、方式收集的個(gè)人信息,應(yīng)保存或存儲(chǔ)在統(tǒng)一的個(gè)人信息數(shù)據(jù)庫(kù)內(nèi),并應(yīng)依據(jù)8.4建立a)應(yīng)根據(jù)第7章、第8章的相關(guān)規(guī)則,管控個(gè)人信息處理過(guò)程,以保證個(gè)人信息質(zhì)量和個(gè)人信息主b)應(yīng)接受內(nèi)審機(jī)構(gòu)的檢查、監(jiān)控,隨時(shí)改進(jìn)、完善個(gè)人信息處理過(guò)程,以保證個(gè)人信息安全。個(gè)人信息管理者處理、使用個(gè)人信息應(yīng)基于明確、合法的目的,并遵a)應(yīng)征得個(gè)人信息主體同意;或?yàn)槁男信c個(gè)人信息主體達(dá)成的合法協(xié)議適當(dāng)、合法、有效的方法和手段獲得的,并不與收DB21/T1628.1—2016范圍內(nèi),采用合法、適當(dāng)、適度的方法使用。應(yīng)向個(gè)人信息第三方接受個(gè)人信息管理者提供的個(gè)人信息,應(yīng)遵循6.的隨意處理,并應(yīng)向個(gè)人信息主體提供受托方相關(guān)信息保證不會(huì)發(fā)生個(gè)人信息泄漏或個(gè)人信息濫用。在b)委托目的和范圍;b)二次開發(fā)的目的、方式、方法和范圍;DB21/T1628.1—20164)個(gè)人信息交易的目的、方式、方法和范圍;DB21/T1628.1—2016b)工作桌面;個(gè)人信息管理者應(yīng)履行6.4規(guī)定的責(zé)任和義務(wù)b)個(gè)人信息數(shù)據(jù)庫(kù)管理者的職責(zé);應(yīng)根據(jù)個(gè)人信息自動(dòng)和非自動(dòng)處理的特點(diǎn),制定相應(yīng)的個(gè)人信息數(shù)據(jù)庫(kù)管理策略,包括訪問(wèn)/調(diào)用控制、權(quán)限設(shè)置、密鑰管理等,防止個(gè)人信息的不當(dāng)使用、毀損、泄漏應(yīng)制定個(gè)人信息數(shù)據(jù)庫(kù)備份和恢復(fù)機(jī)制,并保證備份、恢復(fù)的完整性、可立設(shè)備使用追蹤回溯機(jī)制,防止數(shù)據(jù)毀損、泄漏、刪除DB21/T1628.1—2016b)各種工作環(huán)境下與個(gè)人信息相關(guān)的各種行為、活a)應(yīng)審核個(gè)人信息管理相關(guān)活動(dòng)和行為、PISMS、PISMS實(shí)施和運(yùn)b)內(nèi)審應(yīng)由與審核對(duì)象無(wú)直接關(guān)系人實(shí)施;應(yīng)根據(jù)PISMS內(nèi)審計(jì)劃,定期獨(dú)立、公平、公正地實(shí)施內(nèi)審,個(gè)人信息管理機(jī)構(gòu)應(yīng)依據(jù)相關(guān)法規(guī)、內(nèi)審報(bào)告、需求變化、服務(wù)臺(tái)反饋、跟蹤監(jiān)控結(jié)果等,采用PDCA模式,定期評(píng)估、分析PISMS運(yùn)行狀況,并持續(xù)改DB21/T1628.1—2016b)制定預(yù)防和改進(jìn)措施;息泄露、丟失、損壞、篡改、不當(dāng)使用等事故,采取相應(yīng)的預(yù)b)事故的處理流程;b)有關(guān)身體障礙、精神障礙、犯罪史及相關(guān)可能造成社會(huì)歧視的事項(xiàng);b)應(yīng)直接收集,不應(yīng)間接收集、被動(dòng)收集或違背個(gè)人信息主體意愿收集;c)應(yīng)采取特別的保護(hù)措施,保證敏感個(gè)人信息安全和個(gè)人信息主體權(quán)d)一經(jīng)處理、使用完畢,立即完全、徹底法律特別規(guī)定的個(gè)人信息收集例外,個(gè)人信息管理者2)保護(hù)國(guó)家安全、公共安全、國(guó)家利益、制
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 科學(xué)探究物質(zhì)的比熱容課件定稿新版滬科
- 孕期痰多的健康宣教
- 鼻部腫瘤的健康宣教
- 《機(jī)床電氣線路的安裝與調(diào)試》課件-第4章
- 《機(jī)械制造基礎(chǔ)》課件-05篇 第三單元 激光加工
- 爆震性耳聾的健康宣教
- 性發(fā)育異常的臨床護(hù)理
- 《操作系統(tǒng)類型習(xí)題》課件
- JJF(陜) 075-2021 回彈儀檢定裝置校準(zhǔn)規(guī)范
- JJF(陜) 026-2020 脈沖式電火花檢漏儀校準(zhǔn)規(guī)范
- 2024年中級(jí)消防員考試題庫(kù)
- 《規(guī)律作息-健康睡眠》主題班會(huì)課件
- 高中人教版必修一全冊(cè)歷史期末總復(fù)習(xí)重要知識(shí)點(diǎn)歸納
- Unit5 Our New rooms Lesson1(教學(xué)設(shè)計(jì))2024-2025學(xué)年重大版英語(yǔ)五年級(jí)上冊(cè)
- 2024至2030年中國(guó)采棉機(jī)行業(yè)深度調(diào)研及投資戰(zhàn)略分析報(bào)告
- 英語(yǔ)B級(jí)單詞大全
- 智能充電站轉(zhuǎn)讓協(xié)議書范本
- 清醒俯臥位通氣護(hù)理專家共識(shí)
- 人教版部編道德與法治九上1.1《堅(jiān)持改革開放》說(shuō)課稿
- 低壓不停電換表接插件技術(shù)規(guī)范
- 2024版烏魯木齊二手房買賣合同
評(píng)論
0/150
提交評(píng)論