PDF《DB21》

ICS 35.

020 L

70 DB21 辽宁省地方标准DB21/T 2702.1―2016 信息安全 个人信息安全管理体系评价 第1部分:要求 Information Security-Personal Information security management system evaluation-Part 1-Requirements

2016 -

09 -

27 发布

2016 -

11 -

27 实施 辽宁省质量技术监督局 发布DB21/T 2702.1―2016 I 目次前言 IV 引言 V

1 范围

1 2 规范性引用文件

1 3 术语、定义和缩略语

1 4 评价管理

1 5 评价指标

4 6 评价流程

5 7 评价准备

5 8 申请受理

5 9 现场审核

7 10 审批和公示

12 11 仲裁服务

13 12 人员管理

13 13 文档管理

14 14 过程管理

15 15 资格管理

15 附录 A(规范性附录) 评价流程.16 附录 B(规范性附录) 评价指标构成.17 DB21/T 2702.1―2016 II 前言DB21/T

2702 分为

11 部分: ――信息安全 个人信息安全管理体系评价 要求 ――信息安全 个人信息安全管理体系评价 评价管理指南 ――信息安全 个人信息安全管理体系评价 评价员管理 ――信息安全 个人信息安全管理体系评价 评价指标 ――信息安全 个人信息安全管理体系评价 评价方法 ――信息安全 个人信息安全管理体系评价 资格审查 ――信息安全 个人信息安全管理体系评价 现场管理 ――信息安全 个人信息安全管理体系评价 保证方法 ――信息安全 个人信息安全管理体系评价 仲裁指南 ――信息安全 个人信息安全管理体系评价 审批指南 ――信息安全 个人信息安全管理体系评价 资格管理 本部分是 DB21/T

2702 的第

1 部分. 本部分按照 GB/T1.1-2009《标准化工作导则 第1部分:标准的结构与编写》给出的规则起草. 本部分由大连市经济和信息化委员会提出. 本部分由辽宁省经济和信息化委员会归口. 本部分主要起草单位:大连软件行业协会、大连交通大学. 本部分主要起草人:郎庆斌、孙鹏、尹宏、丁宗安、孙毅、吕蕾蕾、杨莉、司丹、郭玉梅、杨万清、 王小更、宋悦. DB21/T 2702.1―2016 III 引言0.1 综述 个人信息管理是基于特定、明确、合法目的,以有效、能动、可控、安全为目的、针对个人信息及 相关资源、环境、管理体系等的相关活动或行为. DB21/T 1628系列标准,定义了保证个人信息安全的基本规则和行为准则,约束了个人信息拥有者 的管理个人信息的活动和行为.然而,个人信息管理的标准符合性、一致性和目的有效性,必须经第三 方认证机构确认. 个人信息安全管理体系评价标准体系, 规定了个人信息安全管理体系的认证规则, 及个人信息安全 管理体系评价机构的行为准则. 0.2 评价 评价是认证的一种形式.个人信息安全管理体系评价,是以个人信息安全为目的,采用合理、有效 的技术和管理方法,系统、客观、全面地监督、判断、评估个人信息安全管理体系的建立、实施、完善、 变化及其影响因素. 0.3 评价对象 个人信息管理是个人信息管理者向个人信息主体提供服务的过程,通过计划、组织、协调个人信息 资源需求与个人信息主体的符合性,采取相应的规范化、系列化控制策略和控制措施,保证个人信息的 安全. 相对于组织形态, 个人信息管理是发散的. 构建个人信息安全管理体系, 映射个人信息管理的特征、 属性,约束相关因素,可以相互关联、协调,实现个人信息相对安全的状态. 因而,评价的对象是个人信息安全管理体系. 0.4 评价体系 实施个人信息安全管理体系评价的评价体系,是基于个人信息安全目标,整合目标、原则、管理、 方法、过程、资源等要素,及实现要素的方法、过程,所形成的知识、方法和实践的有机整体.以保证 个人信息安全管理体系评价的科学性、规范性和有效性. 0.5 标准体系 个人信息安全管理体系评价 标准体系包括: 个人信息安全管理体系评价 要求:个人信息安全管理体系评价的基本规则;