GB/T 33770.2-2019信息技术服务外包第2部分：数据保护要求

ICS35080

L77.

中华人民共和国国家标准

GB/T337702—2019

.

信息技术服务外包

第2部分数据保护要求

:

Informationtechnologyservice—Outsourcing—

Part2Datarotectionreuirements

:pq

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T337702—2019

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

数据生命周期

5……………3

数据主体权利

6……………4

知情权

6.1………………4

支配权

6.2………………4

控制权

6.3………………4

共享权

6.4………………4

质疑权

6.5………………4

数据管理者

7………………5

规则

7.1…………………5

角色

7.2…………………5

服务管理

7.3……………5

责任和义务

7.4…………………………5

数据管理

8…………………6

要求

8.1…………………6

原则

8.2…………………6

方针

8.3…………………6

计划

8.4…………………7

组织

8.5…………………7

数据管理体系

8.6………………………9

资源管理

8.7……………10

控制

8.8…………………10

协调

8.9…………………10

管理机制

9…………………11

管理制度

9.1……………11

宣传

9.2…………………11

培训教育

9.3……………12

公示

9.4…………………12

数据库管理

9.5…………………………12

数据管理文档

9.6………………………14

人员管理

9.7……………14

Ⅰ

GB/T337702—2019

.

保密

9.8…………………14

数据获取

10………………14

目的

10.1………………14

限制

10.2………………14

类别

10.3………………14

保存

10.4………………15

数据处理

11………………15

过程

11.1………………15

使用

11.2………………15

提供

11.3………………16

委托

11.4………………16

二次开发

11.5…………………………16

交易

11.6………………17

后处理

11.7……………17

安全管理

12………………17

要求

12.1………………17

风险管理

12.2…………………………18

物理环境安全

12.3……………………18

工作环境安全

12.4……………………18

网络行为管理

12.5……………………18

环境安全

12.6IT………………………18

存储安全

12.7…………………………18

数据库安全

12.8………………………18

移动终端安全

12.9……………………19

数据主体安全

12.10……………………19

过程管理

13………………19

过程模式

13.1…………………………19

内审

13.2………………20

过程改进

13.3…………………………20

应急管理

14………………20

例外

15……………………21

收集例外

15.1…………………………21

法律例外

15.2…………………………21

管理评价

16………………21

附录规范性附录数据管理相关资源

A()………………22

参考文献

……………………23

Ⅱ

GB/T337702—2019

.

前言

信息技术服务外包分为个部分

GB/T33770《》6:

第部分服务提供方通用要求

———1:;

第部分数据保护要求

———2:;

第部分交付中心要求

———3:;

第部分非结构化数据管理与服务要求

———4:;

第部分发包方项目管理要求

———5:;

第部分服务需方通用要求

———6:。

本部分为的第部分

GB/T337702。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分由全国信息技术标准化技术委员会提出并归口

(SAC/TC28)。

本部分起草单位大连软件行业协会大连华信计算机技术股份有限公司东软集团股份有限公司

:、、、

成都市大数据中心北京护航科技股份有限公司广州赛宝认证中心服务有限公司中国电子技术标准

、、、

化研究院金税信息技术服务股份有限公司上海北宙企业管理咨询有限公司上海有孚网络股份有限

、、、

公司北京信城通数码科技有限公司广州番禺职业技术学院上海三零卫士信息安全有限公司神州数

、、、、

码系统集成服务有限公司上海宝信软件股份有限公司昆明东电科技有限公司东软睿道教育信息技

、、、

术有限公司江苏润和软件股份有限公司文思海辉技术有限公司

、、。

本部分主要起草人郎庆斌尹宏刘宏高昕陈锡民赵振文但强于浩梁晓雁丁宗安熊健淞

:、、、、、、、、、、、

职亮亮刘颋张树玲刘亭杉杜远唐百惠王伟邬敏华李阳郑义王斌斌万啟东徐瑶谢尚飞

、、、、、、、、、、、、、、

韩沫邵峰董雷宋悦王鑫

、、、、。

Ⅲ

GB/T337702—2019

.

引言

本部分内涵和外延均较宽泛存在易于混淆多义性的概念理解需予以说明以便于标准条文的

,、、,,

解释和标准的应用

。

01基准

.

本部分考虑个人信息与商业数据具有类同的特质在收集处理使用中其安全要求安全机制安

,、、,、、

全策略等是同等的可以采用同一的管理方式适于服务外包组织共同遵守和应用也可为其他行

,,IT,

业提供借鉴

。

02数据

.

数据是一个广义的概念本部分中代指涉及个人信息商业数据的相关信息

“”,,、。

知识产权涉及面广构成复杂且已有相关法规然而与知识产权相关信息的保护存在法律空白

、,,,。

由于这部分信息与商业数据的特质类同因此本部分将知识产权相关信息归入商业数据

。,。

03商业数据

.

商业数据亦是一个广义的概念内涵宽泛本部分中特指敏感的商业秘密或其他需要保护的

“”,。,

数据

。

04综合数据库

.

本部分限定综合数据库是由结构化非结构化个人信息商业数据包括自动处理和非自动处理分

、、()

别构成的逻辑数据库

。

05数据管理

.

数据保护是针对数据及相关资源环境管理体系等的管理活动或行为之一因而本部分采用数

、、,,“

据管理涵盖数据保护本部分数据管理涉及个人信息管理商业数据管理

”“”。、。

数据管理包含数据收集处理使用的整个生命周期

、、。

06数据安全性

.

本部分涉及的数据安全性是指个人信息商业数据的保密性完整性准确性可用性真实性可

,、、、、、、

控性和不可抵赖性

。

07数据管理体系

.

指具有特定功能由相互关联的若干要素构成的有机整体通过整合协调资源聚焦管理要素实

、,、,,

Ⅴ

GB/T337702—2019

.

现预定目标要素与要素要素与体系体系与环境等之间相互作用又相互影响

。、、。

本部分为个人信息管理商业数据管理提供了基本的规则和要求以构建数据管理体系充分保障

、,,

数据主体的权利保障相关业务的稳定有效运行

,、。

08标准架构和体例

.

本部分以管理为主线以数据生命周期为导向构建数据管理标准架构并不同于质量管理体系的

,,,

标准体例以便于集聚整合管理要素完善改进可控数据管理体系以策数据安全

,、,、、,。

09标准兼容性

.

本部分与国际国内信息安全标准及其他相关标准协调一致并与这些标准相互配合或相互整合实

、,

施和运行

。

010业务连续性

.

本部分在提供安全指导的同时需基于数据的合理流通保证业务的连续性

,,。

011标准适用性

.

服务外包组织与各类组织的数据安全属性特征基本一致其安全机制安全策略是类同的因

IT、,、,

而本部分具有普适性

,:

本部分规范的数据管理规则既是服务管理的基础亦可为服务的发展建立数据管理

a),IT,IT

基准

;

本部分规范的数据管理规则具有共性的特征可以依据组织的特征解释剪裁

b),,、;

服务外包组织与各类组织的特征区别是组织的业务和管理其所涉数据含合同管理亦

c)IT,(),

为本部分范畴

;

本部分不仅适用于服务外包组织其他机关企业事业社会团体等各类组织可以参照

d)IT,、、、,

执行

。

Ⅵ

GB/T337702—2019

.

信息技术服务外包

第2部分数据保护要求

:

1范围

的本部分规定了信息技术外包服务中数据保护所涉及的数据生命周期数据主体权

GB/T33770