(高清版)GB∕T 33770.2-2019 信息技术服务 外包 第2部分：数据保护要求VIP

ICS35.080GB/T33770.2—2019信息技术服务外包第2部分：数据保护要求国家市场监督管理总局中国国家标准化管理委员会GB/T33770.2—2019 Ⅲ V 1 13术语和定义 1 3 3 46.1知情权 46.2支配权 46.3控制权 46.4共享权 4 47数据管理者 5 5 57.3服务管理 57.4责任和义务 5 6 6 6 6 7 78.6数据管理体系 98.7资源管理 8.8控制 8.9协调 9管理机制 9.1管理制度 9.2宣传 9.3培训教育 9.4公示 9.5数据库管理 9.6数据管理文档 9.7人员管理 IⅡGB/T33770.2—20199.8保密 10.3类别 11.5二次开发 11.7后处理 12.3物理环境安全 12.4工作环境安全 12.6IT环境安全 12.9移动终端安全 12.10数据主体安全 13.3过程改进 附录A(规范性附录)数据管理相关资源 ⅢGB/T33770.2—2019GB/T33770《信息技术服务外包》分为6——第1部分：服务提供方通用要求；——第2部分：数据保护要求；——第3部分：交付中心要求；——第4部分：非结构化数据管理与服务要求；——第5部分：发包方项目管理要求；——第6部分：服务需方通用要求。本部分为GB/T33770的第2部分。本部分按照GB/T1.1—2009给出的规则起草。本部分由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。VGB/T33770.2—2019解释和标准的应用。业提供借鉴。“商业数据”亦是一个广义的概念，内涵宽泛。本部分中，特指敏感的商业秘密或其他需要保护的别构成的逻辑数据库。控性和不可抵赖性。VGB/T33770.2—2019施和运行。a)本部分规范的数据管理规则，既是IT服务管理的基础，亦可为IT服务的发展建立数据管理c)IT服务外包组织与各类组织的特征区别是组织的业务和管理，其所涉数据(含合同管理),亦为本部分范畴；执行。1GB/T33770.2—2019信息技术服务外包GB/T33770的本部分规定了信息技术外包服务中数本部分适用于选择和提供IT服务、评价和认定IT服务提供能力的组织等。其他组织可参照GB/T22080信息技术安全技术信息安全管理体系要求GB/T22081信息技术安全技术信息安全管理实用规则2GB/T33770.2—2019与数据主体利益相关，实用且已采取保密措施，并不为公众知悉的知识产权相关信息),及其他需要保护的商业相关数据。数据主体datasubject可通过数据识别的数据所有者。个人信息主体personalinformationsubject可通过个人信息识别的、拥有且享有该个人信息权益的特定个人。商业数据的合法所有者。3.103.113.12各种存在形态的商业数据构成的逻辑集合体，包括可通过自动处理检索特定商业数据的集合体，如磁媒体、电子媒体及网络媒体等；可采用非自动处理方式检索、查阅特定商业数据的集合体，如纸媒体、3.13数据管理datamanagement3.14数据管理者datacontroller3.15数据主体同意直接收集(或直接生成)数据直至数据彻底销毁的生命历程，是数据管理者向数据主体提供服务管理的过程。3.16数据管理体系datamanagementsystem过程，提高数据管理有效性的系统。3GB/T33770.2—20193.173.183.193.20自动或非自动处置数据的过程。3.213.22除自动处理外的其他数据处置行为或活动。3.23数据管理活动或行为与数据主体意愿一致。注2:下述情况视为数据主体同意：4缩略语IT:信息技术(InformationTechnology)PDCA:计划-实施-检查-改进(Plan-Do-Check-Act)5数据生命周期数据生命周期应包括3个环节：a)数据获取过程：3)商业数据主体同意，基于特定、明确、合法目的，直接或间接收集商业数据。4GB/T33770.2—20194)数据的后处理过程。的活动或行为。6数据主体权利c)确认数据管理者保存数据的相关信息；商业数据主体由2个或多个民事主体构成时，对其具有完全自主知识产权、直接生成的商业数据，应具有共享权：a)数据主体有权质疑与之相关的数据质量；5GB/T33770.2—20197数据管理者c)数据管理者不应因利益、条件等的变化降低数据管理质量的可靠障数据主体的权益。数据管理应是数据管理者向数据主体提供服务的过程。数据管理者应满足：a)具有各类资源的转换能力和相c)提供透明的服务管理过程，以保证第6章确立的数据主体的权力。数据管理者应保障数据主体的权利。6GB/T33770.2—2019理者本身的相关信息等通知数据主体。8数据管理a)数据主体的权利；b)数据管理者的责任义务；c)数据管理的目的和原则；7GB/T33770.2—2019d)数据管理的措施和方法；e)数据管理的改进和完善。e)计划评估；f)其他必要的管理策略。a)建立数据管理体系；b)明确数据管理职责和行为准则；d)评估数据管理体系效能；e)评估数据管理效果；f)其他相关管理。e)对数据管理体系实施、运行过程中可能出现的各种不利因素提供决策支持；g)对数据管理体系的持续改进提供决策支持；管理体系的实施和运行；8GB/T33770.2—2019a)代表最高管理者提出并制定数据管理计划；b)代表最高管理者负责数据管理机构的组建和日常工作；h)监督数据安全管理机制的构建和实施；k)协调内审机构的工作；其职责应包括：及的数据管理机构宜包括：3)制定数据管理体系宣传策略和方法；b)安全管理：宜指定信息安全责任主体负责，在数据管理者代表指导下开展数据安全管理工作。其职责应包括：1)数据安全风险管理；3)实施数据安全管理措施；9GB/T33770.2—20196)其他应处理的问题等。最高管理者应组建数据管理体系内审机构，选聘适宜的内审代表(或在数据管理者内部委任，或聘请社会人士),负责数据管理体系内审。其职责应包括：数据管理者代表应建立基于服务管理的数据管理体系，满足数据管理的需要。数据管理体系主要应包括以下要素：a)数据管理目标和基本原则；b)数据管理方针；c)数据管理机构及职责；d)数据管理机制；e)数据获取过程；f)数据处理过程；g)数据安全管理；h)过程管理等。g)建立数据管理机制：理体系运行规范和所有员工应遵循的制度；GB/T33770.2—20195)其他数据相关管理事务等。全和数据主体的权益。i)数据安全管理。j)基于数据生命周期的过程管理：措施等。c)涉及资源的数据的价值；d)资源的安全等级等。c)移动设备使用规定；e)综合数据库管理；f)文档管理；与数据管理者所有相关人员应对所使用的资源负责。GB/T33770.2—20199管理机制基本规章是数据管理者及其工作人员应遵循的行为准则，应在实施过程中不断改进和完善。基本a)数据管理相关机构职能及职责；c)数据安全风险和安全管理措施；d)综合数据库管理；e)数据管理相关文档管理；g)数据管理体系内审；h)过程改进；j)应急管理；k)违反相关规章的处理；1)其他必要的管理制度。数据管理机构应在其内部向全体工作人员及其他相关人员说明数据管理的重要性和相关管理策保密承诺。数据管理者应在相关媒体[宣传资料、网络媒体(如网站等)及其他相关的面向社会的电子类、纸质等材料]中增加数据管理的相关内容。GB/T33770.2—2019a)在职人员；b)临时员工；c)其他相关人员。a)数据管理的基本知识；b)数据管理的重要性和必要性；d)数据主体的权利和维护；g)违反数据管理相关标准可能引起的损害和后果；h)其他必要的教育。a)数据管理者的相关信息；c)数据主体的权利；d)公示和非公示的结果等。综合数据库是数据管理者在数据管理过程中的所有记录及相关媒介。主要应包括：GB/T33770.2—2019综合数据库管理应满足条件：b)数据管理者业务相关的个人信息、商业数据，应在业务管理过程中分别建立统一的数据库c)移动的数据也宜形成规范的综合数据库事务。GB/T33770.2—20199.7人员管理应加强所有数据管理者相关工作人员的宣传和教育，明确岗位职责，提高保护数据主体权益的意数据管理者应与全体工作人员和其他相关人员签署保密协议，明确个人信息、商业数据的保密原a)应将收集目的、范围、方法和手段、处理方式等清晰无误地告知数据主体，并征得数据主体GB/T33770.2—2019a)数据管理者的相关信息；c)接受并管理该数据的第三方的相关信息；d)数据主体拒绝提供相关数据可能会产生的后果；f)数据安全和保密承诺；g)后处理方式。益不受侵害。应保证数据主体知悉的信息见10.3.1。在数据主体不知情或不能控制的情况下收集、处理、使用、利用数据，应保证数据主体权益不受b)应遵循10.2的限制；纸媒体等获取公开的数据，亦应遵循7.4、8.2确定的责任、义务和原则，同时应遵循10.2的d)依据10.2,应采取适宜的方式公告、公示。通过公告、公示保证数据主体知悉的信息，见依据9.5建立相应的数据库管理机制。a)根据第7章、第8章的相关规则，管控数据处理过程，以保证数据质量和数主体同意。通知信息见10.3.1。限定在数据主体同意的范围内，避免随意泄漏、传播和扩散，以保证数据安全。通知信息见GB/T33770.2—2019第三方接受数据管理者提供的数据，应遵循7.4关于质量保证的原则。托方相关信息提供给数据主体。提供的信息见10.3.1。证不会发生数据泄露或滥用。在委托合同中应包括：a)委托方和受托方的权利和责任；b)委托目的和范围；c)保护数据的安全措施和安全承诺；d)再委托时的相关信息；e)数据管理体系的相关说明；f)与数据相关事故的责任认定和报告；g)合同到期后数据的处理方式。a)数据管理者的相关信息；GB/T33770.2—2019c)安全措施和安全承诺；d)事故责任认定和处理方式；e)开发完成后的处理方式。数据交易应保证：a)应限定在法律许可的范围内；通知数据主体的内容应包括：a)数据管理者相关信息；e)安全措施和安全承诺；f)事故责任认定和处理方式；g)交易完成后的处理方式。安全管理应遵循GB/T22080、GB/T22081的规则：GB/T33770.2—2019b)办公桌面；c)计算机屏幕；d)计算机接口；f)其他相关管理。12.6IT环境安全a)综合数据库管理和使用制度；b)综合数据库管理者的职责；c)维护和记录；GB/T33770.2—2019d)事故处理等。商业数据应建立商业数据库安全等级管理制度。以保护数据主体权益。这些情况可包括：应采取PDCA模式(或其他以PDCA为基础的相关模式),持续改进、完善数据管理过程、数据管理a)计划(构建数据管理体系):根据数据管理者的整体目标，确立数据息管理目标和方针，实施数b)实施(实施和运行数据管理体系):实施和运行数据管理体系；GB/T33770.2—2019b)内审应由与审核对象无直接关系人实施；c)内审应提出过程改进和完善建议。a)内审目标和原则；b)内审策略和控制措施；g)其他必要的措施。b)制定预防和改进措施；d)跟踪改进结果。GB/T33770.2—2019b)事件的处理流程；c)事件的应急机制；d)事件的处理方案；e)事件记录和报告制度；f)事件的责任认定。别的保护措施，按照第6章的要求。敏感的个人信息包括：d)犯罪史及相关可能造成社会歧视的事项等；e)法律特别规定的。a)商业数据主体认定的不可收集的商业数据；b)竞业禁止协议适用的商业数据；c)法律特别规定的数据(应按照第7章的要求，采取特别的保护措施)。a)法律特别规定的；有效性。GB/T33770.2—2019(规范性附录)其他相关设备等；GB/T33770.2—2019[1]GB/T20984—2007信息安全技术信息安全风险评估规范[2]GB/Z24364—