信息安全技术 个人信息安全第1部分：要求

1信息安全技术个人信息安全第1部分:要求DB21/TXXXX信息安全技术个人信息安全术语4缩略语PISMS：个人信息安全管理体系（PersonalInformationSecurityManagementSy依据DB21/TXXXX，个人应是自然人群体中的单个个体，具有多义性、多指性。个b)有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项；d)有关健康、医疗及性生活的相关事项；2e)其它涉及个人信息主体私密的隐私信息5.3个人信息敏感性a)个人身份信息：身份证、护照、驾驶证信息等；c)个人财产信息：银行账号、身份鉴别信息、征信信息、社保卡、交易信息、虚拟交易等；d)个人通讯信息：手机号、邮箱信息依据DB21/TXXXX，个人信息主体应是自然人群体中特定的个体，是个人具别的特定的自然人，具有主体唯一性，且个人信息主体权益也5.6个人信息管理5.7个人信息资源息主体应有的权力。这些权利包括知情权、6.2知情权a)个人信息主体应有权知悉个人信息数据库中与自己相关的信息；3c)个人信息主体应有权查询个人信息收集、处理、使用、利用及管理情况；d)个人信息主体应有权知悉个人信息生命周期内个人信息管理6.3支配权）；6.4质疑权b)个人信息主体应有权质疑或反对个人信息收集、处理、使c)个人信息主体应有权质疑或反对与之相关的个人信息管理目的、过程等；e)在个人信息生命周期内，个人信息主体应有7.2约束规则b)个人信息管理者应为个人信息主体提供个人信息生命周期内的服务管理；c)个人信息管理者应明确管理职责，承担相应的责任和义务；7.3角色制等，但均应遵循本章确立的规则，保障个人信息主体7,4服务管理个人信息管理应是个人信息管理者为个人信息主体提供服务的过程。个人信息管理者应满足：4a)个人信息管理者应具有各类资源的转换能力和相应的管理职能，以保证个人信息管理的有效b)个人信息管理者应建立有效的内部管理机制并形成管理体系，以保证个人信息管理质量的可7.5责任和义务个人信息管理者应将收集个人信息的目的和方式、不提供个人信息的后果、第5章确立的个人信息个人信息管理者应对所管理的个人信息予以保密，并对个人信息管理过程中的安全负责。过程的符合个人信息相关法规、标准的管理，组织个人信息管8.2相关机构及职责b)PISMS建立、实施、运行；c)明确个人信息管理相关责任主体和人员职责、责任；5在个人信息管理者内部选聘，或聘请社会人士担任。其职责应包10.1目的10.2原则收集个人信息应有明确的目的，不应超目的范在管理活动或行为中应保证个人信息的准确性、完整性和最新状610.3方针a)个人信息主体的权利；10.4计划a)个人信息收集目的、策略；b)个人信息管理措施、策略；c)个人信息管理和各类相关资源的组织、协调、转换和沟通；10.5管理机制每个工作人员完全理解并遵照执行。基本规章应包括个人信息安全管理体系构成要素和个人信息生命周期各个环节的管理规则，并应在实施过程中不断改进和7个人信息管理者应在其内部向全体工作人员及其它相关人员说明个人信息管理的重要性和相关管理策略，以得到工作人员及其它相关人员对个人信息管理工作的配类、纸质等材料）中增加个人信息管理的相b)个人信息管理的重要性和必要性；8f)违反个人信息安全相关标准可能引起的损害和后果；b)公示的目的、方式、范围和内容；个人信息管理代表应根据管理计划适时评估PISMS的效能和个人信息管理效果，检查、修正个人信在个人信息管理活动或行为中，应注意个人信息主体与个人信息管理者、个人信息管理者各部门（从属机构）与PISMS、PISMS内、PISMS与相关资源2)包括提供、委托、交换等不同的利用过c)基于生命周期的过程管理：在个人信息生命周期内，采用PD912.2限制12.3类别b)个人信息收集、处理、使用的目的、方法；12.4保存个人信息，并应建立相应的规范、统一的个人信息数据库管理意识，采取必要的安全措施，防止不正当收集个人信息，避13.2使用a)应以各种方式征得个人信息主体同意；或为履行与个人信息主体达成的合法协议的需要；13.3提供采取适当、合法、有效的方法和手段获得的，并不与收集目的相个人信息管理者合法拥有的个人信息，在向第三方提供（包括跨境提供）时，应履行第7章规定的个人信息管理者的责任和义务，保障个人信息主体的合法第三方（包括境外）接受个人信息管理者提供的个人信息13.4委托a)个人信息管理者委托第三方收集个人信息；c)第三方（包括境外）委托个人信息处理业务或接受个人信息处理委托业务等。涉及个人信息委托业务时，应选择已建立PISMS（涉及境外时，境外相关机构应已建立严格的个人d)保护个人信息的安全措施和安全承g)个人信息相关事故的责任认定和报告；13.5开发b)个人信息深度开发等。a)遵守国家相关法规、标准；c)本文件规定的个人信息管理者的责任d)征得个人信息主体同意，并保障个人信息主体权益；e)限定在个人信息主体同意的范围内，避免随意泄漏、传播和扩散等。b)个人信息开发的目的、方式、方法和范围；13.6交易b)基于某种利益关系的个人信息销售等。b)应通知个人信息主体并征得个人信息主体同意；c)应限定在个人信息主体同意的范围内，避免随意泄漏、传播和扩散；d)交易双方均应履行本文件规定的个人信息管理原则；e)交易双方均应履行本文件规定的个人信息管理者的责任、义务；个人信息管理者交易个人信息，应以各种形式通知个人信息主体。通知内容应包括：a)个人信息管理者相关信息；b)个人信息来源的合法性、有效性；d)个人信息交易的目的、方式、方法和范13.7后处理a)根据个人信息主体意见、合同约定方式等采取的安全处理措施；c)根据个人信息主体意见、合同约定方式、个人信息管理者需求等假名化处理；d)根据个人信息主体意见、合同约定方式、个人a)如需继续保存、使用、返还，应保证个人信息的准确性、完整性和最新状态；c)如需个人信息匿名化，应考虑个人信息碎片化后的细粒度，及可复原程度等。过程管理是个人信息生命周期内体系化管理的重要一环。应采用PDCA过程模式监督、跟踪、管控PISMS，保证个人信息管理质量，保障个人信息安全和个人信息主体权益。a)审核个人信息管理相关活动和行为、PISMS、PISMS实施和运行过程；14.3过程改进服务咨询责任主体应接受个人信息主体、各类组织和人员提出的个人信息管理活动、PISMS的相关过程模式，定期评估、分析PISMS运行状况，并持续改b)制定预防和改进措施；14,4应急管理b)事故的处理流程；15.1风险管理15.2物理环境管理15.3工作环境管理）；15.4网络行为管理15.6个人信息数据库安全个人信息管理者应履行本文件规定的个人信息管理者的责任和义务，建立个人信息数据库管理机a)个人信息数据库管理和使用制度；应根据个人信息自动和非自动处理的特点，制定相应的个人信息数据库管理策略，包括访问/调用15.7移动设备安全15.8个人安全用个人信息，以保护个人信息主体权益。这些情a)各种网络环境下与个人信息相关的各种行为、活动；b)各种工作环境下与个人信息相关的各种行为、活动；c)各种生活环境下与个人信息相关的各种行为、活动；16.1收集例外a)应合理、合法、适度、目的明确，并经个人信息主体确认同意；16.2