SJ∕T 11445.2-2012 信息技术服务 外包 第2部分：数据（信息）保护规范[电子].pdf

1、ICS35.080L77:中 华 人 民 共 和 国 电 子 行 业 标 准SJ/T11445.22012信息技术服务外包第2部分：数据（信息）保护规范ITServiceOutsourcingPart2:SpecificationsforDataProtection2012-12-28发布2013-01-01实施中 华 人 民 共 和 国 工 业 和 信 息 化 部发 布SJ/T11445.22012次gIV丽目引 言V1范 围2术 语、定 义 和 缩 略 语.2 . 1术 语 和 定 义2 . 2缩 略 语3数 据 管 理 原 则3 . 1目 的 明 确3 . 2主 体 权 利3 . 3数

2、据 质 量3 . 4使 用 限 制3 . 5安 全 保 障3 . 6责 任4数 据 主 体 权 利4 . 1知 情 权4 . 2支 配 权4 . 3质 疑 权5数据管理者的责任和义务5 . 1管 理 责 任5 . 2权 利 保 障5 . 3目 的 明 确5 . 4告 知5.5质 量 保 证5 . 6安 全 和 保 密6数 据 管 理6 . 1目 的6 . 2计 划6 . 3组 织6 . 4控 制7数 据 管 理 体 系8数 据 管 理 方 针9数据管理相关机构及职责9 . 1最 高 管 理 者3333344444444444455555555666MmSJ/T11445.220129 . 2管

3、 理 机 构9 . 3内 审 机 构10管理机制10.1管理制度10.2宣 传10.3培 训 教 育10.4公 示10.5内容数据库管理10.6数据管理文档.10.7人员管理.11管理过程11.1收 集11.2处 理11.3提 供.11.4委 托11.5其 他./合伺到期后数据的处理方式苌）m1 1 . 5其 他1 1 . 5.1二 次 开 发11:SJ/T11445.22012分析、整合、整理、挖掘、加工等数据的二次开发，应履行第5章的要求，征得数据主体同意，并限定在数据主体同意的范園内，避免随意泄露、传播和扩散。通知的内容应包括：a)数据管理者的相关信息;b)二次幵发的目的、方式、方法和范

4、围;c)安全措施和安全承诺;d)事故责任认定和处理方式;e);开发完成后的处理方式。1 1 . 5.2交 易卜限制在数据主体同意的范围内处理使用,数据相关交易应履行第5章的要求,mm避免随意泄露、传播和扩散。通戈a)数据管理者相关信,b)数据来源的合法c)数据交易的必藏|d)数 据 交 易 的e)安 全 措 施f)事 故 责 子g)交 易 完1 1 . 6使 用同意的范围内，任何使用避免随意泄露1 1 . 7后 处 理，避免发生丢失、数据处理、损毁、泄漏等安20131 1 . 7.1质 量返 还，f完整性和时效性。数据处理、使用后,1 1 . 7.2销 毁底销毁与数据相关的文档、介质等及其记数

5、据处理、使用后，如不需继续保存?录的数据。1 2安 全 管 理1 2.1风 险 管 理应在数据管理过程或行为中，识别、分析、评估潜在的风险因素，制定风险应对策略，釆取风险管理措施，监控风险变化，并将残余风险控制在可接受范围内。1 2 . 2物 理 环 境 安 全应根据需要采取必要的措施，保证数据存储、保存环境的安全，包括防火、防盗及其他自然灾害、露、损毁、丢失。工作环境应括:a)出入管理;b)丁作桌面;c)计算机桌面;d)计算机接口；e)计算机管理（文件、文件夹等);f)其他相关管理。12.4网络行为管理应制定网络管理措施，釆用相应的技术手段，引导、约束通过网络利用、传播相关数据的行为，构建规

6、范、科学、合理、文明的网络秩序。12.5IT环境安全应在整体信息安全休系建设中，充分考虑数据及相关因素的特点，加强数据安全防护，预妨安全隐患和安全威胁。如网络基础平台、系统平台、应用系统、安全系统、数据管理等的安全，及信息交换中的安全防范、病毒预防和恢复、非传统信息安全等。12.6存储安全数据管理者应保证个人计算机系统、可移动存储媒介（电子、磁、纸等介质及其他介质）的安全，以确保数据存储的准确性、完整性、可靠性和安全使用。12.7内容数据库安全数据管理者应保证内容数据库存储、保存的数据的准确性、完整性、保密性和可用性，并适时更新，以保证数据的最新状态。12.7.1管理安全数据管理者应履行第5章

7、的要求，建立内容数据库管理机制。管理安全应包括:a)内容数据库管理和使用制度；b)内容数据库管理者的职责；c)维护和记录；d)事故处理。12.7.2使用安全应根据数据自动和非自动处理的特点，制定相应的内容数据库管理策略，包括访问/调用控制、权限设置、密钥管理等，防止数据的不当使用、毁损、泄露、删除等。商业数据应建立商业数据库安全等级管理制度。12.7.3备份和恢复应制定内容数据库备份和恢复机制，并保证备份、恢复的完整性、可靠性和准确性。应釆取PDCA模式（或其他以PDCA为基础的相关模式），持续改进、完善数据管理过程、数据管1SJ/T11445.2201215应急管理应制定应急预案，评估、分析

8、获取、存储、处理和使用数据过程中可能出现的数据泄漏、丢失、损坏、篡改、不当使用等事件，釆取相应的预防措施和处理。预案应包括：a)事件的评估、分析;b)事件的处理流程；c)事件的应急机制；d)事件的处理方案；e)事件记录和报告制度；f)事件的责任认定。1 6例 外16.1收集例外16.1.1个人信息收集例外不应收集、处理、使用敏感的个人信息。经个人信息主体同意，或法律特别规定的例外，但应釆取特别的保护措施，履行第5章的要求。i敏感的个人信息包括：a)有关宗教、信仰、纟种族、;:血缘的事项；b)有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项；c)有关健康、医疗及性生活的相关事项等；d)

9、法律特别规定的。16.1.2商业数据收集例外不应收集下述商业数据。法律特别规定的例外，但应采取特别的保护措施，履行第5章的要求。这些商业数傭工nima)商业数据主体认定的不可收集的商业数据；b)竞业禁止协议适用的商业数据；c)法律特別规定的。16.2法律例外基于以下目的的例外，可以不必事先征得数据主体同意，但应依据相关法规，或经由专门机构确定:a)法律特别规定的；b)维护国家安全、公共安全、国家利益、制止刑事犯罪；c)保护数据主体或公众的权利、生命、健康、财产等重大利益等。17管理评价应对数据管理过程和数据管理体系实施过程进行认证，确定与相应法规、标准的符合性、一致性和目的有效性。SJ/T11

10、445.22012参考文献1Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheprotectionofindividualswithregardtotheprocessingofpersonaldataandonthefreemovementofsuchdata2OECDGuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData3ISO/IEC27001:2005Informationtechnology-Securit

11、ytechniques-Informationsecuritymanagementsystems-Requirements4ISO/IEC27002:2005Informationtec：securitymanagement5DataProtectionAct6個人情報O保f7JISQ1500168BS100129)E9GB/T22够10GB/T：11GB/*K12GB/fz13&14商15个16DBll1718孙毅_itytechniques-Codeofpracticeforinformation、七号）保護7hv7sfprotection-Specificationforapersonal:赛以言息安全管理_息安全管理则全技术綠全风险评估规8?-2007if2009_信息&信息安全风险管理法（专家建议稿）28-2008衰息安201316