SJ_T 11445.2-2012信息技术服务 外包 第2部分：数据（信息）保护规范.pdf

ICS 35.080L77SJ备案号：中华人民共和国电子行业标准SJ/T11445.2——2012信息技术服务外包第2部分：数据（信息）保护规范IT Service—Outsourcing—Part 2: Specifications for Data Protection2013-01-01实施2012-12-28发布发布中华人民共和国工业和信息化部 SJ/T11445.2—2012目次IV前言引V1 范围2术语、定义和缩略语2.1术语和定义2.2缩略语3数据管理原则3.1目的明确3.2主体权利3.3数据质量3. 4使用限制3. 5安全保障3.6责任、数据主体权利4.知情权4. 14. 2支配权4. 3质疑权数据管理者的责任和义务5管理责任5.15. 2权利保障目的明确5.35.4告知、5.5质量保证15.6安全和保密数据管理66.1日的6.2计划6.3组织6.4控制P数据管理体系8数据管理方针C9数据管理相关机构及职责69. 1最高管理者1 SJ/T11445.2-—201269.2管理机构9.3内审机构。10管理机制10.1管理制度...710.2宣传.. . 8810.3培训教育.910.4公示。....910.5内容数据库管理，: 910.6数据管理文档.10.7..9人员管理。INDUSTRYANDSDINORMATIO管理过程.1011收集.... 1011.1处理，11.2.10提供.1111.3. 1111.4委托一其他...1111.5..FEC使用1211.6OCHNOi11.7后处121212安全管理..1212.1风险.. 12物理12.21312.3工作我. 1312.4网络行12.5IT环境:13..6存储安全: 1312.7内容数据库ANDARDS. 14数据管理体系内审131413.1管理。..1413.2计划.1413.3实施. 1414过程改进1414.1服务台管理。.1414.2跟踪和监控..1414.3持续改进..1414.4过程模式.1515应急管理1516例外.1516.1收集例外1516.2法律例外.II SJ/T11445.2—201217管理评价15..16参考文献.III SJ/T11445.2—2012言前 本标准根据GB/T1.1--2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由工业和信息化部软件服务业司提出。本标准由中国电子技术标准化研究院归口，东软集团股份有限公司－北京万国长安容灾备份服务有限公本标准起草单位：大连软件行业协会、州越维信息科技有限公司、北京部迪时代信息产业股份有限公司司、中金数据系统有限公司、S赵熙程磊杨帆王开红郭玉本标准主要起草人：梅曹剑周平崔静。TECHNOLOG8888888888Q2013ANDARDSSTAIV SJ/T11445.2—2012引言本标准内涵和外延均较宽泛，存在易于混淆、多义性的概念、理解，现予以说明，以便于标准条文的解释和标准的应用。0.1基准本标准考虑个人信息与商业数据具有类同的特质，在收集、处理、使用中，其安全要求、安全机制、安全策略等是同等的，可以采用同一的管理方式，适于IT服务外包组织共同遵守和应用，也可为其他行业提供借鉴。0.2数据“数据是一个广义的概念，本标准中，代指涉及个人信息、商业数据（仅指敏感的商业秘密或其他需要保护的数据）的相关信息。由于知识产权涉及面广、构成复杂，且已有相关法规，但是，与知识产权相关信息的保护存在法律空白。同时，这部分信息与商业数据的特质类同。因而，本标准将知识产权相关信息归入商业数据。0.3内容数据库内容是相对宽泛的概念。本标准仅限定内容数据库是由结构化、非结构化个人信息、商业数据（包括自动处理和非自动处理）所构成的逻辑数据库。0.4·数据管理数据保护是针对数据及相关资源、环境、管理体系等的管理活动或行为之一，因而，本标准采用“数据管理”涵盖“数据保护”。本标准数据管理涉及个人信息管理、商业数据管理。数据管理包含数据收集、处理、使用的整个生命周期。0.5数据安全性本标准涉及的数据安全性，是指个人信息、商业数据的保密性、完整性、准确性、可用性、真实性、可控性和不可抵赖性。0.6数据管理体系本标准为个人信息管理、商业数据管理提供了基本的规则和要求，以构建数据管理体系，最大程度降低数据因偶然的或者恶意的原因，遭到破坏、篡改、泄露、窃取和不当使用等的可能性。0.7业务连续性本标准在提供安全指导的同时，应基于数据的合理流通，保证业务的连续性。0.8标准兼容性本标准与其他国际、国内信息安全标准及其他相关标准协调一致，并与这些标准相互配合或相互整合实施和运行。0.9标准实施本标准的适用范围并不仅限于IT服务外包组织