《信息安全技术 个人信息安全 第8部分：过程管理指南》.pdfVIP

信息安全技术个人信息安全第8部分：过程管理指南

1范围

本文件为个人信息安全管理体系构建、实施、运行的过程管理提供指导和通用规则。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T19001/ISO9001质量管理体系要求

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T22081信息技术安全技术信息安全管理实用规则

DB21/TXXXX信息安全技术个人信息安全术语

DB21/T1628.1信息安全技术个人信息安全第1部分：要求

DB21/T1628.2信息安全技术个人信息安全第2部分：实施指南

DB21/T1628.4信息安全技术个人信息安全第4部分：文档管理指南

DB21/T1628.5信息安全技术个人信息安全第5部分：风险管理指南

DB21/T1628.6信息安全技术个人信息安全第6部分：安全技术实施指南

DB21/T1628.7信息安全技术个人信息安全第7部分：内审实施指南

3术语和定义

GB/T19001/ISO9001、DB21/TXXXX界定的术语和定义适用于本文件。

4要求

本文件遵循DB21/T1628.1确立的个人信息管理原则和要求，亦遵循DB21/T1628.2确立的实施细则，

重点描述和指导PISMS过程管理的约束规则。

PISMS过程管理，应同时使用DB21/T1628.1、DB21/T1628.2和本指南，并参照DB21/T1628系列其

它标准。

5过程管理

方法

应遵循DB21/T1628.211.4.3描述的PISMS过程管理方法，采用PDCA模式管理、控制PISMS过程、

活动和行为。

计划（P）

5.2.1要求

1

遵循DB21/T1628.211.4.3.3，应在这一阶段根据个人信息管理者的整体目标，确立个人信息管理目

标和方针，实施个人信息管理计划，构建PISMS。

5.2.2最高管理者

遵循DB21/T1628.28.2：

a)最高管理者的认知，应是PISMS持续、稳定运行的关键；

b)最高管理者的认知，应是PISMS实施并持续过程改进的决策者；

c)最高管理者应提供资金、管理、资源等各个方面的切实支持；

d)最高管理者应在适合的情况下理解、参与PISMS实施、运行，创造全员参与的环境；

e)最高管理者应选择有能力、务实的个人信息管理代表，并赋予相应权限等。

5.2.3目标和方针

应确立个人信息管理目标和管理方针：

a)明确构建PISMS的方向和应实现的目标；

b)宜将目标分解为PISMS相关的组织、计划和各项活动，实施目标管理；

c)应明确个人信息管理方针（隐私政策）和策略，确定简便易行的行动计划；

d)应保证个人信息管理目标的实用性、可用性；

e)应保证个人信息管理方针（隐私政策）的易用性、可操作性和有效性等。

5.2.4机制设计

PISMS内各个相互关联的功能机制设计，应保证：

a)约束个人信息管理者涉及个人信息的日常管理、业务活动及员工与个人信息安全相关的行为；

b)激励个人信息管理者涉及个人信息的日常管理、业务活动和员工保证个人信息安全的行为；

c)机制设计应合理、适宜，符合个人信息管理者的实际；

d)机制设计应保证约束、激励的有效性等。

5.2.5质量保证

PISMS设计应包括相应的质量管理活动：

a)质量目标：设定质量管理目标，保证PISMS的可靠性、有效性；

b)质量控制：通过监控、跟踪等手段，监督PISMS构建、实施和运行，及时消除质量隐患；

c)质量保证：提供保证PISMS符合个人信息安全相关法规、标准和安全承诺的保证措施；

d)质量改进：为提高个人信息管理相关过程、活动的个人信息安全可信度