信息安全技術(shù) 個(gè)人信息安全第1部分：要求

1信息安全技術(shù)個(gè)人信息安全第1部分:要求DB21/TXXXX信息安全技術(shù)個(gè)人信息安全術(shù)語4縮略語PISMS：個(gè)人信息安全管理體系（PersonalInformationSecurityManagementSy依據(jù)DB21/TXXXX，個(gè)人應(yīng)是自然人群體中的單個(gè)個(gè)體，具有多義性、多指性。個(gè)b)有關(guān)身體障礙、精神障礙、犯罪史及相關(guān)可能造成社會(huì)歧視的事項(xiàng)；d)有關(guān)健康、醫(yī)療及性生活的相關(guān)事項(xiàng)；2e)其它涉及個(gè)人信息主體私密的隱私信息5.3個(gè)人信息敏感性a)個(gè)人身份信息：身份證、護(hù)照、駕駛證信息等；c)個(gè)人財(cái)產(chǎn)信息：銀行賬號(hào)、身份鑒別信息、征信信息、社?？ā⒔灰仔畔?、虛擬交易等；d)個(gè)人通訊信息：手機(jī)號(hào)、郵箱信息依據(jù)DB21/TXXXX，個(gè)人信息主體應(yīng)是自然人群體中特定的個(gè)體，是個(gè)人具別的特定的自然人，具有主體唯一性，且個(gè)人信息主體權(quán)益也5.6個(gè)人信息管理5.7個(gè)人信息資源息主體應(yīng)有的權(quán)力。這些權(quán)利包括知情權(quán)、6.2知情權(quán)a)個(gè)人信息主體應(yīng)有權(quán)知悉個(gè)人信息數(shù)據(jù)庫中與自己相關(guān)的信息；3c)個(gè)人信息主體應(yīng)有權(quán)查詢個(gè)人信息收集、處理、使用、利用及管理情況；d)個(gè)人信息主體應(yīng)有權(quán)知悉個(gè)人信息生命周期內(nèi)個(gè)人信息管理6.3支配權(quán)）；6.4質(zhì)疑權(quán)b)個(gè)人信息主體應(yīng)有權(quán)質(zhì)疑或反對(duì)個(gè)人信息收集、處理、使c)個(gè)人信息主體應(yīng)有權(quán)質(zhì)疑或反對(duì)與之相關(guān)的個(gè)人信息管理目的、過程等；e)在個(gè)人信息生命周期內(nèi)，個(gè)人信息主體應(yīng)有7.2約束規(guī)則b)個(gè)人信息管理者應(yīng)為個(gè)人信息主體提供個(gè)人信息生命周期內(nèi)的服務(wù)管理；c)個(gè)人信息管理者應(yīng)明確管理職責(zé)，承擔(dān)相應(yīng)的責(zé)任和義務(wù)；7.3角色制等，但均應(yīng)遵循本章確立的規(guī)則，保障個(gè)人信息主體7,4服務(wù)管理個(gè)人信息管理應(yīng)是個(gè)人信息管理者為個(gè)人信息主體提供服務(wù)的過程。個(gè)人信息管理者應(yīng)滿足：4a)個(gè)人信息管理者應(yīng)具有各類資源的轉(zhuǎn)換能力和相應(yīng)的管理職能，以保證個(gè)人信息管理的有效b)個(gè)人信息管理者應(yīng)建立有效的內(nèi)部管理機(jī)制并形成管理體系，以保證個(gè)人信息管理質(zhì)量的可7.5責(zé)任和義務(wù)個(gè)人信息管理者應(yīng)將收集個(gè)人信息的目的和方式、不提供個(gè)人信息的后果、第5章確立的個(gè)人信息個(gè)人信息管理者應(yīng)對(duì)所管理的個(gè)人信息予以保密，并對(duì)個(gè)人信息管理過程中的安全負(fù)責(zé)。過程的符合個(gè)人信息相關(guān)法規(guī)、標(biāo)準(zhǔn)的管理，組織個(gè)人信息管8.2相關(guān)機(jī)構(gòu)及職責(zé)b)PISMS建立、實(shí)施、運(yùn)行；c)明確個(gè)人信息管理相關(guān)責(zé)任主體和人員職責(zé)、責(zé)任；5在個(gè)人信息管理者內(nèi)部選聘，或聘請(qǐng)社會(huì)人士擔(dān)任。其職責(zé)應(yīng)包10.1目的10.2原則收集個(gè)人信息應(yīng)有明確的目的，不應(yīng)超目的范在管理活動(dòng)或行為中應(yīng)保證個(gè)人信息的準(zhǔn)確性、完整性和最新狀610.3方針a)個(gè)人信息主體的權(quán)利；10.4計(jì)劃a)個(gè)人信息收集目的、策略；b)個(gè)人信息管理措施、策略；c)個(gè)人信息管理和各類相關(guān)資源的組織、協(xié)調(diào)、轉(zhuǎn)換和溝通；10.5管理機(jī)制每個(gè)工作人員完全理解并遵照?qǐng)?zhí)行?；疽?guī)章應(yīng)包括個(gè)人信息安全管理體系構(gòu)成要素和個(gè)人信息生命周期各個(gè)環(huán)節(jié)的管理規(guī)則，并應(yīng)在實(shí)施過程中不斷改進(jìn)和7個(gè)人信息管理者應(yīng)在其內(nèi)部向全體工作人員及其它相關(guān)人員說明個(gè)人信息管理的重要性和相關(guān)管理策略，以得到工作人員及其它相關(guān)人員對(duì)個(gè)人信息管理工作的配類、紙質(zhì)等材料）中增加個(gè)人信息管理的相b)個(gè)人信息管理的重要性和必要性；8f)違反個(gè)人信息安全相關(guān)標(biāo)準(zhǔn)可能引起的損害和后果；b)公示的目的、方式、范圍和內(nèi)容；個(gè)人信息管理代表應(yīng)根據(jù)管理計(jì)劃適時(shí)評(píng)估PISMS的效能和個(gè)人信息管理效果，檢查、修正個(gè)人信在個(gè)人信息管理活動(dòng)或行為中，應(yīng)注意個(gè)人信息主體與個(gè)人信息管理者、個(gè)人信息管理者各部門（從屬機(jī)構(gòu)）與PISMS、PISMS內(nèi)、PISMS與相關(guān)資源2)包括提供、委托、交換等不同的利用過c)基于生命周期的過程管理：在個(gè)人信息生命周期內(nèi)，采用PD912.2限制12.3類別b)個(gè)人信息收集、處理、使用的目的、方法；12.4保存?zhèn)€人信息，并應(yīng)建立相應(yīng)的規(guī)范、統(tǒng)一的個(gè)人信息數(shù)據(jù)庫管理意識(shí)，采取必要的安全措施，防止不正當(dāng)收集個(gè)人信息，避13.2使用a)應(yīng)以各種方式征得個(gè)人信息主體同意；或?yàn)槁男信c個(gè)人信息主體達(dá)成的合法協(xié)議的需要；13.3提供采取適當(dāng)、合法、有效的方法和手段獲得的，并不與收集目的相個(gè)人信息管理者合法擁有的個(gè)人信息，在向第三方提供（包括跨境提供）時(shí)，應(yīng)履行第7章規(guī)定的個(gè)人信息管理者的責(zé)任和義務(wù)，保障個(gè)人信息主體的合法第三方（包括境外）接受個(gè)人信息管理者提供的個(gè)人信息13.4委托a)個(gè)人信息管理者委托第三方收集個(gè)人信息；c)第三方（包括境外）委托個(gè)人信息處理業(yè)務(wù)或接受個(gè)人信息處理委托業(yè)務(wù)等。涉及個(gè)人信息委托業(yè)務(wù)時(shí)，應(yīng)選擇已建立PISMS（涉及境外時(shí)，境外相關(guān)機(jī)構(gòu)應(yīng)已建立嚴(yán)格的個(gè)人d)保護(hù)個(gè)人信息的安全措施和安全承g(shù))個(gè)人信息相關(guān)事故的責(zé)任認(rèn)定和報(bào)告；13.5開發(fā)b)個(gè)人信息深度開發(fā)等。a)遵守國(guó)家相關(guān)法規(guī)、標(biāo)準(zhǔn)；c)本文件規(guī)定的個(gè)人信息管理者的責(zé)任d)征得個(gè)人信息主體同意，并保障個(gè)人信息主體權(quán)益；e)限定在個(gè)人信息主體同意的范圍內(nèi)，避免隨意泄漏、傳播和擴(kuò)散等。b)個(gè)人信息開發(fā)的目的、方式、方法和范圍；13.6交易b)基于某種利益關(guān)系的個(gè)人信息銷售等。b)應(yīng)通知個(gè)人信息主體并征得個(gè)人信息主體同意；c)應(yīng)限定在個(gè)人信息主體同意的范圍內(nèi)，避免隨意泄漏、傳播和擴(kuò)散；d)交易雙方均應(yīng)履行本文件規(guī)定的個(gè)人信息管理原則；e)交易雙方均應(yīng)履行本文件規(guī)定的個(gè)人信息管理者的責(zé)任、義務(wù)；個(gè)人信息管理者交易個(gè)人信息，應(yīng)以各種形式通知個(gè)人信息主體。通知內(nèi)容應(yīng)包括：a)個(gè)人信息管理者相關(guān)信息；b)個(gè)人信息來源的合法性、有效性；d)個(gè)人信息交易的目的、方式、方法和范13.7后處理a)根據(jù)個(gè)人信息主體意見、合同約定方式等采取的安全處理措施；c)根據(jù)個(gè)人信息主體意見、合同約定方式、個(gè)人信息管理者需求等假名化處理；d)根據(jù)個(gè)人信息主體意見、合同約定方式、個(gè)人a)如需繼續(xù)保存、使用、返還，應(yīng)保證個(gè)人信息的準(zhǔn)確性、完整性和最新狀態(tài)；c)如需個(gè)人信息匿名化，應(yīng)考慮個(gè)人信息碎片化后的細(xì)粒度，及可復(fù)原程度等。過程管理是個(gè)人信息生命周期內(nèi)體系化管理的重要一環(huán)。應(yīng)采用PDCA過程模式監(jiān)督、跟蹤、管控PISMS，保證個(gè)人信息管理質(zhì)量，保障個(gè)人信息安全和個(gè)人信息主體權(quán)益。a)審核個(gè)人信息管理相關(guān)活動(dòng)和行為、PISMS、PISMS實(shí)施和運(yùn)行過程；14.3過程改進(jìn)服務(wù)咨詢責(zé)任主體應(yīng)接受個(gè)人信息主體、各類組織和人員提出的個(gè)人信息管理活動(dòng)、PISMS的相關(guān)過程模式，定期評(píng)估、分析PISMS運(yùn)行狀況，并持續(xù)改b)制定預(yù)防和改進(jìn)措施；14,4應(yīng)急管理b)事故的處理流程；15.1風(fēng)險(xiǎn)管理15.2物理環(huán)境管理15.3工作環(huán)境管理）；15.4網(wǎng)絡(luò)行為管理15.6個(gè)人信息數(shù)據(jù)庫安全個(gè)人信息管理者應(yīng)履行本文件規(guī)定的個(gè)人信息管理者的責(zé)任和義務(wù)，建立個(gè)人信息數(shù)據(jù)庫管理機(jī)a)個(gè)人信息數(shù)據(jù)庫管理和使用制度；應(yīng)根據(jù)個(gè)人信息自動(dòng)和非自動(dòng)處理的特點(diǎn)，制定相應(yīng)的個(gè)人信息數(shù)據(jù)庫管理策略，包括訪問/調(diào)用15.7移動(dòng)設(shè)備安全15.8個(gè)人安全用個(gè)人信息，以保護(hù)個(gè)人信息主體權(quán)益。這些情a)各種網(wǎng)絡(luò)環(huán)境下與個(gè)人信息相關(guān)的各種行為、活動(dòng)；b)各種工作環(huán)境下與個(gè)人信息相關(guān)的各種行為、活動(dòng)；c)各種生活環(huán)境下與個(gè)人信息相關(guān)的各種行為、活動(dòng)；16.1收集例外a)應(yīng)合理、合法、適度、目的明確，并經(jīng)個(gè)人信息主體確認(rèn)同意；16.2