DB21/T 1628.9-2019 信息安全 个人信息安全管理体系 附则

ICS35.020

L70

DB21

辽宁省地方标准

DB21/T1628.9—2019

信息安全个人信息安全管理体系附则

Informationsecurity-Personalinformationsecuritymanagementsystem-Annex

2019-09-30发布2019-10-30实施

辽宁省市场监督管理局发布

DB21/T1628.9—2019

目次

前言................................................................................II

引言...............................................................................III

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4概述..............................................................................1

5同一性设计........................................................................1

附录A（资料性附录）管理体系标准条款对照表..........................................5

I

DB21/T1628.9—2019

前言

本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构与编写》给出的规则起草。

本标准由辽宁省工业和信息化厅提出并归口。

本标准主要起草单位：大连软件行业协会、大连软信咨询服务有限公司、大连交通大学、大连市计

算机学会。

本标准主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、董晶、杨万清、杨莉、郭玉梅、曹剑、司丹、

孙毅、王小庚、王鑫。

本标准发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，

我们将及时答复并认真处理，根据实际情况依法进行评估及复审。辽宁省工业和信息化厅：沈阳市皇姑

区北陵大街45-2号，024-86913384；大连软件行业协会：大连市高新区七贤岭10号人才服务大厦102

室，0411-83655181。

II

DB21/T1628.9—2019

引言

在个人信息管理者的管理生态中，寄生多体系管理要素，互相制约、影响，造成资源浪费、管理交

叉，冗余、繁复。然因标准框架、管理痼疾等多因素限制，尚无法形成管理体系的一体化。

本标准旨在说明PISMS与QMS、SMS、ISMS的异同，以期在个人信息安全实践中建立同一性规范，在

个人信息安全标准体系实施中，兼顾体系间的共性和个性。

本标准是DB21/T1628系列标准实施的附加说明。

本标准涵盖DB21/T1628标准体系，为标准实施提供参考和指导。与标准体系构成框架是平行的。

III

DB21/T1628.9—2019

信息安全个人信息安全管理体系附则

1范围

本标准为个人信息安全管理体系兼容质量管理体系、服务管理体系、信息安全管理体系提供借鉴和

指导。

本标准适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19001质量管理体系要求

GB/T24405.1信息技术服务管理第1部分：规范

GB/T24405.2信息技术服务管理第2部分：实践规则

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T22081信息技术安全技术信息安全控制实用规则

DB21/T1628信息安全个人信息安全管理

3术语和定义

GB/T19001、GB/T24405、GB/T22080、GB/T22081、DB21/T1628界定的术语和定义适用于本文

件。

4概述

DB21/T1628个人信息安全标准系列，兼容GB/T19001（等同采用ISO/IEC9001）、GB/T24405.1、

GB/T24405.2（等同采用ISO/IEC20000.1、ISO/IEC20000.2）、及GB/T22080、GB/T22081（等同采

用ISO/IEC27001、ISO/IEC27002）的思想和方法，为多种管理体系的融和实施，奠定适宜的基础。

个人信息安全标准系列，以管理为主线，以个人信息生命周期为导向，以个人信息安全和个人信息

管理质量为目标，规定个人信息生命周期内管理要素的约束规则。因而，个人信息安全标准系列与GB/T

19001、GB/T24405.1、GB/T24405.2、GB/T22080、GB/T22081具有类同的管理、服务和安全管理要

素。

本标准建立PISMS与QMS、SMS、ISMS的同一性规范。

5同一性设计

5.1PISMS设计

5.1.1目的

1

DB21/T1628.9—2019

个人信息安全管理体系是个人信息管理的结果，其基本目的应是满足个人信息管理的需要，指导各

类组织建立健全各类管理机制，协调各类资源，充分保障个人信息主体的权利，保障个人信息管理业务

的稳定运行。

5.1.2要素

5.1.2.1综述

PISMS构成要素的基础：

a）PISMS是基于个人信息生命周期展开的；

b）个人信息生命周期是个人信息管理者向个人信息主体提供个人信息相关的服务管理的过程；

c）在服务管理过程中，个人信息主体感知服务能力和服务质量；

d）通过服务能力和服务质量的管控，实现个人信息安全。

5.1.2.2构成要素

基于GB/T24405.1、GB/T24405.2和GB/T19001，PISMS构成要素，主要包括：

a）目标和基本原则：明确管理的目标和管理的基本原则；

b）管理策略：方针、责任、能力等；

c）组织机构：明确管理机构、组织方式、职能、职责、权限等；

d）管理机制：角色、制度、培训、文档等；

e）人员管理：可调配、使用的相关人员管理；

f）资源管理：体系相关、可协调、调配资源管理；

g）过程管理：体系建立、实施过程管理；

h）过程改进：体系建立、实施过程监控、内审、改进等。

5.2体系综述

5.2.1GB/T19001

5.2.1.1特征