ICS 35.080 SJ L77 备案号： 中华人民共和国电子行业标准 SJ/T11445.2—2012 信息技术服务外包 第2部分：数据（信息）保护规范 IT ServiceOutsourcing Part 2: Specifications for Data Protection 2012-12-28发布 2013-01-01实施 中华人民共和国工业和信息化部 发布 SJ/T11445.2—2012 目 次 前言 V 引言， 1范围 2术语、定义和缩略语 2.1术语和定义 2.2缩略语 数据管理原则 3 3.1目的明确 3.2主体权利， 3.3数据质量 3.4使用限制 3.5安全保障 3.6责任 4数据主体权利， 4.1知情权 4.2支配权 4. 3 质疑权 5数据管理者的责任和义务 5. 1 管理责任 5. 2 权利保障 5. 3 目的明确 5. 4 告知. 5. 5 质量保证 5. 6 安全和保密 6数据管理 6.1 目的， 5 6.2 计划， 5 6.3组织. 6.4控制. 7 数据管理体系 5 8 数据管理方针 6 9数据管理相关机构及职责 9. 1 最高管理者 6 1 SJ/T 11445.2—2012 9.2管理机构. 6 9.3内审机构 10 管理机制. 10. 1 管理制度 10.2 宣传 10.3 培训教育 10.4 公示. 10.5 内容数据库管理 10.6 数据管理文档 10.7, 人员管理 11 管理过程 11.1 收集 11. 2 处理： 11.3 提供， 11.4 委托， 11.5其他 OF 11.6 使用 11.7 后处 HN 12 安全管理 12.1 风险 理 12.2 物理 境安 工作理 12.3 12.4 网络行为管 12.5 IT环境 13 2013 12.6 存储安全 13 12.7 内容数据库 13 13数据管理体系内审。 14 管理 NDA 13.1 14 13.2计划 14 13.3实施， 14 14过程改进 14 14.1 服务台管理 14 14.2 跟踪和监控 14 14.3持续改进， 14 14.4过程模式. .14 15 应急管理 15 16例外. 15 16.1收集例外， 15 16.2法律例外. 15 复制无效 复制无效 专有 复制无效 专有 版权专有 版权专有版权专有 复制无效复制无效 复制无 复制无效 版权专 版权专有 复制无 版权专 复制无效 版权专有 复制无效 版权专有 复制无效 版权专有 复制无效 复制无效 SJ/T11445. 本标准根据GB/T1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由工业和信息化部软件服务业司提出。 本标准由中国电子技术标准化研究院归口 本标准起草单位：大连软件行业协会东软集团股份有限公司北京万国长安容灾备份服务有限公 唱 司、中金数据系统有限公司、广州越维信息科技有限公司、北京赛迪时代信息产业股份有限公司 本标准主要起草人： 程磊杨帆王开红郭玉 梅曹剑周平崔静。 SJ TRYOF 2013 RDS D 复制无 版权专有 复制无效 复制无效 专有 1445.22012 版权专有 本标准内涵和外延均较宽泛，存在易于混淆、多义性的概念、理解，现予以说明，以便于标准条文 的解释和标准的应用。 0.1 基准 本标准考虑个人信息与商业数据具有类同的特质，在收集、处理、使用中，其安全要求、安全机制、 安全策略等是同等的，可以采用同一的管理方式，适于IT服务外包组织共同遵守和应用，也可为其他行 业提供借鉴。 0.2数据 “数据”是一个广义的概念，本标准中，代指涉及个人信息、商业数据（仅指敏感的商业秘密或其他 需要保护的数据的相关信息。 由于知识产权涉及面广、构成复杂，且已有相关法规，但是，与知识产权相关信息的保护存在法律 空白。同时，这部分信息与商业数据的特质类同。因而，本标准将知识产权相关信息归入商业数据。 0.3内容数据库 内容是相对宽泛的概念。本标准仅限定内容数据库是由结构化、非结构化个人信息、商业数据（包 括自动处理和非自动处理）所构成的逻辑数据库。 0.4数据管理 数据保护是针对数据及相关资源、环境、管理体系等的管理活动或行为之一，因而，本标准采用“数 据管理涵盖“数据保护”。本标准数据管理涉及个人信息管理、商业数据管理 数据管理包含数据收集、处理、使用的整个生命周期。 0.5数据安全性 本标准涉及的数据安全性，是指个人信息、商业数据的保密性、完整性、准确性、可用性、真实性 可控性和不可抵赖性。 0.6数据管理体系 本标准为个人信息管理、商业数据管理提供了基本的规则和要求，以构建数据管理体系，最大程度 降低数据因偶然的或者恶意的原因，遭到破坏、篡改、泄露、窃取和不当使用等的可能性。 0.7业务连续性 0.8标准兼容性 本标准与其他国际、国内信息安全标准及其他相关标准协调一致，并与这些标准相互配合或相互整 合实施和运行。 0.9标准实施 复制无效 本标准的适用范围并不仅限于IT服务外包组织。本标准规范的数据管理规则，是IT服务管理的基础， 具有普适性，同时，为IT服务的发展建立数据管理基准。因而，其他机关、企业、事业、社会团体等各 类组织，可以参照执行。 复制无效 权专有 版权专有 版权专有 版权专有 复制 SJ/T11445.2 信息技术服务外包第2部分：数据保护规范 1 范围 本标准规定了数据管理相关术语和定义、数据管理原则、数据主体权利、数据管理者的责任和义务 数据管理体系的建立和实施、数据管理体系内审、过程改进等基本规则和要求。 本标准适用于IT服务外包组织，其他组织可参照执行 版权专 AND 2术语、定义和缩略语 2.1术语和定义 SUSTRY 复制天 NIHO 2.1.1 数据data 描述个人 息 商业数据形 8 TRY 2. 1.1.1 个人信息 Persona 与特定个人相关并可识别该个人的数据、图像、声音等信息，包括不能值接确认，但与其他信息 对照、参考、 2.1.1.2 商业数据businessdata 开的知识产权相关信息，及其它需要保护的数据 2.1.2 内容数据库contentdatabase 版权专有 为实现一定目的，按照某种规则组织、管理的数据的逻辑集合体。 2.1.2.1 个人信息数据库personalinformationdatabase a）可以通过自动处理检索特定的个人信息的集合体，形式如磁介质、电子及网络媒介 b）可以采用非自动处理方式检索、查阅特定的个人信息的集合体，如纸介质、声音、 照 c）除前2项外，法律规定的可检索特定个人信息的集合体。