GB-T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求.pdf
- 文档编号:14661250
- 上传时间:2023-06-25
- 格式:PDF
- 页数:29
- 大小:1.81MB
GB-T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求.pdf
《GB-T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求.pdf》由会员分享,可在线阅读,更多相关《GB-T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求.pdf(29页珍藏版)》请在冰点文库上搜索。
书书书犐犆犛犔中华人民共和国国家标准犌犅犜信息技术服务外包第部分:
数据保护要求犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔狊犲狉狏犻犮犲犗狌狋狊狅狌狉犮犻狀犵犘犪狉狋:
犇犪狋犪狆狉狅狋犲犮狋犻狅狀狉犲狇狌犻狉犲犿犲狀狋狊发布实施国家市场监督管理总局中国国家标准化管理委员会发布书书书目次前言引言范围规范性引用文件术语和定义缩略语数据生命周期数据主体权利知情权支配权控制权共享权质疑权数据管理者规则角色服务管理责任和义务数据管理要求原则方针计划组织数据管理体系资源管理控制协调管理机制管理制度宣传培训教育公示数据库管理数据管理文档人员管理犌犅犜保密数据获取目的限制类别保存数据处理过程使用提供委托二次开发交易后处理安全管理要求风险管理物理环境安全工作环境安全网络行为管理环境安全存储安全数据库安全移动终端安全数据主体安全过程管理过程模式内审过程改进应急管理例外收集例外法律例外管理评价附录(规范性附录)数据管理相关资源参考文献犌犅犜前言信息技术服务外包分为个部分:
第部分:
服务提供方通用要求;第部分:
数据保护要求;第部分:
交付中心要求;第部分:
非结构化数据管理与服务要求;第部分:
发包方项目管理要求;第部分:
服务需方通用要求。
本部分为的第部分。
本部分按照给出的规则起草。
本部分由全国信息技术标准化技术委员会()提出并归口。
本部分起草单位:
大连软件行业协会、大连华信计算机技术股份有限公司、东软集团股份有限公司、成都市大数据中心、北京护航科技股份有限公司、广州赛宝认证中心服务有限公司、中国电子技术标准化研究院、金税信息技术服务股份有限公司、上海北宙企业管理咨询有限公司、上海有孚网络股份有限公司、北京信城通数码科技有限公司、广州番禺职业技术学院、上海三零卫士信息安全有限公司、神州数码系统集成服务有限公司、上海宝信软件股份有限公司、昆明东电科技有限公司、东软睿道教育信息技术有限公司、江苏润和软件股份有限公司、文思海辉技术有限公司。
本部分主要起草人:
郎庆斌、尹宏、刘宏、高昕、陈锡民、赵振文、但强、于浩、梁晓雁、丁宗安、熊健淞、职亮亮、刘?
、张树玲、刘亭杉、杜远、唐百惠、王伟、邬敏华、李阳、郑义、王斌斌、万?
东、徐瑶、谢尚飞、韩沫、邵峰、董雷、宋悦、王鑫。
犌犅犜引言本部分内涵和外延均较宽泛,存在易于混淆、多义性的概念、理解,需予以说明,以便于标准条文的解释和标准的应用。
基准本部分考虑个人信息与商业数据具有类同的特质,在收集、处理、使用中,其安全要求、安全机制、安全策略等是同等的,可以采用同一的管理方式,适于服务外包组织共同遵守和应用,也可为其他行业提供借鉴。
数据“数据”是一个广义的概念,本部分中,代指涉及个人信息、商业数据的相关信息。
知识产权涉及面广、构成复杂,且已有相关法规,然而,与知识产权相关信息的保护存在法律空白。
由于这部分信息与商业数据的特质类同。
因此,本部分将知识产权相关信息归入商业数据。
商业数据“商业数据”亦是一个广义的概念,内涵宽泛。
本部分中,特指敏感的商业秘密或其他需要保护的数据。
综合数据库本部分限定综合数据库是由结构化、非结构化个人信息、商业数据(包括自动处理和非自动处理)分别构成的逻辑数据库。
数据管理数据保护是针对数据及相关资源、环境、管理体系等的管理活动或行为之一,因而,本部分采用“数据管理”涵盖“数据保护”。
本部分数据管理涉及个人信息管理、商业数据管理。
数据管理包含数据收集、处理、使用的整个生命周期。
数据安全性本部分涉及的数据安全性,是指个人信息、商业数据的保密性、完整性、准确性、可用性、真实性、可控性和不可抵赖性。
数据管理体系指具有特定功能、由相互关联的若干要素构成的有机整体,通过整合、协调资源,聚焦管理要素,实犌犅犜现预定目标。
要素与要素、要素与体系、体系与环境等之间相互作用又相互影响。
本部分为个人信息管理、商业数据管理提供了基本的规则和要求,以构建数据管理体系,充分保障数据主体的权利,保障相关业务的稳定、有效运行。
标准架构和体例本部分以管理为主线,以数据生命周期为导向,构建数据管理标准架构,并不同于质量管理体系的标准体例,以便于集聚、整合管理要素,完善、改进、可控数据管理体系,以策数据安全。
标准兼容性本部分与国际、国内信息安全标准及其他相关标准协调一致,并与这些标准相互配合或相互整合实施和运行。
业务连续性本部分在提供安全指导的同时,需基于数据的合理流通,保证业务的连续性。
标准适用性服务外包组织与各类组织的数据安全属性、特征基本一致,其安全机制、安全策略是类同的,因而,本部分具有普适性:
)本部分规范的数据管理规则,既是服务管理的基础,亦可为服务的发展建立数据管理基准;)本部分规范的数据管理规则,具有共性的特征,可以依据组织的特征解释、剪裁;)服务外包组织与各类组织的特征区别是组织的业务和管理,其所涉数据(含合同管理),亦为本部分范畴;)本部分不仅适用于服务外包组织,其他机关、企业、事业、社会团体等各类组织,可以参照执行。
犌犅犜信息技术服务外包第部分:
数据保护要求范围的本部分规定了信息技术外包服务中数据保护所涉及的数据生命周期、数据主体权利、数据管理者、数据管理、管理机制、数据获取、数据处理、安全管理、过程管理、应急管理等方面的基本规则和要求。
本部分适用于选择和提供服务、评价和认定服务提供能力的组织等。
其他组织可参照执行。
规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
信息技术安全技术信息安全管理体系要求信息技术安全技术信息安全管理实用规则术语和定义下列术语和定义适用于本文件。
介质犿犲犱犻狌犿承载数据的载体。
媒介犿犲犱犻犪狋犻狅狀存储、传输数据的载体。
媒体犿犲犱犻犪生产、传播数据的媒介。
数据犱犪狋犪描述个人信息、商业数据的形态、属性等,并便于保存、处理、使用。
个人信息狆犲狉狊狅狀犪犾犻狀犳狅狉犿犪狋犻狅狀依附于个人,并可描述个人基本形态的信息,包括通过听觉、视觉、触觉等感官直接识别个人的信息,如声音、数字、文字、图像、影像等;借助各种手段间接识别个人的信息,如与个人相关各种信息对照、参考、分析等。
犌犅犜商业数据犫狌狊犻狀犲狊狊犱犪狋犪与数据主体利益相关,实用且已采取保密措施,并不为公众知悉的技术信息、经营信息等(含未公开的知识产权相关信息),及其他需要保护的商业相关数据。
数据主体犱犪狋犪狊狌犫犼犲犮狋可通过数据识别的数据所有者。
个人信息主体狆犲狉狊狅狀犪犾犻狀犳狅狉犿犪狋犻狅狀狊狌犫犼犲犮狋可通过个人信息识别的、拥有且享有该个人信息权益的特定个人。
商业数据主体犫狌狊犻狀犲狊狊犱犪狋犪狊狌犫犼犲犮狋商业数据的合法所有者。
注:
商业数据主体可由个或多个民事主体构成。
综合数据库犵犲狀犲狉犪犾犱犪狋犪犫犪狊犲为实现一定目的,按照某种规则组织、管理数据的逻辑集合体。
个人信息数据库狆犲狉狊狅狀犪犾犻狀犳狅狉犿犪狋犻狅狀犱犪狋犪犫犪狊犲各种存在形态的个人信息构成的逻辑集合体,包括通过自动处理检索特定的个人信息的集合体,如磁媒体、电子及网络媒体等;采用非自动处理方式检索、查阅特定的个人信息的集合体,如纸媒体、声音、照片等;其他法律规定的可检索特定个人信息的集合体。
商业数据库犫狌狊犻狀犲狊狊犱犪狋犪犫犪狊犲各种存在形态的商业数据构成的逻辑集合体,包括可通过自动处理检索特定商业数据的集合体,如磁媒体、电子媒体及网络媒体等;可采用非自动处理方式检索、查阅特定商业数据的集合体,如纸媒体、声音、图片、产品等;其他法律规定的可检索特定商业数据的集合体。
数据管理犱犪狋犪犿犪狀犪犵犲犿犲狀狋计划、组织、协调、控制数据及相关资源、环境、管理体系等的相关活动或行为。
数据管理者犱犪狋犪犮狅狀狋狉狅犾犾犲狉获数据主体授权,基于明确、合法目的,管理、使用数据的服务外包组织。
数据生命周期犱犪狋犪犾犻犳犲犮狔犮犾犲数据主体同意直接收集(或直接生成)数据直至数据彻底销毁的生命历程,是数据管理者向数据主体提供服务管理的过程。
注:
数据生命周期可以是多重的,如间接收集应是数据生命周期内存在的新的生命周期。
数据管理体系犱犪狋犪犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿基于数据管理目标,整合目标、方针、原则、方法、过程、审核、改进等管理要素,及实现要素的方法和过程,提高数据管理有效性的系统。
犌犅犜数据管理方针犱犪狋犪犿犪狀犪犵犲犿犲狀狋狆狅犾犻犮狔数据管理者应遵守的行为规则,是数据管理的基准。
数据质量犱犪狋犪狇狌犪犾犻狋狔数据的完整性、准确性、可用性和实效性。
收集犮狅犾犾犲犮狋犻狅狀基于明确、合法目的获取数据的行为。
处理狆狉狅犮犲狊狊犻狀犵自动或非自动处置数据的过程。
注:
如加工、编辑、存储、检索、交换、传输、输出及其他使用行为或活动。
自动处理犪狌狋狅犿犪狋犻犮狆狉狅犮犲狊狊犻狀犵利用计算机及其相关的和配套的设备、信息网络系统、信息资源系统等,按照一定的应用目的和规则,加工、编辑、存储、检索、交换、传输、输出等相关数据处置行为或活动。
非自动处理狀狅狀犪狌狋狅犿犪狋犻犮狆狉狅犮犲狊狊犻狀犵除自动处理外的其他数据处置行为或活动。
数据主体同意犱犪狋犪狊狌犫犼犲犮狋狊犮狅狀狊犲狀狋数据管理活动或行为与数据主体意愿一致。
注:
表达形式包括数据主体以书面形式同意,数据主体以可鉴证的、有规范记录的、满足书面形式要求的非书面形式同意。
注:
下述情况视为数据主体同意:
)由监护人代表未成年的或无法做出正确判断的成年的数据主体表达的意愿;)数据管理者与数据主体签订合同中确认了相关数据处理的规定,数据主体同意履行合同;)构成商业数据主体的多个民事主体表达的意愿完全一致。
缩略语下列缩略语适用于本文件。
:
信息技术():
计划实施检查改进()数据生命周期数据生命周期应包括个环节:
)数据获取过程:
)个人信息主体同意,基于特定、明确、合法目的,直接或间接收集个人信息;)商业数据主体具有完全自主知识产权、直接生成的商业数据;)商业数据主体同意,基于特定、明确、合法目的,直接或间接收集商业数据。
犌犅犜)数据处理过程:
基于收集目的的数据使用、利用过程,或基于明确目的的直接生成的商业数据的使用、利用过程,包括:
)编辑、加工、检索、存储、传输等不同的使用流程;)提供、委托、交换等不同的利用过程;)交易、二次开发等不同的利用过程;)数据的后处理过程。
)过程管理:
在数据生命周期内,采用模式管理针对数据及相关资源、环境、管理体系等的活动或行为。
数据主体权利知情权知情权主要应包括:
)知悉数据收集、处理、使用的相关信息;)确认数据收集、处理、使用的目的、方式、范围等相关信息;)确认数据管理者保存数据的相关信息;)查询数据收集、处理、使用情况及数据质量等相关信息。
支配权支配权主要应包括:
)收集、处理、使用数据,应经数据主体同意;)数据主体有权修改、删除、完善与之相关的数据信息,以保证数据质量;)数据主体有权控制、自主决定收集、处理、使用数据的方式、目的、内容、范围等。
控制权商业数据主体对具有完全自主知识产权、直接生成的商业数据具有控制权,主要应包括:
)基于组织的环境、条件、运营目标等,具有完全的自主权利;)控制数据应用的目的、处理、使用、范围和方式、方法等;)自主管理、约束、监控商业数据的相关活动或行为等。
共享权商业数据主体由个或多个民事主体构成时,对其具有完全自主知识产权、直接生成的商业数据,应具有共享权:
)个或多个民事主体直接参与商业数据直接生成的过程、活动、行为,各自享有所有权;)基于商业数据相关各方签署的有效文件,确定相关各方的权利等。
质疑权质疑权主要应包括:
)数据主体有权质疑与之相关的数据质量;)数据主体有权质疑或反对与之相关的数据管理目的、过程等;)如果数据管理目的、过程违背了数据主体意愿或其他正当理由,数据主体有权请求停止数据管理活动、行为或提出撤销该数据。
停止或撤销应经数据主体确认。
犌犅犜数据管理者规则数据管理者的约束规则应包括:
)数据管理者获取、处理、使用、利用、管理数据应获得数据主体授权,并确定明确、合法的目的;)数据管理者应基于数据生命周期,为数据主体提供数据相关的服务管理;)数据管理者不应因利益、条件等的变化降低数据管理质量的可靠性。
角色描述数据管理者可根据不同的需要细分角色,如数据获取、数据消费等,但均应遵循确立的规则,保障数据主体的权益。
行为模式角色细分应根据不同的行为模式划分,包括:
)限定数据管理者为合法、有效的数据管理组织;)数据管理者的细分角色,根据目的、动机、方法等的不同存在行为差异;)数据管理者细分角色的行为差异,存在合法和非法的可能性;)数据管理者的细分角色可在条件、利益满足时转化。
约束数据管理者根据不同需要细分的不同角色,具有同样的管理职能、权利和义务,均应遵循本部分确立的数据管理者的约束规则、责任和义务。
服务管理数据管理应是数据管理者向数据主体提供服务的过程。
数据管理者应满足:
)具有各类资源的转换能力和相应的管理职能,以保证数据管理的有效性;)建立有效的内部管理机制并形成管理体系,以保证数据管理的质量可靠性;)提供透明的服务管理过程,以保证第章确立的数据主体的权力。
责任和义务管理责任数据管理者对所拥有的数据负有管理责任,并征得数据主体同意后开展数据管理相关活动或行为。
权利保障数据管理者应保障数据主体的权利。
目的明确数据管理者应保证数据管理目的与数据主体意愿一致,管理过程或行为不应超目的、超范围。
犌犅犜告知数据管理者应将数据管理目的、方式、不提供数据的后果、查询和更正相关数据的权利,以及数据管理者本身的相关信息等通知数据主体。
质量保证数据管理者应在管理活动或行为中保证数据质量,并保持最新状态。
安全和保密数据管理者应对所管理的数据予以保密,并对数据管理过程中的安全负责。
数据管理要求数据管理者应依据的规定,协调、组织数据管理体系和各类相关资源,根据收集、处理目的,采取相应的控制策略和措施,处理、使用数据。
数据管理相关资源见附录。
原则目的明确数据收集、处理、使用应基于明确、合法的目的,并应经数据主体明确同意。
主体权利数据主体对相关的个人信息、商业数据享有权利。
数据质量在数据管理行为或活动中,应保证数据的准确、完整、可用、真实、可控和不可抵赖。
使用限制应采用合理、合法的手段和方式,收集、处理、使用数据,并征得数据主体同意。
安全保障应采取必要、合理的管理和技术措施,防止发生数据泄露、丢失、损毁、篡改等的安全事件。
责任应保证各项原则的有效实施。
方针数据管理者应基于实际情况,依据国家相关法规、标准的原则和措施,制定数据管理方针,以指导数据管理。
方针应以简洁、明确的语言阐述、公示,以指导数据管理工作。
内容宜包括:
)数据主体的权利;)数据管理者的责任义务;)数据管理的目的和原则;犌犅犜)数据管理的措施和方法;)数据管理的改进和完善。
计划数据管理者应根据管理、业务目标,制定数据管理计划。
计划应包括:
)数据收集目的、策略;)数据管理措施、策略;)数据管理和各类相关资源的组织、协调、沟通;)数据安全风险评估;)计划评估;)其他必要的管理策略。
组织要求数据管理者应根据管理计划,实施数据生命周期全过程的符合相关法规、标准的管理,组织数据管理活动或行为,主要应包括:
)建立数据管理体系;)明确数据管理职责和行为准则;)实施、运行数据管理体系;)评估数据管理体系效能;)评估数据管理效果;)其他相关管理。
数据管理主体及职责最高管理者数据管理者的最高领导,应重视并激励数据管理,并选择、任命有能力的数据管理者代表,组建、负责相应的数据管理机构,并在资金、资源等各个方面提供完全的支持。
其职责应包括:
)确立数据安全、保证管理和业务稳定运行的目标和方向;)创造全体员工参与、资源保障、有利于实施数据管理的内部环境;)组建数据管理机构,选择有能力的管理者代表,并赋予相应权限,确保数据管理体系的实施和运行;)为实施、运行数据管理体系所需资源提供切实可行的支持,资源包括人员、资金、信息、技术、环境等;)对数据管理体系实施、运行过程中可能出现的各种不利因素提供决策支持;)为数据管理体系实施、运行制定合理、适宜的激励机制;)对数据管理体系的持续改进提供决策支持;)组建数据管理体系内审机构,选择适宜的内审代表,并赋予相应的权限,监控、检查、评估数据管理体系的实施和运行;)批准数据管理相关责任主体的职责分配、数据管理方针、数据管理规章、数据安全宣传教育计划等管理机制,并协调、组织实施数据管理体系等。
犌犅犜数据管理者代表应是最高管理者指定的数据管理机构责任主体,其职责应包括:
)代表最高管理者提出并制定数据管理计划;)代表最高管理者负责数据管理机构的组建和日常工作;)制定数据管理方针;)负责数据管理体系构建、实施和运行;)确定组织、构建和实施数据管理体系的资源需要和资源分配;)组织制定、实施数据管理的基本规章制度,推进数据管理工作的开展;)部署数据安全宣传,指导数据安全的培训和教育;)监督数据安全管理机制的构建和实施;)监督、指导数据管理体系各项文档的管理;)数据管理体系实施、运行过程中的组织、协调和管理;)协调内审机构的工作;)实施过程改进。
管理机构主要职责数据管理机构负责数据管理体系构建、实施和运行,应由最高管理者任命的数据管理者代表负责。
其职责应包括:
)数据管理计划制定、实施;)数据管理体系建立、实施、运行;)明确数据管理相关机构和人员职责、责任;)数据相关的活动、行为的管理,包括相关宣传教育、安全管理、服务咨询等;)检查、评估、改进、完善数据管理体系;)记录数据管理活动,并编制数据管理体系运行报告。
责任主体数据管理责任主体,宜包括数据管理者从属的各机构、部门的负责人,并履行相应的管理职责。
涉及的数据管理机构宜包括:
)宣传教育:
宜指定责任主体,在数据管理者代表领导下开展工作。
其主要职责应包括:
)组织、实施数据管理体系宣传、教育;)制定数据管理体系宣传、教育制度、计划;)制定数据管理体系宣传策略和方法;)数据的相关知识、管理和安全技术等的宣传、教育;)改进、完善宣传、教育措施、方法。
)安全管理:
宜指定信息安全责任主体负责,在数据管理者代表指导下开展数据安全管理工作。
其职责应包括:
)数据安全风险管理;)制定数据安全管理策略、措施;)实施数据安全管理措施;)改进、完善数据安全管理。
犌犅犜)服务台:
宜指定责任主体,在数据管理者代表领导下提供数据的相关服务。
其职责应包括:
)提供数据管理、安全的相关咨询和服务;)提供数据处理、使用建议和意见;)接受有关数据管理、安全的意见,并落实和反馈;)沟通、交流;)数据管理、安全相关事项、问题处理等的发布;)其他应处理的问题等。
内审机构最高管理者应组建数据管理体系内审机构,选聘适宜的内审代表(或在数据管理者内部委任,或聘请社会人士),负责数据管理体系内审。
其职责应包括:
)制定数据管理体系内审计划,并按计划实施;)独立、公平、公正地监控、检查、审计数据管理体系状况;)跟踪、监控数据管理体系构建、实施和运行过程;)适时评估、审计数据管理体系运行过程;)编制内审报告,推进数据管理体系持续改进、完善。
数据管理体系要求数据管理者代表应建立基于服务管理的数据管理体系,满足数据管理的需要。
数据管理体系主要应包括以下要素:
)数据管理目标和基本原则;)数据管理方针;)数据管理机构及职责;)数据管理机制;)数据获取过程;)数据处理过程;)数据安全管理;)过程管理等。
流程组织构建数据管理体系的流程,主要应包括:
)建立数据管理相关机构,明确机构职责和机构责任主体的责任。
)明确数据管理目标,确立数据管理的基本原则。
)制定数据管理方针,阐明数据管理的指导原则。
)根据管理和业务特征、资源、技术、环境、员工及其他相关因素确定数据管理体系范围。
)制定数据管理计划,明确数据管理活动或行为的准则。
)实施风险管理,识别风险源和安全隐患,确定数据管理体系的控制目标和控制方式。
)建立数据管理机制:
)根据管理和业务特征、信息安全相关法规、规范,制定数据管理应遵循的基本规章、数据管理体系运行规范和所有员工应遵循的制度;)数据管理策略、管理模式,包括数据存储、保存、处理、使用、利用等;犌犅犜)制定数据安全宣传策略,在内、外部宣传数据安全的重要性和所采取的管理策略;)制定数据安全培训教育计划,对全体员工实施数据安全相关知识的教育,并跟踪培训教育的效果;)其他数据相关管理事务等。
)在数据管理过程中,采用相应的管理、技术手段,保证与目的的一致性、符合性,保证数据的安全和数据主体的权益。
)数据安全管理。
)基于数据生命周期的过程管理:
)建立数据管理体系内审机制。
检查、评估数据管理体系实施和运行过程,持续改进和完善体系;)跟踪、监控数据管理体系实施、运行,随时改进、完善。
)应急管理,建立应急预案,对可能发生的数据安全事件或数据安全事故,及时采取相应的应对措施等。
资源管理相关资源应识别与管理、业务涉及数据部分关联的各种资源,见附录。
资源分类资源应分类管理,分类原则应包括:
)结合风险管理,确定在数据管理体系实施、运行中资源的敏感、关键程度;)在涉及数据的管理、业务中所关联资源的重要性;)涉及资源的数据的价值;)资源的安全等级等。
资源使用应制定使与数据管理者所有相关人员接受并执行的与数据相关资源的使用规定,如:
)网络使用规定;)电子邮件使用规定;)移动设备使用规定;)系统软件更新、病毒防范;)综合数据库管理;)文档管理;)门禁管理等。
与数据管理者所有相关人员应对所使用的资源负责。
控制数据管理者代表应根据管理计划,检查、修正数据管理相关活动、行为,并监督管理计划的实施。
协调在数据管理活动或行为中,应注意数据主体与数据管理者、数据管理者各部门(从属机构)与数据管理体系、数据管理体系内、数据管理体系与相关资源之间等的协调、沟通。
犌犅犜管理机制管理制度综述应制定实施数据管理应遵循的相关规章和制度,并使每个工作人员完全理解并遵照执行。
基本规章基本规章是数据管理者及其工作人员应遵循的行为准则,应在实施过程中不断改进和完善。
基本规章宜包括以下各项:
)数据管理相关机构职能及职责;)数据管理(包括数据收集、处理、使用等);)数据安全风险和安全管理措施;)综合数据库管理;)数据管理相关文档管理;)数据管理体系宣传、培训教育;)数据管理体系内审;)过程改进;)服务台管理;)应急管理;)违反相关规章的处理;)其他必要的管理制度。
管理细则各从属机构、部门应根据实际需要制定与基本规章一致,并符合从属机构、部门实际、切实可行的相关管理细则。
其他管理规定在业务(包括有特殊要求的业务)活动中,涉及相关数据管理,应制定相应的管理规定。
宣传基本宣传数据管理机构应在其内部向全体工作人员及其他相关人员说明数据管理的重要性和相关管理策略,以得到工作人员及其他相关人员对数据管理工作的配合和重视。
业务宣传数据管理者处理涉及相关数据的业务时,应主动说明数据管理的目的、措施、方法和规定等,并做出保密承诺。
社会宣传数据管理者应在相关媒体宣传资料、网络媒体(如网站等)及其他相关的面向社会的电子类、纸质等材料中增加数据管理的相关内容。
犌犅犜培训教育计划数据管理机构应根据人员、机构、业务、需求等实际情况,制定数据管理相关的培训和教育制度、计划,适时开展相应的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 33770.2-2019 信息技术服务 外包 第2部分:数据保护要求 GB 33770.2 2019 信息技术 服务 部分 数据 保护 要求
![提示](https://static.bingdoc.com/images/bang_tan.gif)