SJ／T 11445.2-2012  信息技术服务 外包 第2部分：数据（信息）保护规范

a）知悉数据收集、处理、使用的相关信息； b）确认数据收集、处理、使用的目的、方式、范围等相关信息， ）确认数据管理者保存数据的相关信息： ）查询数据收集、处理、使用情况及数据质量等相关信息。

a）收集、处理、使用数据，应经数据主体同意： b）数据主体有权修改、删除、完善与之相关的数据信息，以保证数据信息的质量： C）数据主体有权控制、自主决定收集、处理、使用数据的方式、目的、内容、范围等

a）数据主体有权质疑与之相关的数据的准确性、完整性和时效性； b）数据主体有权质疑或反对与之相关的数据管理目的、过程等： ）如果数据管理目的、过程违背了数据主体意愿或其他正当理由，数据主体有权请求停止数据管 理活动、行为或提出撤销该数据。停止或撤销应经数据主体确认。

数据管理者对所拥有的数据负有管理责任，并征得数据主体同意后开展数据管理相关活动或行 5.2权利保障 数据管理者应保障数据主体的权利。 5.3自的明确 数据管理者应保证数据管理目的与数据主体意愿一致，管理过程或行为不应超目的、超范围。 5.4告知 数据管理者应将数据管理目的、方式、不提供数据的后果、查询和更正相关数据的权利，以及数

数据管理者应基于实际情况探伤标准，依据国家相关法规、标准的原则和措施，以简洁、明确的语言阐述 公示，以指导数据管理工作。内容宜包括： 管 a）数据主体的权利： b）数据管理者的义务 ）数据管理的目的和原则： d）数据管理的措施和方法； e）数据管理的改进和完善。

数据管理机构负责数据管理体系构建、实施和运行，应由最高管理者任命的数据管理者代表负 机构的主要职责应包括： a）数据管理计划制定、实施； b）数据管理体系建立、实施、运行： c）明确数据管理相关机构和人员职责、责任： d）管理数据相关活动、行为； 车 ）检查、评估、改进、完善数据管理体系： f记录数据管理活动，并编制数据管理体系运行报告

宜指定专人负责宣传教育，在数据管理机构的指导下开展工作。其主要职责应包括： a）组织、实施数据管理体系的宣传、教育： b）制定数据管理体系宣传、教育制度、计划： C）制定数据管理的宣传策略和方法： d）数据管理相关知识、管理和安全技术等的培训、教育； e改进、完善宣传、教育措施、方法。 2.2安全管理

a）数据、数据管理体系安全风险管： b）数据收集、处理、使用安全： c）数据管理体系安全：产 d）制定数据安全管理策略、措施； e）实施数据安全管理措施： f）改进、完善数据安全管理措施。

SJ/T11445.22012

最高管理者应组建数据管理体系内审机构，选聘适宜的内审代表（或在数据管理者内部委任，或聘 请社会人士），负责数据管理体系内审。其职责应包括： a）制定数据管理体系内审计划，并按计划实施； b）独立、公平、公正地监控、检查、审计数据管理体系状况： c）跟踪、监控数据管理体系构建、实施和运行过程； d）适时评估、审计数据管理体系运行过程； e）编制内审报告，推进数据管理体系持续改进、完善。

应制定实施数据管理应遵循的相关规章和制度，包括基本的管理规章和适用于各从属机构、部门特 点的管理细则，并使每个工作人员完全理解并遵照执行。

基本规章是数据管理者及其工作人员应遵循 章宜包括以下各项： a）数据管理相关机构职能及职责： b）数据管理（包括数据收集、处理、使用等）； C）数据管理安全风险和安全管理措施； d内容数据库管理： e）数据管理相关文档管理： f）数据管理体系宣传、培训教育： 数据管理体系内审：

d）数据主体的权利和维护： e）数据管理体系的构成、实施等： ）管理、业务活动中数据管理的方式、措施等： g）违反数据管理相关标准可能引起的损害和后果 h）其他必要的教育。

数据公开、公示，应征得数据主体同意。通知数据主体的内容应包括： a）数据管理者的相关信息； b）公开、公示的目的、方式、范围和内容： c）数据主体的权利； d）公示和非公示的结果

10.5内容数据库管理

应明确确认个人信息、商业数据是以简明、易懂的语言记载、存储在内容数据库中，并可 误地提取、拷贝这些信息。

10. 5. 2 时限

应建立内容数据库使用、查阅备案登记制度，并有专人负责。记录应包括责任人、存储 的、时限、更新时间、获取方法、获取途径、位置、使用目的、使用方法、安全承诺、废弃原 等。

应在数据管理过程中记录与数据相关的行为、活动的目的、时间、范围、对象、方式方法、效果、 反馈等信息。这些活动或行为包括体系建立、培训教育、宣传、安全管理、过程改进、内审等。

10. 6. 2 备案

应建立与数据管理相关的规章、文件、记录、合同等文档的备案管理制度，并不断改进

应明确数据管理相关人员的权限、责任，加强监督和管理，防范未经授权的数据接触、职责不清等 风险。 10.7.2工作人员

应加强所有数据管理者相关工作人员的宣传和教育，明确岗位职责，提高保护数据主体权益的意

SJ/T11445.22012 避免发生数据安全事件。 10.7.3保密

数据管理者应与全体工作人员和其他相关人员签署保密协议，明确个人信息、商业数据的保 范围、等级、管理措施等。

数据管理者处理、使用数据应基于明确、合法的目的，并遵循以下约束： a）应征得数据主体同意：或为履行与数据主体达成的合法协议的需要：

b）应在数据收集目的范围内处理、使用数据。如需要超目的范围处理、使用数据，应征得该数据 主体同意。通知信息参照11.1.3.1。 c）处理、使用数据时，应履行第5章的要求，保证数据质量和数据安全。

数据管理者所拥有的数据，应是依特定、明确、合法的目的，经数据主体同意，采取适 有效的方法和手段获得的并不与收集目的相俘。

数据管理者合法拥有的数据，在向第三方提供时，应履行第35章的要求，保障数据主体的合法权益。 113.3授权许可 数据管理者向第三方提供数据，应获得数据主体授权，并在允许的目的范围内，采用合法、适当 适度的方法使用。应向数据主体说明的信息参照11.1.3.1

数据管理者向第三方提供数据时，应获得第三方以书面形式（或以可见证的、有规范记录的、满足 书面形式要求的非书面形式）保证的数据完整性、准确性、安全性的明确承诺，避免不正确使用或泄露。

委托第二方收集数据向第三方委托数据处理业务或接受数据处理委托业务时，应在数据主体明确 同意的，或委托方以合同或其他方式要求的使用目的范围内处理，不可超范围、超目的随意处理，并将 受托方相关信息提供给数据主体。提供的信息可参照11.1.3.1。

涉及数据委托业务时，应选择已建立数据管理体系的数据管理者，以建立相应的委托信用机制，保 证不会发生数据泄露或滥用。在委托合同中应包括： a）委托方和受托方的权利和责任： b）委托目的和范围 c）保护数据的安全措施和安全承诺： 件王用 d）再委托时的相关信息： e）数据管理体系的相关说明 f）与数据相关事故的责任认定和报告： g）合同到期后数据的处理方式： 11.5其他 ““复制无效 R

分析、整合、整理、挖掘、加工等数据的二次开发，应履行第5章的要求，征得数据主体同意，并 限定在数据主体同意的范围内，避免随意泄露、传播和扩散。通知的内容应包括： wa）数据管理者的相关信息： b）二次开发的目的、方式、方法和范围 c）安全措施和安全承诺： d）事故责任认定和处理方式； e）开发完成后的处理方式。

应确保工作人员工作环境内所有相关数据的安全管理，防止未经授权的、无意的、恶意的使用泄 露、损毁、丢失。工作环境应包括： a）出入管理： b）工作桌面： c）计算机桌面 d）计算机接口： e）计算机管理（文件、文件夹等） f）其他相关管理。

应制定网络管理措施，采用相应的技术手段，引导、约束通过网络利用、传播相关数据的行为 范、科学合理、文明的网络秩序。

应在整体信息安全体系建设中，充分考患数据及相关因素的特点，加强数据安全防护，预防安全隐 患和安全威胁。如网络基础平台、系统平台、应用系统、安全系统、数据管理等的安全，及信息交换中 的安全防范、病毒预防和恢复、非传统信息安全等。

数据管理者应保证个人计算机系统、可移动存储媒介（电子、磁、纸等介质及其他介质 以确保数据存储的准确性、完整性、可靠性和安全使用。

12.7内容数据库安全

数据管理者应保证内容数据库存储、保存的数据的准确性、完整性、保密性和可用性，并 以保证数据的最新状态。

数据管理者应履行第5章的要求，建立内容数据库管理机制。管理安全应包括 a）内容数据库管理和使用制度： b）内容数据库管理者的职责； ）维护和记录； d）事故处理。

应根据数据自动和非自动处理的特点，制定相应的内容数据库管理策略，包括访问/调用 限设置、密钥管理等，防止数据的不当使用、毁损、泄露、删除等。 商业数据应建立商业数据库安全等级管理制度。

12.7.3备份和恢复

应制定内容数据库备份和恢复机制，并保证备份、恢复的完整性、可靠性和准确性

数据管理机构应依据相关法规、内审报告、需求变化、服务台反馈、跟踪监控结果等电气标准规范范本，定期评估、 分析数据管理体系运行状况，并持续改进和完善： a）分析、判断数据管理体系实施、运行中的缺陷和漏洞 b）制定预防和改进措施： 实时预防、改进： d跟踪改进结果。 144 过程模式 应采取PDCA模式（或其他以PDCA为基础的相关模式），持续改进、完善数据管理过程、数据管

不应收集、处理、使用敏感的个人信息。经个人信息主体同意，或法律特别规定的例外， 特别的保护措施，履行第5章的要求。敏感的个人信息包括： a）有关宗教、信仰、种族、血缘的事项； b）有关身体障碍、精神障碍、犯罪史及相关可能造成社会歧视的事项； c）有关健康、医疗及性生活的相关事项等； d）法律特别规定的。

16.1.2商业数据收集例外

不应收集下述商业数据。法律特别规定的例外，但应采取特别的保护措施，履行第5章的要求。这 些商业数据包括： a）商业数据主体认定的不可收集的商业数据： b）竞业禁止协议适用的商业数据； 法律特别规定的。

基于以下目的的例外，可以不必事先征得数据主体同意 人孔标准，但应依据相关法规，或经由专门机构确定 a）法律特别规定的： b）维护国家安全公共安全、国家利益、制止刑事犯罪； ）保护数据主体或公众的权利、生命、健康、财产等重大利益等

应对数据管理过程和数据管理体系实施过程进行认证，确定与相应法规、标准的符合性、致性和 目的有效性。

开本：880×12301/16印张：1%字数：39千字 2013年月第一版2013年月第一次印刷 印数：200册