信息技术服务 外包 第2部分:数据(信息)保护规范【编制说明】
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.个人信息保护 由于我国尚没有专门的保护个人信息的法规,《个人信息保护法》正在起草 阶段,受几千年传统文化的影响,公民以及在经济、社会活动中普遍缺乏个人信 息保护意识,个人信息被不合理地公开甚至滥用。 个人信息伴随着社会发展和市场经济的建立,凸显人格利益的商业价值和经 济利益。人格要素的商品化、利益多元化,更凸显了在现代社会、经济活动中, 个人信息的无形的物质性财产权益。 2.商业数据保护 日益激烈的市场竞争,突出表现为高新技术的竞争、信息(包括知识)的竞 争,商业数据(包括知识产权相关信息)是企业的无形资产,蕴含着巨大的经济 价值,是企业核心竞争力的关键要素、企业生存、发展的基础和条件。 随着计算机技术和互联网的普及,大量商业数据不断地数字化、网络化,严 重威胁商业数据的安全。同时,商业竞争的加剧和不择手段、利益诱惑、员工流 动,使企业内部商业数据泄露、流失更趋频繁。 欧盟立法,保护欧洲经济共同体内数据的合法、有序流动,并对向欧盟以外 的国家传输数据,制定了严苛的规则,如与美国的“安全港协议”;日本则以法 律与行业自律相互救济的方式保护数据,并采用 P-MARK 认证机制保证企业相应 管理体系的充分、有效。我国在个人信息、商业数据(包括知识产权相关信息) 的收集、处理、传输、交换过程中,缺乏基本的规范和标准,将阻断其有序、规 范、合法的跨国界自由流动,影响外包服务业务的开展,成为影响、制约外包服 务发展的新的贸易壁垒。 因此,为了提高全社会,特别是外包服务组织的数据保护意识,规范数据管 理和使用,有必要编制、实施针对外包服务、符合国际标准的《数据保护规范》, 维护数据所有人的基本权益,构建数据保护体系,将为服务外包企业建立数据保
目前,大连市推出的个人信息保护评价体系,实施个人信息保护状况的分析、 评估和判断。通过对实施个人信息保护的信息服务企业实施评价,对企业开展个 人信息保护工作与相关个人信息保护法规、标准的一致性、符合性和目的有效性 进行判断和评估,并使企业接受相关机构的监督管理。这一评价体系,可作为数 据保护体系认证的借鉴。
五、实施建议
1.制定宣传和教育计划。面向服务外包行业,利用各种媒体,大力宣传数据 保护的重要性和实施《数据(信息)保护规范》的必要性。开展数据保护培训教 育。提高数据安全意识;
2.建立相应的认证体系,对数据管理过程和数据保护过程的实施状况进行认 证,以确定与相应法规、标准的符合性、一致性和目的有效性。
3.数据保护的概念。数据保护也是相当宽泛的课题,包括逻辑层面、技术层 面、管理层面等。本标准将“数据保护”限定为个人信息及与商业数据相关信息 的保护。
4.业务连续性。本标准关注业务的连续性,约定基于数据合理流动,保证各 项业务持续、稳定。
5.标准兼容性。由于企业执行多种标准,易于割裂各标准间的关联,影响企 业正常运营。因而,应注意标准间的融合。
1.保护范畴。本标准覆盖范围包括个人信息、商业数据。由于知识产权涉及 面广、构成复杂,且已有相关法规,但是,与知识产权相关信息的保护存在法律 空白。同时,这部分信息与商业数据的特质类同。因而,知识产权相关信息归入 商业数据。
2.数据的概念。数据是内涵和外延非常宽泛的概念,是信息的载体。本标准 将“数据”限定为个人信息及与商业数据相关的信息。
护规制提供可供参考的依据,提高其数据保护能力和数据安全规范管理水平和质 量。
发布、实施和推行《数据(信息)保护规范》,应建立数据保护认证体系, 可以保证实施《数据(信息)保护规范》的科学、有序、规范,提高数据保护的 水平,促进数据保护的发展。数据保护认证体系应是“由可以充分信任的第三方 证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动”(ISO)。
别。 3.个人信息主体与商业数据主体具有不同的属性、特征,统一在数据主体定
义下,各自表述。个人信息主体是可识别的自然人个体,是清晰、明确的;商业 数据主体本身也具有不同的属性特征,其唯一可识别的、同一的特征是合法拥有。
4.数据保护体系是为实现数据保护目标,充分、有效地开展数据保护各项活 动,约束数据管理者的行为构建的。数据保护,包括确立数据保护目标,制定数 据保护方针,建立数据保护管理机制、保护机制、安全机制和过程改进机制,以 及数据保护质量保证,是计划、组织、协调、控制数据安全的管理活动,这些活 动是相互关联又相互制约的,统一在数据保护体系的规制下。
二、编制过程
为了规范和引导 IT 服务业的发展,2009 年 4 月 23 日,工业和信息化部软 件服务业司在京成立 IT 服务标准工作组(ITSS,以下简称:工作组),组织开展 IT 服务相关标准的制定工作。服务外包专业组是 IT 服务标准工作组下设的 6 个 专业组之一,专业组在工业和信息化部软件服务业司的指导下,按照 IT 服务标 准工作组的总体要求,组织并联合国内从事服务外包的产学研用各方,依据“急 用先行、成熟先上”的原则,开展了数据(信息)保护规范的研究制定工作。
四、技术特点
《数据(信息)保护规范》具有以下特点: 1.个人信息与商业数据具有类同的特质,在收集、处理、使用中,其安全要 求、安全机制、安全策略是同等的,可以采用同一的保护方式。 2.个人信息与商业数据是完全不同的概念,统一在数据定义下,各自表述。 需要保护的商业数据应是符合 3 个条件的技术信息、经营信息等:与数据主体利 益相关;实用且已采取保密措施;不为公众知悉。个人信息是与特定的自然人个 体相关,并可识别该自然人个体,或不能直接确认,但采取其它方法仍可间接识
信息技术服务 外包 第 2 部分: 数据(信息)保护规范 编制说明
信息技术服务标准工作组服务外包组 二〇〇九年十二月
一、 编制目的
随着信息技术的发展,数据收集、处理,愈加方便、容易,大量涉及个人隐 私、商业秘密的信息,可以轻易地随时通过网络获取。数据侵害愈加频繁,愈加 呈现多样性,从而引发新的数据安全危机。
业数据安全构架了基本规则和要求。 11 月,参与标准起草单位认真讨论了 2009 年 6 月发布实施的英国标准《数
据保护 个人信息管理体系规范》(BS10012:2009),并对照规范进行了调整,于 11 月 30 日完成了本标准草案的征求意见稿。
三、编制原则
本标准编制,同时考虑外包服务中涉及的个人信息保护和商业数据保护,并 根据其同一性构建保护框架。
附件一:
本标准主要起草单位及人员:
大连软件行业协会 郎庆斌、孙鹏、尹宏、王开红、郭玉梅、曹剑
东软集团股份有限公司 赵兴华
中金数据系统有限公司 李岗
万国数据科技发展有限公司 马强
本标准的起草wenku.baidu.com作由大连软件行业协会牵头,参与标准起草的单位主要有东 软集团股份有限公司、中金数据系统有限公司、万国数据科技发展有限公司等单 位。
2009 年 8 月 25 日,服务外包专业组启动,9 月、10 月参与标准起草单位针 对标准的具体编写及讨论进行了两次封闭工作。其中,9 月末,参考“《个人信 息保护规范》-辽宁省地方标准”完成了数据保护框架及个人信息保护规范的初 稿,同时在对商业数据保护及知识产权相关信息保护进行了较为深入的研究后, 初步编写了规范纲要。10 月封闭工作过程中,经研究讨论,将个人信息保护、 商业数据保护及知识产权相关信息保护整合为数据(信息)保护规范,并根据 9 月完成的数据保护框架初稿,于 10 月 30 日完成了数据(信息)保护规范初稿。 初稿中参考国际通行的数据保护相关法规、行业自律模式,为个人信息安全、商
目前,大连市推出的个人信息保护评价体系,实施个人信息保护状况的分析、 评估和判断。通过对实施个人信息保护的信息服务企业实施评价,对企业开展个 人信息保护工作与相关个人信息保护法规、标准的一致性、符合性和目的有效性 进行判断和评估,并使企业接受相关机构的监督管理。这一评价体系,可作为数 据保护体系认证的借鉴。
五、实施建议
1.制定宣传和教育计划。面向服务外包行业,利用各种媒体,大力宣传数据 保护的重要性和实施《数据(信息)保护规范》的必要性。开展数据保护培训教 育。提高数据安全意识;
2.建立相应的认证体系,对数据管理过程和数据保护过程的实施状况进行认 证,以确定与相应法规、标准的符合性、一致性和目的有效性。
3.数据保护的概念。数据保护也是相当宽泛的课题,包括逻辑层面、技术层 面、管理层面等。本标准将“数据保护”限定为个人信息及与商业数据相关信息 的保护。
4.业务连续性。本标准关注业务的连续性,约定基于数据合理流动,保证各 项业务持续、稳定。
5.标准兼容性。由于企业执行多种标准,易于割裂各标准间的关联,影响企 业正常运营。因而,应注意标准间的融合。
1.保护范畴。本标准覆盖范围包括个人信息、商业数据。由于知识产权涉及 面广、构成复杂,且已有相关法规,但是,与知识产权相关信息的保护存在法律 空白。同时,这部分信息与商业数据的特质类同。因而,知识产权相关信息归入 商业数据。
2.数据的概念。数据是内涵和外延非常宽泛的概念,是信息的载体。本标准 将“数据”限定为个人信息及与商业数据相关的信息。
护规制提供可供参考的依据,提高其数据保护能力和数据安全规范管理水平和质 量。
发布、实施和推行《数据(信息)保护规范》,应建立数据保护认证体系, 可以保证实施《数据(信息)保护规范》的科学、有序、规范,提高数据保护的 水平,促进数据保护的发展。数据保护认证体系应是“由可以充分信任的第三方 证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动”(ISO)。
别。 3.个人信息主体与商业数据主体具有不同的属性、特征,统一在数据主体定
义下,各自表述。个人信息主体是可识别的自然人个体,是清晰、明确的;商业 数据主体本身也具有不同的属性特征,其唯一可识别的、同一的特征是合法拥有。
4.数据保护体系是为实现数据保护目标,充分、有效地开展数据保护各项活 动,约束数据管理者的行为构建的。数据保护,包括确立数据保护目标,制定数 据保护方针,建立数据保护管理机制、保护机制、安全机制和过程改进机制,以 及数据保护质量保证,是计划、组织、协调、控制数据安全的管理活动,这些活 动是相互关联又相互制约的,统一在数据保护体系的规制下。
二、编制过程
为了规范和引导 IT 服务业的发展,2009 年 4 月 23 日,工业和信息化部软 件服务业司在京成立 IT 服务标准工作组(ITSS,以下简称:工作组),组织开展 IT 服务相关标准的制定工作。服务外包专业组是 IT 服务标准工作组下设的 6 个 专业组之一,专业组在工业和信息化部软件服务业司的指导下,按照 IT 服务标 准工作组的总体要求,组织并联合国内从事服务外包的产学研用各方,依据“急 用先行、成熟先上”的原则,开展了数据(信息)保护规范的研究制定工作。
四、技术特点
《数据(信息)保护规范》具有以下特点: 1.个人信息与商业数据具有类同的特质,在收集、处理、使用中,其安全要 求、安全机制、安全策略是同等的,可以采用同一的保护方式。 2.个人信息与商业数据是完全不同的概念,统一在数据定义下,各自表述。 需要保护的商业数据应是符合 3 个条件的技术信息、经营信息等:与数据主体利 益相关;实用且已采取保密措施;不为公众知悉。个人信息是与特定的自然人个 体相关,并可识别该自然人个体,或不能直接确认,但采取其它方法仍可间接识
信息技术服务 外包 第 2 部分: 数据(信息)保护规范 编制说明
信息技术服务标准工作组服务外包组 二〇〇九年十二月
一、 编制目的
随着信息技术的发展,数据收集、处理,愈加方便、容易,大量涉及个人隐 私、商业秘密的信息,可以轻易地随时通过网络获取。数据侵害愈加频繁,愈加 呈现多样性,从而引发新的数据安全危机。
业数据安全构架了基本规则和要求。 11 月,参与标准起草单位认真讨论了 2009 年 6 月发布实施的英国标准《数
据保护 个人信息管理体系规范》(BS10012:2009),并对照规范进行了调整,于 11 月 30 日完成了本标准草案的征求意见稿。
三、编制原则
本标准编制,同时考虑外包服务中涉及的个人信息保护和商业数据保护,并 根据其同一性构建保护框架。
附件一:
本标准主要起草单位及人员:
大连软件行业协会 郎庆斌、孙鹏、尹宏、王开红、郭玉梅、曹剑
东软集团股份有限公司 赵兴华
中金数据系统有限公司 李岗
万国数据科技发展有限公司 马强
本标准的起草wenku.baidu.com作由大连软件行业协会牵头,参与标准起草的单位主要有东 软集团股份有限公司、中金数据系统有限公司、万国数据科技发展有限公司等单 位。
2009 年 8 月 25 日,服务外包专业组启动,9 月、10 月参与标准起草单位针 对标准的具体编写及讨论进行了两次封闭工作。其中,9 月末,参考“《个人信 息保护规范》-辽宁省地方标准”完成了数据保护框架及个人信息保护规范的初 稿,同时在对商业数据保护及知识产权相关信息保护进行了较为深入的研究后, 初步编写了规范纲要。10 月封闭工作过程中,经研究讨论,将个人信息保护、 商业数据保护及知识产权相关信息保护整合为数据(信息)保护规范,并根据 9 月完成的数据保护框架初稿,于 10 月 30 日完成了数据(信息)保护规范初稿。 初稿中参考国际通行的数据保护相关法规、行业自律模式,为个人信息安全、商