信息安全技术个人信息安全 第4部分：文档管理指南.docxVIP

1

信息安全技术个人信息安全第4部分：文档管理指南

1范围

本文件为个人信息管理者在个人信息生命周期内，建立完善的个人信息管理相关文档的管理机制提供指导和通用准则。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

DB21/TXXXX信息安全技术个人信息安全术语

DB21/T1628.1信息安全技术个人信息安全第1部分：要求

DB21/T1628.2信息安全技术个人信息安全第2部分：实施指南3术语和定义

DB21/TXXXX界定的术语和定义适用于本文件。

4要求

本文件遵循DB21/T1628.1确立的个人信息管理原则和要求，亦遵循DB21/T1628.2确立的实施细则，重点描述和指导个人信息管理相关文档管理的约束规则。

个人信息管理相关文档的管理，应同时使用DB21/T1628.1、DB21/T1628.2和本文件，并参照DB21/T1628系列其它标准。

5综述

本文件为个人信息管理及负有个人信息管理相关职能、责任的相关责任主体提供个人信息管理文档的管理指南。本文件指导个人信息管理者在个人信息相关管理活动、行为中管理所产生的涉及个人信息相关的任何文档。

本文件涉及DB21/T1628系列标准规范的所有个人信息管理相关文档，包括组织、管理机制、管理策略、内审、过程管理、过程改进等个人信息安全管理体系相关的各类材料等，及个人信息生命周期相关联的所有文档等。

在个人信息管理过程中，在个人信息安全管理体系构建、实施、运行中，负有个人信息管理相关职能、责任的相关责任主体，应遵从DB21/T1628.110.5.4，特别关注管理活动和行为相关的记录、文件等，以便有效管理文档。

6文档管理计划

2

应在制定个人信息管理计划时制定相应的文档管理计划：

a)明确个人信息管理文档的类型、分布、存在形态、存储（保存）方式等物理形式；

b)明确个人信息相关文档的分类、分级及相关安全等级、访问权限；

c)明确个人信息管理相关文档的管理形式、策略、方法等；

d)明确个人信息假名化后的文档处理方式；

e)明确个人信息匿名化后的相关文档处理方式；

f)明确个人信息跨境收集、处理、使用相关文档的特定处理方式；

g)明确个人信息管理相关文档管理的基础准备，包括相关资源等；

h)识别、组织个人信息管理相关文档的策略；

i)评估个人信息管理文档的管理风险及措施、方法；

j)评估个人信息管理文档的管理效果；

k)评估个人信息管理文档的管理计划实施效果等。注1：个人信息管理文档管理计划应由个人信息管理机构制定。

7文档管理

7.1责任主体

个人信息管理代表应指定个人信息管理相关文档的管理责任主体：

a)责任主体应明确个人信息管理相关文档的管理职责，参照DB21/T1628.210.6.1；

b)责任主体应确定对个人信息管理相关文档实施管理所需资源的可靠性、安全性、可用性；

c)责任主体应确定所管理的个人信息管理相关文档质量的可靠性、可用性；

d)责任主体应做出安全承诺，避免个人信息管理相关文档遗失等责任事故等。7.2管理制度

应建立个人信息管理相关文档的管理制度，主要应包括：

a)责任主体的职责；

b)个人信息管理文档存储（保存）规定；

c)个人信息跨境收集、处理相关文档管理规定；

d)个人信息假名化相关文档管理规定；

e)个人信息匿名化相关文档的管理规定；

f)个人信息数据库相关文档管理规定；

g)个人信息管理文档质量要求；

h)个人信息管理文档使用规定；

i)备案管理；

j)责任事故处理；

k)其它必要的规定。7.3管理边界

应确定个人信息管理相关文档的管理边界：

a)纵向：个人信息管理者最高管理层与管理、业务层相关的个人信息管理文档；

b)纵向：管理、业务层与全体员工相关的个人信息管理文档；

c)横向：部门之间涉及个人信息的所有文档；

3

d)外部：与客户、社会组织之间相关的所有个人信息文档；

e)个人：员工个人保有的自身个人信息或他人个人信息相关文档等。7,4管理目录

7.4.1内容

依据DB21/T1628.110.5.4，个人信息管理相关文档主要应包括：

a)最高管理者签发的各种个人信息管理相关的文件，如任命书、执行计划等；

b)个人信息管理机构发布的各种文件，如计划、规章、方针、职能等；

c