《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)是2020年3月1日實施的一項中華人民共和國國家標準,歸口於全國信息技術標準化技術委員會。
《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)規定了信息技術外包服務中數據保護所涉及的數據生命周期、數據主體權利、數據管理者、數據管理、管理機制、數據獲取、數據處理、安全管理、過程管理、應急管理等方面的基本規則和要求。該標準適用於選擇和提供IT服務、評價和認定IT服務提供能力的組織等。其他組織可參照執行。
基本介紹
- 中文名:信息技術服務—外包—第2部分:數據保護要求
- 外文名:Information technology service—Outsourcing—Part 2:Data protection requirements
- 標準號:GB/T 33770.2-2019
- 發布日期:2019-08-30
- 實施日期:2020-03-01
- 標準類別:基礎
- 中國標準分類號:L77
- 國際標準分類號:35.080
- 歸口單位:全國信息技術標準化技術委員會
- 執行單位:全國信息技術標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,制定背景,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
制定背景
隨著信息技術的發展,數據收集、處理,愈加方便、容易,大量涉及個人隱私、商業秘密的信息,可以輕易地隨時通過網路獲取。中國在個人信息、商業數據(包括智慧財產權相關信息)的收集、處理、傳輸、交換過程中,缺乏基本的規範和標準,將阻斷其有序、規範、合法的跨國界自由流動,影響信息服務業務的開展,成為影響、制約信息服務發展的新的貿易壁壘。因此,制定了國家標準《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)。
編制進程
- 標準計畫
2016年1月4日,國家標準計畫《信息技術服務—外包—第2部分:數據保護要求》(20153681-T-469)下達,項目周期24個月,由TC28(全國信息技術標準化技術委員會)提出並歸口上報,TC28SC40(全國信息技術標準化技術委員會信息技術服務分會)執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2019年8月30日,國家標準《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2020年3月1日,國家標準《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)實施。
制定依據
國家標準《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫規則》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:大連軟體行業協會、大連華信計算機技術股份有限公司、東軟集團股份有限公司、成都市大數據中心、北京護航科技股份有限公司、廣州賽寶認證中心服務有限公司、中國電子技術標準化研究院、金稅信息技術服務股份有限公司、上海北宙企業管理諮詢有限公司、上海有孚網路股份有限公司、北京信城通數碼科技有限公司、廣州番禺職業技術學院、上海三零衛士信息安全有限公司、神州數碼系統集成服務有限公司、上海寶信軟體股份有限公司、昆明東電科技有限公司、東軟睿道教育信息技術有限公司、江蘇潤和軟體股份有限公司、文思海輝技術有限公司。
主要起草人:郎慶斌、尹宏、劉宏、高昕、陳錫民、趙振文、但強、於浩、梁曉雁、丁宗安、熊健淞、職亮亮、劉頲、張樹玲、劉亭杉、杜遠、唐百惠、王偉、鄔敏華、李陽、鄭義、王斌斌、萬啟東、徐瑤、謝尚飛、韓沫、邵峰、董雷、宋悅、王鑫。
標準目次
| 前言 | Ⅲ |
|---|---|
| 引言 | Ⅴ |
| 1範圍 | 1 |
| 2規範性引用檔案 | 1 |
| 3術語和定義 | 1 |
| 4縮略語 | 3 |
| 5數據生命周期 | 3 |
| 6數據主體權利 | 4 |
| 7數據管理者 | 5 |
| 8數據管理 | 6 |
| 9管理機制 | 11 |
| 10數據獲取 | 14 |
| 11數據處理 | 15 |
| 12安全管理 | 17 |
| 13過程管理 | 19 |
| 14應急管理 | 20 |
| 15例外 | 21 |
| 16管理評價 | 21 |
| 附錄A(規範性附錄)數據管理相關資源 | 22 |
| 參考文獻 | 23 |
參考資料:
內容範圍
《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)規定了信息技術外包服務中數據保護所涉及的數據生命周期、數據主體權利、數據管理者、數據管理、管理機制、數據獲取、數據處理、安全管理、過程管理、應急管理等方面的基本規則和要求。該標準適用於選擇和提供IT服務、評價和認定IT服務提供能力的組織等。其他組織可參照執行。
引用檔案
GB/T 22080 信息技術—安全技術—信息安全管理體系要求 | GB/T 22081 信息技術—安全技術—信息安全管理實用規則 |
參考資料:
意義價值
《信息技術服務—外包—第2部分:數據保護要求》(GB/T 33770.2-2019)有利於提高全社會,特別是信息服務外包組織的數據(包括個人信息和商業數據)保護意識,規範數據管理和使用,維護數據所有人的基本權益,構建數據管理體系,為信息服務企業建立數據管理規制提供可供參考的依據,提高其數據管理能力和數據安全,規範管理水平和質量。
