DB21∕T 2565-2016 快递行业个人信息安全管理实施指南

ICS35.020L70DB21辽宁省地方标准DB21/T2565—2015快递行业个人信息安全管理实施指南IExpressIndustry–GuidelineofPersonalInformationSecurityManagementOperation2016-01-11发布2016-03-11实施辽宁省质量技术监督局发布DB21/T2565—2016I目次前言.............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语、定义和缩略语................................................................13.1术语和定义....................................................................13.2缩略语........................................................................34总体原则..........................................................................34.1遵循个人信息管理原则和保障个人信息主体权利....................................34.2建立和管理PISMS...............................................................34.3建立协调保护机制..............................................................35个人信息安全管理体系（PISMS）.....................................................45.1个人信息保护方针..............................................................45.2组织与责任....................................................................45.3管理制度......................................................................45.4宣传和培训教育................................................................45.5内审..........................................................................45.6客户意见处理..................................................................55.7事故处理......................................................................55.8持续改进......................................................................56个人信息管理过程..................................................................56.1个人信息范围..................................................................56.2管理环节......................................................................56.3收集..........................................................................56.4使用..........................................................................66.5处理..........................................................................66.6提供..........................................................................76.7委托..........................................................................76.8后处理........................................................................76.9建立个人信息管理台帐..........................................................87安全管理措施......................................................................87.1组织要求......................................................................87.2人员要求......................................................................87.3物理安全要求..................................................................87.4技术安全要求..................................................................8DB21/T2565—2016II7.5风险管理......................................................................87.6其它..........................................................................88法律例外..........................................................................9DB21/T2565—2016III前言本标准是依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构与编写》给出的规则制定的。本标准由大连市经济和信息化委员会提出。本标准由大连市质量技术监督局归口。本标准主要起草单位：大连市首席信息官协会、大连市经济和信息化委员会、大连邮政管理局、辽宁省信息安全与软件测评认证中心、大连顺丰速运有限公司、大连通圆速递有限公司、沈阳昌盛中通速递服务有限公司、大连申通速达快递有限公司、大连韵必达装卸服务有限公司。本标准主要起草人：郭玉梅、曹剑、董晶、牛金辉、杨飞、杨万清、司丹、杨莉、常伟、伦健、吴江宁、刘冰、栾敬钊、姜学朴。DB21/T2565—20161快递行业个人信息安全管理实施指南1范围本标准规定了快递行业个人信息保护的总体原则、个人信息安全管理体系（PISMS）、个人信息管理过程、安全管理措施和法律例外。本标准适用于辽宁省行政区域内依法注册并提供快递服务的各类组织对于个人信息的安全管理。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB/T27917.1—2011快递服务第1部分基本术语GB/T27917.2—2011快递服务第2部分组织要求GB/Z28828—2012信息安全技术公共及商用服务信息系统个人信息保护指南DB21/T1628.1—2012信息安全个人信息保护规范ISO/IEC27001:2005信息安全管理体系要求3术语、定义和缩略语3.1术语和定义GB/T27917.1—2011和DB21/T1628.1—2012界定的及下列术语和定义适用于本文件。为了便于使用，以下重复列出了GB/T27917.1-2011和DB21/T1628.1—2012中部分术语和定义。3.1.1快递服务组织在中国境内依法注册的，提供快递服务的公司及其加盟商、代理商。注：改写GB/T27917.1—2011,基础概念2.23.1.2快递服务在承诺的时限内快速完成的寄递服务。[GB/T27917.1—2011,基础概念2.2]3.1.3快递运单（快件详情单）用于记录快件原始收寄信息及服务约定的单据。[GB/T27917.1—2011,服务要素4.3.1]DB21/T2565—201623.1.4个人信息与特定个人相关、可识别该个人的信息，如数据、图像、声音等，包括不能直接确认，但与其它相关信息对照、参考、分析仍可间接识别特定个人的信息。[DB/T1628.1—2012,定义2.1.1]3.1.5快递用户信息是指寄件人在使用寄递服务过程中的个人信息，包括寄（收）件人的姓名、地址、身份证件号码、电话号码、单位名称，以及快递详情单号、时间、物品明细等内容。3.1.6个人信息数据库实现一定的目的，按照某种规则组织的个人信息的集合体。包括：可以通过自动处理检索特定的个人信息的集合体，如磁介质、电子及网络媒介等；可以采用非自动处理方式检索、查阅特定的个人信息的集合体，如纸介质，声音，照片等；除前2项外，法律规定的可检索特定个人信息的集合体。[DB21/T1628.1—2012，定义2.1.2]3.1.7个人信息处理自动或非自动处置个人信息的过程，如录入、编辑、存储、检索、交换、传输、输出等及其它使用行为或活动。[DB21/T1628.1—2012，定义2.1.8]3.1.8从业人员在营业场所、快件处理场所、呼叫中心从事上门揽收快件、投递快件工作的收派员；从事快件分拣、封发、转运等工作的处理员；从事受理收寄、查询、投诉、索赔等申请或业务咨询、运单录入等工作的客服人员和其它涉及个人信息岗位的人员。注：改写GB/T27917.1-2011，服务要素4.2。3.1.9风险管理指导和控制一个组织相关风险的协调活动。[ISO/IEC27001:2005，定义3.14]3.1.10信息系统由计算机（含移动通信终端）及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。[GB/Z28828—2012，定义3.1]DB21/T2565—201633.1.11后处理指对个人信息处理、使用后保存和销毁方式。3.1.12汇总记录是个人信息管理总帐，记录当前业务中处理的个人信息种类（如快递用户信息、员工个人信息、应聘人员信息等），描述每类个人信息的管理（收集、保管、销毁）情况。3.1.13分类记录是个人信息管理明细帐，应按个人信息类别建立保管记录，在收集个人信息时启用，用于记录每笔个人信息的收集时间、保管状况等信息。3.1