GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南
Information security technology – Guidance for personal information security impact assessment
主要内容
主要内容包括:
明确了个人信息安全影响评估的概念,即针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
- 开展评估前,需对待评估的对象进行全面的调研,形成清晰的数据清单及数据映射图表,并梳理出待评估的具体的个人信息处理活动。
- 开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。
- 评估准备阶段:确定评估的范围、组建评估团队、制定评估计划、编制评估检查清单等,明确评估的目标、对象、范围和方法,为后续评估工作提供指导和依据。
- 评估实施阶段:包括数据映射分析、个人权益影响分析、事件可能性分析。数据映射分析是对个人信息处理活动进行分类和描述;个人权益影响分析从限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损等四个维度评估对个人权益的影响;事件可能性分析则从网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势等方面评估安全事件发生的可能性。
- 评估报告阶段:根据评估结果编制评估报告,内容包括评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。
- 评估规模:取决于受到影响的个人信息主体范围、数量和受影响的程度,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等都是重要因素。
- 评估方法:包括访谈、检查、测试等。访谈对象涵盖产品经理、研发工程师、个人信息保护负责人等多类人员;检查对象为管理制度、安全策略和机制等;测试对象为安全控制机制,如访问控制、身份识别和验证等。
- 评估工作形式:分为自评估和检查评估两种形式,自评估可由本组织开展或委托外部专业组织,检查评估由上级组织发起也可委托外部专业组织开展。
针对处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息等特定场景,给出了评估要点提示。
术语和定义
1 个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
2 个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
3 个人信息主体 personal information subject
个人信息所标识或者关联的自然人
4 个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
暂无评论内容