信息安全技术 个人信息安全影响评估指南.docx
《信息安全技术 个人信息安全影响评估指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术 个人信息安全影响评估指南.docx(26页珍藏版)》请在优知文库上搜索。
1、目次前言I1 范围12 规范性引用文件14评估原理24.1 廨24.3 彳古M-Il余24.4 评估责任主体34.5 评估基本原理34.6 评估实施需考虑的要素35评估实施流程45.1 评估必要性分析45.3 数据映射分析75.4 风识别75.5 个人权益影岫分析95.6 安全风险综合分析105.8 风险处置和持续改进115.9 IaaHJ*aaaa*aa11附录A(资料性附录)评估性合规的示例及评估要点12附录B(资料性附录)高风险的个人信息处理活动示例14附录C(资料性附录)个人信息安全影响评估常用工具表16附录D(资料性附录)个人信息安全影响评估参考方法19参考文献23本标准按照GB/T
2、1.12009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、四川大学、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心。本标
3、准主要起草人:洪延青、何延哲、胡影、高强裔、陈湘、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顽伟、白利芳、白髅、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡。信息安全技术个人信息安全影响评估指南1诞本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日
4、期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T250692010信息安全技术术语GB/T352732020信息安全技术个人信息安全规范3术语和定义GB/T250692010.GB/T352732020界定的以及下列术语和定义适用于本文件。3.1个人信息PelSOWinfOrmafon以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。GB/T352732020,定义3.13.2个人敏感信息PerSonalSenSi加information一旦泄露、非法提供或滥用可能危害人
5、身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。GB/T352732020,定义3.23.3个人信息主体Personalinfonnationsubject个人信息所标识或者关联的自然人。GB/T352732020,定义3.33.4个人信息安全影响评估Persorwofmafonsecurityimpadassessment针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。4评估原理4.1 隧个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造
6、成不利影响的风险。4.2 开展评估的价值实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:a)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。b)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。c)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调三,执法、合规性审计等
7、中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。d)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。e)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。f)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。4.3 评估报告的用途个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 个人信息安全影响评估指南 信息 安全技术 个人信息 安全 影响 评估 指南