信息安全技术 个人信息安全影响评估指南.docx

《信息安全技术 个人信息安全影响评估指南.docx》由会员分享，可在线阅读，更多相关《信息安全技术 个人信息安全影响评估指南.docx（26页珍藏版）》请在优知文库上搜索。

1、目次前言I1 范围12 规范性引用文件14评估原理24.1 廨24.3 彳古M-Il余24.4 评估责任主体34.5 评估基本原理34.6 评估实施需考虑的要素35评估实施流程45.1 评估必要性分析45.3 数据映射分析75.4 风识别75.5 个人权益影岫分析95.6 安全风险综合分析105.8 风险处置和持续改进115.9 IaaHJ*aaaa*aa11附录A（资料性附录）评估性合规的示例及评估要点12附录B（资料性附录）高风险的个人信息处理活动示例14附录C（资料性附录）个人信息安全影响评估常用工具表16附录D（资料性附录）个人信息安全影响评估参考方法19参考文献23本标准按照GB/T

2、1.12009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国电子技术标准化研究院、四川大学、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技（杭州）有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想（北京）有限公司、清华大学、阿里巴巴（北京）软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心。本标

3、准主要起草人：洪延青、何延哲、胡影、高强裔、陈湘、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顽伟、白利芳、白髅、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡。信息安全技术个人信息安全影响评估指南1诞本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作，同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日

4、期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T250692010信息安全技术术语GB/T352732020信息安全技术个人信息安全规范3术语和定义GB/T250692010.GB/T352732020界定的以及下列术语和定义适用于本文件。3.1个人信息PelSOWinfOrmafon以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。GB/T352732020,定义3.13.2个人敏感信息PerSonalSenSi加information一旦泄露、非法提供或滥用可能危害人

5、身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。GB/T352732020,定义3.23.3个人信息主体Personalinfonnationsubject个人信息所标识或者关联的自然人。GB/T352732020,定义3.33.4个人信息安全影响评估Persorwofmafonsecurityimpadassessment针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。4评估原理4.1 隧个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造

6、成不利影响的风险。4.2 开展评估的价值实施个人信息安全影响评估，能够有效加强对个人信息主体权益的保护，有利于组织对外展示其保护个人信息安全的努力，提升透明度，增进个人信息主体对其的信任。包括：a）在开展个人信息处理前，组织可通过影响评估，识别可能导致个人信息主体权益遭受损害的风险，并据此采用适当的个人信息安全控制措施。b）对于正在开展的个人信息处理，组织可通过影响评估，综合考虑内外部因素的变化情况，持续修正已采取的个人信息安全控制措施，确保对个人合法权益不利影响的风险处于总体可控的状态。c）个人信息安全影响评估及其形成的记录文档，可帮助组织在政府、相关机构或商业伙伴的调三,执法、合规性审计等

7、中，证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。d）在发生个人信息安全事件时，个人信息安全影响评估及其形成的记录文档，可用于证明组织已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除组织相关责任和名誉损失。e）组织可通过个人信息安全影响评估，加强对员工的个人信息安全教育。参与评估之中，员工能熟悉各种个人信息安全风险，增强处置风险的能力。f）对合作伙伴，组织通过评估的实际行动表明其严肃对待个人信息安全保护，并引导其能够采取适当的安全控制措施，以达到同等或类似的安全保护水平。4.3 评估报告的用途个人信息安全影响评估报告的内容主要包括：评估所覆盖的业务场景、业务场

8、景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。因此，个人信息安全影响评估报告的用途包括但不限于：a）对于个人信息主体，评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护，并使个人信息主体能够判断是否有剩余风险尚未得到处置。b）对于开展影响评估的组织，评估报告的用途可能包括：1） 在产品、服务或项目的规划阶段，用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求（例如，安全机制的可实现性、可行性、可追踪性等）；2）在产品、服务或项目的运营过程中，用于判断运营的内外部因素（例如运营团队的变动、互联网安全环境、

9、信息共享的第三方安全控制能力等）、法律法规是否发生实质变更，是否需要对影响评估结果进行审核和修正；3） 用于建立责任制度，监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施，改善或消除已识别的风险；4） 用于提升内部员工的个人信息安全意识。C）对于主管监管部门，要求组织提供个人信息安全影响评估报告，可督促组织开展评估并采取有2效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时，主管监管部门可通过影响评估报告了解相关情况，或将报告作为相关证据。d）对于开展影响评估的组织的合作伙伴，用于整体了解其在业务场景中的角色和作用，以及其应具体承担的个人信息保护工作和责任。4.

10、4 评估责任主体组织指定个人信息安全影响评估的责任部门或责任人员，由其负责个人信息安全影响评估工作流程的制定、实施、改进，并对个人信息安全影响评估工作结果的质量负责。该责任部门或人员具有独立性，不受到被评估方的影响。通常，组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。组织内的责任部门可根据部门的具体能力配备情况，选择自行开展个人信息安全影响评估工作，或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。对于具体的产品、服务或项目，由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行，并给予相应支持。当由组织自行进行个人信息安全影响评

11、估时，主管监管部门和客户可要求独立审计来核证影响评估活动的合理性和完备性。同时，该组织允许主管监管部门对影响评估流程以及相关信息系统或程序进行取证。4.5 评估基本原理个人信息安全影响评估的基本原理如图1。图1评估原理示意图开展评估前，需对待评估的对象（可为某项产品、某类业务、某项具体合作等）进行全面的调研，形成清晰的数据清单及数据映射图表（dataflowChartS）,并梳理出待评估的具体的个人信息处理活动。开展评估时，通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度，以及分析安全措施是否有效、是否会导致安全事件发生及其可能性，综合两方面结果得出个人信息处理活动的安全风险

12、及风险等级，并提出相应的改进建议，形成评估报告。4.6 评估实施需考虑的要素4.6.1 评估规模个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围、数量和受影响的程度。通常，组织在实施该类个人信息安全影响评估时，个人信息的类型、敏感程度、数量，涉及个人信息主体的范围和数量，以及能访问个人信息的人员范围等，都会成为影响评估规模的重要因素。4.6.2 评估方法评估实施过程中采用的基本评估方法，包括但不限于以下三种：a）访谈：指评估人员对相关人员进行谈话，以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人

13、、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。b）检杳：指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、直验、分析，以便理解、分析或取得证据的过程。检杳的对象为规范、机制和活动，如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。c）测试：指评估人员通过人工或自动化安全测试工具进行技术测试，获得相关信息，并进行分析以便获取证据的过程。测试的对象为安全控制机制，如访问控制、身份识别和验证、安全审计机制、传输链路和保存

14、加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。4.6.3 评估工作形式从实施主体来区分，个人信息安全影响评估分为自评估和检查评估两种形式。自评估是指组织自行发起对其个人信息处理行为的评估，自评估可以由本组织指定专门负责评估、审计的岗位或角色开展，也可以委托外部专业组织开展评估工作。检查评估是指组织的上级组织发起的个人信息安全影响评估工作。上级组织是对组织有直接领导关系或负有监督管理责任的组织。检查评估也可以委托外部专业组织开展评估。在确定评估规模，选定评估方法、评估工作形式后，评估实施的具体流程可参照第5章内容。5评估实施流程5.1 评估必要性分析5.1.1 个人信

15、息安全影响评估可用于合规差距分析，也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。因此启动个人信息安全影响评估的必要性，取决于组织的个人信息安全目标，组织可根据实际的需求选取需要启动评估的业务场景。5.1.2 合规差距评估5.1.2.1 屣当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时，则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施，与相关法律、法规或标准的具体要求之间的差距，例如在某业务场景中与第三方共享个人信息，是否取得了个人信息主体的明5.1 .2.2整体合规分析组织可根据所适用的个人信息保护相关法律、法规、政策及标准，分析特定产品或服务所涉及的全部个人信息处理活动与所适用规则的差距。该评估方式的应用场景包括但不限于以下情形：产品或服务的年度整体评估；新产品或新服务（不限技术平台）设计阶段评估；新产品或新服务（不限技术平台）上线初次评估；法律法规、政策、标准等出现重大变化时重新评估；业务模式、互联网安全环境、外部环境等发生重大变化的重新评估；发生重大个人信息安全事件后重新评估；发生收购、兼并、重组