GB/T 39335-2020
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 39335-2020.Information security technology-Guidance for personal information security impact assessment.
1范围
GB/T 39335给出了个人信息安全影响评估的基本原理、实施流程。
GB/T 39335适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984信息安全技术 信 息安全风险评估规范
GB/T 25069-2010信息安全技术 术语
GB/T 35273-2020信息安全技术 个人信息安全规范 .
3术语和定义
GB/T 25069-2010、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T 35273-2020,定义 3.1]
3.2
个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[GB/T 35273-2020,定义3.2]
3.3
个人信息主体 personal information subject
个人信息所标识或者关联的自然人。
[GB/T 35273-2020,定 义3.3]
3.4
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
1范围
GB/T 39335给出了个人信息安全影响评估的基本原理、实施流程。
GB/T 39335适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984信息安全技术 信 息安全风险评估规范
GB/T 25069-2010信息安全技术 术语
GB/T 35273-2020信息安全技术 个人信息安全规范 .
3术语和定义
GB/T 25069-2010、GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T 35273-2020,定义 3.1]
3.2
个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[GB/T 35273-2020,定义3.2]
3.3
个人信息主体 personal information subject
个人信息所标识或者关联的自然人。
[GB/T 35273-2020,定 义3.3]
3.4
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T39335—2020
信息安全技术此内容来自标准下载网
个人信息安全影响评估指南
Information security technology—Guidance for personal information security impact assessment2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
GB/T39335—2020
规范性引用文件
术语和定义
评估原理
开展评估的价值
评估报告的用途
评估责任主体
评估基本原理
评估实施需考虑的要素
5评估实施流程
评估必要性分析
评估准备工作
数据映射分析
风险源识别
个人权益影响分析
安全风险综合分析…
评估报告
风险处置和持续改进,
制定报告发布策略
附录A(资料性附录)
评估性合规的示例及评估要点
附录B(资料性附录)高风险的个人信息处理活动示例.….附录C(资料性附录)个人信息安全影响评估常用工具表附录D(资料性附录)个人信息安全影响评估参考方法·:参考文献
本标准按照GB/T1.1一2009给出的规则起草GB/T39335—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、四川大学、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心。本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈活、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、干伟光、贾雪飞、冯坚坚、朱信铭、干艳红、李怡。1范围
信息安全技术
个人信息安全影响评估指南
本标准给出了个人信息安全影响评估的基本原理、实施流程。GB/T39335—2020
本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用干本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用干本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T25069—2010信息安全技术术语信息安全技术个人信息安全规范GB/T35273—20201
3术语和定义
GB/T25069—2010、GB/T35273—2020界定的以及下列术语和定义适用干本文件。3.1
个人信息personalinformation
以申子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T35273—2020,定义3.1]
个人敏感信息
personalsensitiveinformation一日泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[GB/T35273—2020,定义3.2]3.3
个人信息主体
personal information subject个人信息所标识或者关联的自然人。[GB/T35273—2020定义3.3]
个人信息安全影响评估personalinformationsecurityimpactassessment针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。1
GB/T39335—2020
4评估原理
4.1概述
个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。
4.2开展评估的价值
实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:a)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。b)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。
c)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
d)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、其至免除组织相关责任和名誉损失。
e)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。f)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信点安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。4.3评估报告的用途
个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。
因此,个人信息安全影响评估报告的用途包括但不限于:a)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。b)对于开展影响评估的组织,评估报告的用途可能包括:1)在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互2)
联网安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措3)
施,改善或消除已识别的风险;4)用于提升内部员工的个人信息安全意识。c)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有2
GB/T39335—2020
效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据d)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信保护工作和责任。4.4评估责任主体
组织指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全影响评估工作流程的制定、实施、改进,并对个人信息安全影响评估工作结果的质量负责。该责任部门或人员具有独立性,不受到被评估方的影响。通常,组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。
组织内的责任部门可根据部门的具体能力配备情况,选择自行开展个人信息安全影响评估工作,或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。对于具体的产品、服务或项目,由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行,并给予相应支持。当由组织自行进行个人信息安全影响评估时,主管监管部门和客户可要求独立审计来核证影响评估活动的合理性和完备性。同时,该组织允许主管监管部门对影响评估流程以及相关信息系统或程序进行取证。
4.5评估基本原理
个人信息安全影响评估的基本原理如图1。个人权益影响分析
数据映射分析
待评估的个人信息处
理活动
安全保护措施有效性
图1评估原理示意图
个人权益
影响程度
安全事件可能性
风险级别
开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(dataflowcharts),并梳理出待评估的具体的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。4.6评估实施需考虑的要素
4.6.1评估规模
个人信息安全影响评估的规模往往取决干受到影响的个人信息主体范围、数量和受影响的程度。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体3
GB/T39335—2020
的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。4.6.2评估方法
评估实施过程中采用的基本评估方法,包括但不限于以下三种:a)访谈:指评估人员对相关人员进行谈话,以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。b)检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程。检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等c)测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。
4.6.3评估工作形式
从实施主体来区分,个人信息安全影响评估分为自评估和检查评估两种形式。自评估是指组织自行发起对其个人信息处理行为的评估,自评估可以由本组织指定专门负责评估、审计的岗位或角色开展,也可以委托外部专业组织开展评估工作。检查评估是指组织的上级组织发起的个人信息安全影响评估工作。上级组织是对组织有直接领导关系或负有监督管理责任的组织。检查评估也可以委托外部专业组织开展评估。在确定评估规模,选定评估方法、评估工作形式后,评估实施的具体流程可参照第5章内容。5评估实施流程
5.1评估必要性分析
5.1.1概述
个人信息安全影响评估可用于合规差距分析,也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。因此启动个人信息安全影响评估的必要性,取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。5.1.2合规差距评估
5.1.2.1概述
当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时,则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距,例如在某业务场景中与第三方共享个人信息,是否取得了个人信息主体的明示同意。
5.1.2.2整体合规分析
组织可根据所适用的个人信息保护相关法律、法规、政策及标准,分析特定产品或服务所涉及的全部个人信息处理活动与所适用规则的差距。该评估方式的应用场景包括但不限于以下情形:4
产品或服务的年度整体评估;
新产品或新服务(不限技术平台)设计阶段评估:b)
新产品或新服务(不限技术平台)上线初次评估:法律法规、政策、标准等出现重大变化时重新评估:业务模式、互联网安全环境、外部环境等发生重大变化的重新评估;发生重大个人信息安全事件后重新评估;f)
发生收购、兼并、重组等情形开展评估。5.1.2.3
3局部合规分析
GB/T39335—2020
组织可根据所适用的个人信息保护相关法律、法规、政策及标准,对特定产品或服务所涉及的部分个人信息处理活动与所适用规则的差距进行分析。该评估方式的应用场景包括但不限干以下情形:a)新增功能需要收集新的个人信息类型时的评估;法律、法规、政策、标准出现部分变化时的评估;b)
业务模式、信息系统、运行环境等发生变化时评估。c)
5.1.2.4评估性合规要求分析
部分个人信息保护相关的法律、法规、标准的规定提出了评估性合规要求。这类规定并没有针对特定的个人信息处理活动提出明确、具体的安全控制措施,而是要求组织针对特定个人信息处理活动,专门开展风险评估,并采取与风险程度相活应的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。评估性合规要求往往针对的是对个人权益有重大影响的个人信息处理活动,例如处理个人敏感信息、使用自动化决策方式处理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息等。针对此类规定,组织可使用本指南提供的个人信息安全影响评估方法进行评估,保证个人信息处理活动的安全风险可控,以符合相应的法律、法规、标准的要求。注:评估性合规要求分析示例及具体评估要点可参考附录A。5.1.3尽责性风险评估
出干审慎经营、声誉维护、品牌建立等目的,组织往往选取可能对个人合法权益产生高风险的个人信处理活动,开展尽责性风险评估。此种风险评估的目标,是在符合相关法律、法规和标准的基线要求之上,尽可能降低对个人信息主体合法权益的不利影响。注:高风险个人信息处理活动示例可参考附录B。组织可使用本标准提供的个人信息安全影响评估方法,对高风险个人信息处理活动进行评估,进一步降低个人信息处理活动的安全风险。5.2评估准备工作
5.2.1组建评估团队
组织确认并任命负责进行个人信息安全影响评估的人员(评估人)。此外,组织还要指定人员负责签署评估报告。
评估人明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会公布评估报告或其摘要。
如有必要评估人需申请团队支持,例如由技术部门、相关业务部门及法律部门的代表构成的团队。组织内部个人信息安全影响评估需要组织管理层给予长期支持。5
GB/T39335—2020
管理层需为个人信息安全影响评估团队配置必要资源。5.2.2制定评估计划
计划需清楚规定完成个人信息安全影响评估报告所进行的工作、评估任务分工、评估计划表。此外,计划还需考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面:a)人员、技能、经验及能力;
b)执行各项任务所需时间;
c)进行评估每一步骤所需资源,如自动化的评估工具等。注:涉及的场景复杂、耗用资源多时,建议对原有方案进行更新迭代,针对常规评估活动或涉及待评估场景复杂度低等情形时,可沿用原有计划或简化该步骤,如涉及相关方咨询,计划需说明在何种情况下需要咨询相关方、将咨询哪些人员以及具体的咨询方式(例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等)。5.2.3确定评估对象和范围
从以下三个方面描述评估的对象和范围:a)描述系统基本信息,包括但不限于:1)
处理个人信息的目的和类型;
对支撑当前或未来业务流程的信息系统的描述;履行信息系统管理职责的部门或相关人员,以及其职责或履行水平;3)
关于个人信息处理方式、处理范围的说明、有权访问个人信息的角色等;如预计委托第三方处理,或与第三方共享、转让信息系统的个人信息,说明上述第三方身5)
份、第三方接入信息系统的情况等。b)描述系统设计信息,包括但不限干:1)功能(或逻辑)结构概览;
物理结构概览;
包含个人信息的信息系统数据库、表格和字段的清单和结构:按组件和接口划分的数据流示意图;个人信息生命周期的数据流示意图,例如个人信息的收集、存储、使用和共享等;描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图;
可对外传输个人信息的接口清单;7)
8)个人信息处理过程中的安全措施。c)描述处理流程和程序信息,包括但不限于:1)信息系统的身份与用户管理概念;操作概念,包括信息系统或其中部分结构采用现场运行、外部托管,或云外包的方式;2)
支持概念,包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可3)
访问个人信息的位置等;
记录概念,包括已登人信息的保存计划;备份与恢复计划;
元数据的保护与管理;
数据保存与删除计划及存储介质的处置。5.2.4
制定相关方咨询计划
相关方包括但不限于:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T39335—2020
信息安全技术此内容来自标准下载网
个人信息安全影响评估指南
Information security technology—Guidance for personal information security impact assessment2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
GB/T39335—2020
规范性引用文件
术语和定义
评估原理
开展评估的价值
评估报告的用途
评估责任主体
评估基本原理
评估实施需考虑的要素
5评估实施流程
评估必要性分析
评估准备工作
数据映射分析
风险源识别
个人权益影响分析
安全风险综合分析…
评估报告
风险处置和持续改进,
制定报告发布策略
附录A(资料性附录)
评估性合规的示例及评估要点
附录B(资料性附录)高风险的个人信息处理活动示例.….附录C(资料性附录)个人信息安全影响评估常用工具表附录D(资料性附录)个人信息安全影响评估参考方法·:参考文献
本标准按照GB/T1.1一2009给出的规则起草GB/T39335—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、四川大学、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心。本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈活、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、干伟光、贾雪飞、冯坚坚、朱信铭、干艳红、李怡。1范围
信息安全技术
个人信息安全影响评估指南
本标准给出了个人信息安全影响评估的基本原理、实施流程。GB/T39335—2020
本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用干本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用干本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T25069—2010信息安全技术术语信息安全技术个人信息安全规范GB/T35273—20201
3术语和定义
GB/T25069—2010、GB/T35273—2020界定的以及下列术语和定义适用干本文件。3.1
个人信息personalinformation
以申子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T35273—2020,定义3.1]
个人敏感信息
personalsensitiveinformation一日泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[GB/T35273—2020,定义3.2]3.3
个人信息主体
personal information subject个人信息所标识或者关联的自然人。[GB/T35273—2020定义3.3]
个人信息安全影响评估personalinformationsecurityimpactassessment针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。1
GB/T39335—2020
4评估原理
4.1概述
个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。
4.2开展评估的价值
实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:a)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。b)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。
c)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。
d)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、其至免除组织相关责任和名誉损失。
e)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。f)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信点安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。4.3评估报告的用途
个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。
因此,个人信息安全影响评估报告的用途包括但不限于:a)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。b)对于开展影响评估的组织,评估报告的用途可能包括:1)在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互2)
联网安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措3)
施,改善或消除已识别的风险;4)用于提升内部员工的个人信息安全意识。c)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有2
GB/T39335—2020
效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据d)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信保护工作和责任。4.4评估责任主体
组织指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全影响评估工作流程的制定、实施、改进,并对个人信息安全影响评估工作结果的质量负责。该责任部门或人员具有独立性,不受到被评估方的影响。通常,组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。
组织内的责任部门可根据部门的具体能力配备情况,选择自行开展个人信息安全影响评估工作,或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。对于具体的产品、服务或项目,由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行,并给予相应支持。当由组织自行进行个人信息安全影响评估时,主管监管部门和客户可要求独立审计来核证影响评估活动的合理性和完备性。同时,该组织允许主管监管部门对影响评估流程以及相关信息系统或程序进行取证。
4.5评估基本原理
个人信息安全影响评估的基本原理如图1。个人权益影响分析
数据映射分析
待评估的个人信息处
理活动
安全保护措施有效性
图1评估原理示意图
个人权益
影响程度
安全事件可能性
风险级别
开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(dataflowcharts),并梳理出待评估的具体的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险及风险等级,并提出相应的改进建议,形成评估报告。4.6评估实施需考虑的要素
4.6.1评估规模
个人信息安全影响评估的规模往往取决干受到影响的个人信息主体范围、数量和受影响的程度。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体3
GB/T39335—2020
的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。4.6.2评估方法
评估实施过程中采用的基本评估方法,包括但不限于以下三种:a)访谈:指评估人员对相关人员进行谈话,以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。b)检查:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析,以便理解、分析或取得证据的过程。检查的对象为规范、机制和活动,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等c)测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。
4.6.3评估工作形式
从实施主体来区分,个人信息安全影响评估分为自评估和检查评估两种形式。自评估是指组织自行发起对其个人信息处理行为的评估,自评估可以由本组织指定专门负责评估、审计的岗位或角色开展,也可以委托外部专业组织开展评估工作。检查评估是指组织的上级组织发起的个人信息安全影响评估工作。上级组织是对组织有直接领导关系或负有监督管理责任的组织。检查评估也可以委托外部专业组织开展评估。在确定评估规模,选定评估方法、评估工作形式后,评估实施的具体流程可参照第5章内容。5评估实施流程
5.1评估必要性分析
5.1.1概述
个人信息安全影响评估可用于合规差距分析,也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。因此启动个人信息安全影响评估的必要性,取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。5.1.2合规差距评估
5.1.2.1概述
当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时,则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距,例如在某业务场景中与第三方共享个人信息,是否取得了个人信息主体的明示同意。
5.1.2.2整体合规分析
组织可根据所适用的个人信息保护相关法律、法规、政策及标准,分析特定产品或服务所涉及的全部个人信息处理活动与所适用规则的差距。该评估方式的应用场景包括但不限于以下情形:4
产品或服务的年度整体评估;
新产品或新服务(不限技术平台)设计阶段评估:b)
新产品或新服务(不限技术平台)上线初次评估:法律法规、政策、标准等出现重大变化时重新评估:业务模式、互联网安全环境、外部环境等发生重大变化的重新评估;发生重大个人信息安全事件后重新评估;f)
发生收购、兼并、重组等情形开展评估。5.1.2.3
3局部合规分析
GB/T39335—2020
组织可根据所适用的个人信息保护相关法律、法规、政策及标准,对特定产品或服务所涉及的部分个人信息处理活动与所适用规则的差距进行分析。该评估方式的应用场景包括但不限干以下情形:a)新增功能需要收集新的个人信息类型时的评估;法律、法规、政策、标准出现部分变化时的评估;b)
业务模式、信息系统、运行环境等发生变化时评估。c)
5.1.2.4评估性合规要求分析
部分个人信息保护相关的法律、法规、标准的规定提出了评估性合规要求。这类规定并没有针对特定的个人信息处理活动提出明确、具体的安全控制措施,而是要求组织针对特定个人信息处理活动,专门开展风险评估,并采取与风险程度相活应的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。评估性合规要求往往针对的是对个人权益有重大影响的个人信息处理活动,例如处理个人敏感信息、使用自动化决策方式处理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息等。针对此类规定,组织可使用本指南提供的个人信息安全影响评估方法进行评估,保证个人信息处理活动的安全风险可控,以符合相应的法律、法规、标准的要求。注:评估性合规要求分析示例及具体评估要点可参考附录A。5.1.3尽责性风险评估
出干审慎经营、声誉维护、品牌建立等目的,组织往往选取可能对个人合法权益产生高风险的个人信处理活动,开展尽责性风险评估。此种风险评估的目标,是在符合相关法律、法规和标准的基线要求之上,尽可能降低对个人信息主体合法权益的不利影响。注:高风险个人信息处理活动示例可参考附录B。组织可使用本标准提供的个人信息安全影响评估方法,对高风险个人信息处理活动进行评估,进一步降低个人信息处理活动的安全风险。5.2评估准备工作
5.2.1组建评估团队
组织确认并任命负责进行个人信息安全影响评估的人员(评估人)。此外,组织还要指定人员负责签署评估报告。
评估人明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会公布评估报告或其摘要。
如有必要评估人需申请团队支持,例如由技术部门、相关业务部门及法律部门的代表构成的团队。组织内部个人信息安全影响评估需要组织管理层给予长期支持。5
GB/T39335—2020
管理层需为个人信息安全影响评估团队配置必要资源。5.2.2制定评估计划
计划需清楚规定完成个人信息安全影响评估报告所进行的工作、评估任务分工、评估计划表。此外,计划还需考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面:a)人员、技能、经验及能力;
b)执行各项任务所需时间;
c)进行评估每一步骤所需资源,如自动化的评估工具等。注:涉及的场景复杂、耗用资源多时,建议对原有方案进行更新迭代,针对常规评估活动或涉及待评估场景复杂度低等情形时,可沿用原有计划或简化该步骤,如涉及相关方咨询,计划需说明在何种情况下需要咨询相关方、将咨询哪些人员以及具体的咨询方式(例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等)。5.2.3确定评估对象和范围
从以下三个方面描述评估的对象和范围:a)描述系统基本信息,包括但不限于:1)
处理个人信息的目的和类型;
对支撑当前或未来业务流程的信息系统的描述;履行信息系统管理职责的部门或相关人员,以及其职责或履行水平;3)
关于个人信息处理方式、处理范围的说明、有权访问个人信息的角色等;如预计委托第三方处理,或与第三方共享、转让信息系统的个人信息,说明上述第三方身5)
份、第三方接入信息系统的情况等。b)描述系统设计信息,包括但不限干:1)功能(或逻辑)结构概览;
物理结构概览;
包含个人信息的信息系统数据库、表格和字段的清单和结构:按组件和接口划分的数据流示意图;个人信息生命周期的数据流示意图,例如个人信息的收集、存储、使用和共享等;描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图;
可对外传输个人信息的接口清单;7)
8)个人信息处理过程中的安全措施。c)描述处理流程和程序信息,包括但不限于:1)信息系统的身份与用户管理概念;操作概念,包括信息系统或其中部分结构采用现场运行、外部托管,或云外包的方式;2)
支持概念,包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可3)
访问个人信息的位置等;
记录概念,包括已登人信息的保存计划;备份与恢复计划;
元数据的保护与管理;
数据保存与删除计划及存储介质的处置。5.2.4
制定相关方咨询计划
相关方包括但不限于:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。