|
|
|
|
|
|
来源: 发布日期:2022.03.04 点击量:
《个人信息安全影响评估指南》(以下简称《指南》)作为《个保法》的支撑部分,也已于2021年6月1日正式实施。《指南》提出了个人信息安全影响评估的基本原理和实施流程,适用于各类企业按需进行相关评估,或主管部门对企业进行检查活动。
个人信息安全影响评估:针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
评估旨在发现、处置和持续监控个人信息处理过程中的安全风险,督促企业建立预警机制,进行合规性检查,同时也有利于企业展示其保护个人信息安全的努力,提升透明度,增强个人信息主体对其的信任。
开展评估前,需对待评估的对象(产品/业务/具体合作等)进行全面的调研,形成数据清单及数据映射图表,并梳理出待评估具体的个人信息处理活动。
开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的风险等级,并提出相应的改进建议,形成评估报告。
3.1 必要性分析
个人信息安全影响评估可用于合规差距分析,也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。是否启动个人信息安全影响评估,取决于组织的个人信息安全目标和实际业务需求。
3.2 评估准备
组建评估团队:根据组织实际情况,组建评估团队。
制定评估计划:评估任务分工、评估计划表、评估报告、待评估场景中止或撤销的情况处理。
确定评估对象:系统、产品或服务等。
确定评估范围:系统基础信息、系统设计信息、处理流程和程序信息。
评估方法:访谈、检查、测试。
制定相关方咨询计划:对组织内部、外部相关方制定咨询方案和计划。
3.3 数据映射分析
组织在针对个人信息处理过程进行全面的调研后,形成清晰的数据清单及数据映射图表。调研时需考虑个人信息映射的方面如:信息主体、信息收集处理的目的、信息处理者、是否跨境、是否第三方共享等。同时需要关注个人信息生命周期安全如收集来源、收集方式、处理方式(存储、传输、删除等)。
进行数据映射分析时需要结合个人信息处理的具体场景。在形成分析结果时,建议根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形,便于后续分类进行影响分析和风险评价。
3.4 风险源识别
风险源识别用来分析个人信息处理活动面临哪些威胁源,是否缺乏足够的安全措施,导致存在脆弱性而引发安全事件。
与个人信息安全事件相关的主要因素包括:网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势。
3.5 个人权益影响分析
个人权益影响维度:可分为“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”、“人身财产受损”四个维度。
个人权益影响分析过程包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息处理活动问题分析以及影响程度分析四个阶段。
3.6 安全风险综合分析
在完成针对特定个人信息处理活动影响评估之后,综合针对所有相关个人信息处理活动的评估结果,确定对整个评估对象(如业务部门、具体项目、具体合作等)的风险等级,落实责任相关方,形成整改措施和建议。
3.7 形成评估报告
根据评估工作的开展情况,形成评估报告。报告内容一般包括:审批页、适用范围、项目人员信息、参考依据、评估过程、评估结果等。
3.8 风险处置和持续改进
根据组织实际情况,对风险采取对应的处置措施,通常情况下,可根据风险的等级,采取立即处置、限期处置、权衡影响和成本后处置,接受风险等处置方式。
组织需持续跟踪风险处置的落实情况,评估剩余风险,将风险控制在可接受的范围内。
3.9 制定报告发布策略
为促进自身持续提升个人信息保护水平、配合监管活动、增加客户信任,组织可制定个人信息安全影响评估报告发布策略,选择适宜的评估报告内容进行对外发布。
《指南》的重点突出“个人敏感信息”、“对个人有重大影响”、“对个人基本权利和自由带来高风险”,在相应的强制性要求场景下必须开展个人信息安全影响评估。《指南》建议企业在合规驱动的同时主动完善个人信息处理工作的管理和开展。对此,各类企业(特别是金融、通信、医疗、互联网科技等)应积极排查、结合实际进行企业的个人信息安全影响评估,以降低合规风险,减少安全事件的发生,从而让安全管理更安心。
安言作为IT咨询行业的领先者,时刻关注行业的变化趋势,积极满足客户的需求。随着《指南》的发布,个人信息安全影响评估将是企业安全管理的一个工作重点。安言具有丰富的经验,能为企业提供个人信息安全影响评估服务,帮助企业规避合规风险,提升安全管理能力。
附:法律法规/行业标准对应《指南》的要求↓↓↓
相关新闻:
