|
|
|
|
|
|
來源: 發布日期:2022.03.04 點擊量:
《個人信息安全影響評估指南》(以下簡稱《指南》)作為《個保法》的支撐部分,也已于2021年6月1日正式實施。《指南》提出了個人信息安全影響評估的基本原理和實施流程,適用于各類企業按需進行相關評估,或主管部門對企業進行檢查活動。
個人信息安全影響評估:針對個人信息處理活動,檢驗其合法合規程度,判斷其對個人信息主體合法權益造成損害的各種風險,以及評估用于保護個人信息主體的各項措施有效性的過程。
評估旨在發現、處置和持續監控個人信息處理過程中的安全風險,督促企業建立預警機制,進行合規性檢查,同時也有利于企業展示其保護個人信息安全的努力,提升透明度,增強個人信息主體對其的信任。
開展評估前,需對待評估的對象(產品/業務/具體合作等)進行全面的調研,形成數據清單及數據映射圖表,并梳理出待評估具體的個人信息處理活動。
開展評估時,通過分析個人信息處理活動對個人信息主體的權益可能造成的影響及其程度,分析安全措施是否有效、是否會導致安全事件發生及其可能性,綜合兩方面結果得出個人信息處理活動的風險等級,并提出相應的改進建議,形成評估報告。
3.1 必要性分析
個人信息安全影響評估可用于合規差距分析,也可以用于合規之上、進一步提升自身安全風險管理能力和安全水平的目的。是否啟動個人信息安全影響評估,取決于組織的個人信息安全目標和實際業務需求。
3.2 評估準備
組建評估團隊:根據組織實際情況,組建評估團隊。
制定評估計劃:評估任務分工、評估計劃表、評估報告、待評估場景中止或撤銷的情況處理。
確定評估對象:系統、產品或服務等。
確定評估范圍:系統基礎信息、系統設計信息、處理流程和程序信息。
評估方法:訪談、檢查、測試。
制定相關方咨詢計劃:對組織內部、外部相關方制定咨詢方案和計劃。
3.3 數據映射分析
組織在針對個人信息處理過程進行全面的調研后,形成清晰的數據清單及數據映射圖表。調研時需考慮個人信息映射的方面如:信息主體、信息收集處理的目的、信息處理者、是否跨境、是否第三方共享等。同時需要關注個人信息生命周期安全如收集來源、收集方式、處理方式(存儲、傳輸、刪除等)。
進行數據映射分析時需要結合個人信息處理的具體場景。在形成分析結果時,建議根據個人信息的類型、敏感程度、收集場景、處理方式、涉及相關方等要素,對個人信息處理活動進行分類,并描述每類個人信息處理活動的具體情形,便于后續分類進行影響分析和風險評價。
3.4 風險源識別
風險源識別用來分析個人信息處理活動面臨哪些威脅源,是否缺乏足夠的安全措施,導致存在脆弱性而引發安全事件。
與個人信息安全事件相關的主要因素包括:網絡環境和技術措施、個人信息處理流程、參與人員與第三方、業務特點和規模及安全態勢。
3.5 個人權益影響分析
個人權益影響維度:可分為“限制個人自主決定權”、“引發差別性待遇”、“個人名譽受損或遭受精神壓力”、“人身財產受損”四個維度。
個人權益影響分析過程包含對個人信息敏感程度分析、個人信息處理活動特點分析、個人信息處理活動問題分析以及影響程度分析四個階段。
3.6 安全風險綜合分析
在完成針對特定個人信息處理活動影響評估之后,綜合針對所有相關個人信息處理活動的評估結果,確定對整個評估對象(如業務部門、具體項目、具體合作等)的風險等級,落實責任相關方,形成整改措施和建議。
3.7 形成評估報告
根據評估工作的開展情況,形成評估報告。報告內容一般包括:審批頁、適用范圍、項目人員信息、參考依據、評估過程、評估結果等。
3.8 風險處置和持續改進
根據組織實際情況,對風險采取對應的處置措施,通常情況下,可根據風險的等級,采取立即處置、限期處置、權衡影響和成本后處置,接受風險等處置方式。
組織需持續跟蹤風險處置的落實情況,評估剩余風險,將風險控制在可接受的范圍內。
3.9 制定報告發布策略
為促進自身持續提升個人信息保護水平、配合監管活動、增加客戶信任,組織可制定個人信息安全影響評估報告發布策略,選擇適宜的評估報告內容進行對外發布。
《指南》的重點突出“個人敏感信息”、“對個人有重大影響”、“對個人基本權利和自由帶來高風險”,在相應的強制性要求場景下必須開展個人信息安全影響評估。《指南》建議企業在合規驅動的同時主動完善個人信息處理工作的管理和開展。對此,各類企業(特別是金融、通信、醫療、互聯網科技等)應積極排查、結合實際進行企業的個人信息安全影響評估,以降低合規風險,減少安全事件的發生,從而讓安全管理更安心。
安言作為IT咨詢行業的領先者,時刻關注行業的變化趨勢,積極滿足客戶的需求。隨著《指南》的發布,個人信息安全影響評估將是企業安全管理的一個工作重點。安言具有豐富的經驗,能為企業提供個人信息安全影響評估服務,幫助企業規避合規風險,提升安全管理能力。
附:法律法規/行業標準對應《指南》的要求↓↓↓
相關新聞:
