信息安全技术 个人信息安全影响评估指南.docx
《信息安全技术 个人信息安全影响评估指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术 个人信息安全影响评估指南.docx(26页珍藏版)》请在课桌文档上搜索。
1、目次前言I1 范围12 规范性引用文件14评估原理24.1 廨24.3 彳古M-Il余24.4 评估责任主体34.5 评估基本原理34.6 评估实施需考虑的要素35评估实施流程45.1 评估必要性分析45.3 数据映射分析75.4 风识别75.5 个人权益影岫分析95.6 安全风险综合分析105.8 风险处置和持续改进115.9 IaaHJ*aaaa*aa11附录A(资料性附录)评估性合规的示例及评估要点12附录B(资料性附录)高风险的个人信息处理活动示例14附录C(资料性附录)个人信息安全影响评估常用工具表16附录D(资料性附录)个人信息安全影响评估参考方法19参考文献23本标准按照GB/T
2、1.12009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、四川大学、颐信科技有限公司、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心。本标
3、准主要起草人:洪延青、何延哲、胡影、高强裔、陈湘、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顽伟、白利芳、白髅、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡。信息安全技术个人信息安全影响评估指南1诞本标准给出了个人信息安全影响评估的基本原理、实施流程。本标准适用于各类组织自行开展个人信息安全影响评估工作,同时可为主管监管部门、第三方测评机构等组织开展个人信息安全监督、检查、评估等工作提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日
4、期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984信息安全技术信息安全风险评估规范GB/T250692010信息安全技术术语GB/T352732020信息安全技术个人信息安全规范3术语和定义GB/T250692010.GB/T352732020界定的以及下列术语和定义适用于本文件。3.1个人信息PelSOWinfOrmafon以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。GB/T352732020,定义3.13.2个人敏感信息PerSonalSenSi加information一旦泄露、非法提供或滥用可能危害人
5、身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。GB/T352732020,定义3.23.3个人信息主体Personalinfonnationsubject个人信息所标识或者关联的自然人。GB/T352732020,定义3.33.4个人信息安全影响评估Persorwofmafonsecurityimpadassessment针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。4评估原理4.1 隧个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造
6、成不利影响的风险。4.2 开展评估的价值实施个人信息安全影响评估,能够有效加强对个人信息主体权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:a)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信息主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。b)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,持续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。c)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调三,执法、合规性审计等
7、中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。d)在发生个人信息安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织相关责任和名誉损失。e)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。f)对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。4.3 评估报告的用途个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场
8、景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控制措施清单、剩余风险等。因此,个人信息安全影响评估报告的用途包括但不限于:a)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有剩余风险尚未得到处置。b)对于开展影响评估的组织,评估报告的用途可能包括:1) 在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);2)在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互联网安全环境、
9、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;3) 用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护措施,改善或消除已识别的风险;4) 用于提升内部员工的个人信息安全意识。C)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有2效的安全控制措施。在处理个人信息安全相关投诉、调查个人信息安全事件等时,主管监管部门可通过影响评估报告了解相关情况,或将报告作为相关证据。d)对于开展影响评估的组织的合作伙伴,用于整体了解其在业务场景中的角色和作用,以及其应具体承担的个人信息保护工作和责任。4.
10、4 评估责任主体组织指定个人信息安全影响评估的责任部门或责任人员,由其负责个人信息安全影响评估工作流程的制定、实施、改进,并对个人信息安全影响评估工作结果的质量负责。该责任部门或人员具有独立性,不受到被评估方的影响。通常,组织内部牵头执行个人信息安全影响评估工作的部门为法务部门、合规部门或信息安全部门。组织内的责任部门可根据部门的具体能力配备情况,选择自行开展个人信息安全影响评估工作,或聘请外部独立第三方来承担具体的个人信息安全影响评估工作。对于具体的产品、服务或项目,由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行,并给予相应支持。当由组织自行进行个人信息安全影响评
11、估时,主管监管部门和客户可要求独立审计来核证影响评估活动的合理性和完备性。同时,该组织允许主管监管部门对影响评估流程以及相关信息系统或程序进行取证。4.5 评估基本原理个人信息安全影响评估的基本原理如图1。图1评估原理示意图开展评估前,需对待评估的对象(可为某项产品、某类业务、某项具体合作等)进行全面的调研,形成清晰的数据清单及数据映射图表(dataflowChartS),并梳理出待评估的具体的个人信息处理活动。开展评估时,通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度,以及分析安全措施是否有效、是否会导致安全事件发生及其可能性,综合两方面结果得出个人信息处理活动的安全风险
12、及风险等级,并提出相应的改进建议,形成评估报告。4.6 评估实施需考虑的要素4.6.1 评估规模个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围、数量和受影响的程度。通常,组织在实施该类个人信息安全影响评估时,个人信息的类型、敏感程度、数量,涉及个人信息主体的范围和数量,以及能访问个人信息的人员范围等,都会成为影响评估规模的重要因素。4.6.2 评估方法评估实施过程中采用的基本评估方法,包括但不限于以下三种:a)访谈:指评估人员对相关人员进行谈话,以对信息系统中个人信息的处理、保护措施设计和实施情况进行了解、分析和取证的过程。访谈的对象包括产品经理、研发工程师、个人信息保护负责人
13、、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。b)检杳:指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、直验、分析,以便理解、分析或取得证据的过程。检杳的对象为规范、机制和活动,如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。c)测试:指评估人员通过人工或自动化安全测试工具进行技术测试,获得相关信息,并进行分析以便获取证据的过程。测试的对象为安全控制机制,如访问控制、身份识别和验证、安全审计机制、传输链路和保存
14、加密机制、对重要事件进行持续监控、测试事件响应能力以及应急规划演练能力等。4.6.3 评估工作形式从实施主体来区分,个人信息安全影响评估分为自评估和检查评估两种形式。自评估是指组织自行发起对其个人信息处理行为的评估,自评估可以由本组织指定专门负责评估、审计的岗位或角色开展,也可以委托外部专业组织开展评估工作。检查评估是指组织的上级组织发起的个人信息安全影响评估工作。上级组织是对组织有直接领导关系或负有监督管理责任的组织。检查评估也可以委托外部专业组织开展评估。在确定评估规模,选定评估方法、评估工作形式后,评估实施的具体流程可参照第5章内容。5评估实施流程5.1 评估必要性分析5.1.1 个人信
15、息安全影响评估可用于合规差距分析,也可以用于合规之上、进一步提升自身安全风险管理能力和安全水平的目的。因此启动个人信息安全影响评估的必要性,取决于组织的个人信息安全目标,组织可根据实际的需求选取需要启动评估的业务场景。5.1.2 合规差距评估5.1.2.1 屣当组织定义的个人信息安全目标为符合相关法律、法规或标准的基线要求时,则个人信息安全影响评估主要目的在于识别待评估的具体个人信息处理活动已采取的安全控制措施,与相关法律、法规或标准的具体要求之间的差距,例如在某业务场景中与第三方共享个人信息,是否取得了个人信息主体的明5.1 .2.2整体合规分析组织可根据所适用的个人信息保护相关法律、法规、
16、政策及标准,分析特定产品或服务所涉及的全部个人信息处理活动与所适用规则的差距。该评估方式的应用场景包括但不限于以下情形:产品或服务的年度整体评估;新产品或新服务(不限技术平台)设计阶段评估;新产品或新服务(不限技术平台)上线初次评估;法律法规、政策、标准等出现重大变化时重新评估;业务模式、互联网安全环境、外部环境等发生重大变化的重新评估;发生重大个人信息安全事件后重新评估;发生收购、兼并、重组等情形开展评估。5.1 .2.3局部合规分析组织可根据所适用的个人信息保护相关法律、法规、政策及标准,对特定产品或服务所涉及的部分个人信息处理活动与所适用规则的差距进行分析。该评估方式的应用场景包括但不限
17、于以下情形:a)新增功能需要收集新的个人信息类型时的评估;b)法律、法规、政策、标准出现部分变化时的评估;c)业务模式、信息系统、运行环境等发生变化时评估。5.2 .2.4评估性合规要求分析部分个人信息保护相关的法律、法规、标准的规定提出了评估性合规要求。这类规定并没有针对特定的个人信息处理活动提出明确、具体的安全控制措施,而是要求组织针对特定个人信息处理活动,专门开展风险评估,并采取与风险程度相适应的安全控制措施,将对个人信息主体合法权益不利影响的风险降低到可接受的程度,才符合其规定。评估性合规要求往往针对的是对个人权益有重大影响的个人信息处理活动,例如处理个人敏感信息、使用自动化决策方式处
18、理个人信息、委托处理个人信息、向第三方转让或共享个人信息、公开披露个人信息、向境外转移个人信息等。针对此类规定,组织可使用本指南提供的个人信息安全影响评估方法进行评估,保证个人信息处理活动的安全风险可控,以符合相应的法律、法规、标准的要求。注:评估性合规要求分析示例及具体评估要点可参考附录Ae5.1.3尽责性风险评估出于审慎经营、声誉维护、品牌建立等目的,组织往往选取可能对个人合法权益产生高风险的个人信息处理活动,开展尽责性风险评估。此种风险评估的目标,是在符合相关法律、法规和标准的基线要求之上,尽可能降低对个人信息主体合法权益的不利影响。注:高风险个人信息处理活动示例可参考附录Be组织可使用
19、本标准提供的个人信息安全影响评估方法,对高风险个人信息处理活动进行评估,进一步降低个人信息处理活动的安全风险。5.2评估准备工作5.2.1 组建评估团队组织确认并任命负责进行个人信息安全影响评估的人员(评估人)。此外,组织还要指定人员负责签署评估报告。评估人明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会公布评估报告或其摘要。如有必要评估人需申请团队支持,例如由技术部门、相关业务部门及法律部门的代表构成的团队。组织内部个人信息安全影响评估需要组织管理层给予长期支持。管理层需为个人信息安全影响评估团队配置必要资源。5.2.2 制定评估计划计划需清楚规定完成个人信息
20、安全影响评估报告所进行的工作、评估任务分工、评估计划表。此外,”划还需考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面:业人员、技能、经验及能力;D)执行各项任务所需时间;C)进行评估每一步骤所需资源,如自动化的评估工具等。注:涉及的场景复杂、耗用资源多时,建议对原有方案进行更新迭代,针对常规评估活动或涉及待评估场景复杂度低等情形时,可沿用原有计划或简化该步骤.如涉及相关方咨询,计划需说明在何种情况下需要咨询相关方、将咨询哪些人员以及具体的咨询方式(例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等).5.2.3确定评估对象和范围从以下三个方面描述评估的对象和范围:a)描
21、述系统基本信息,包括但不限于:1)处理个人信息的目的和类型;2) 对支撑当前或未来业务流程的信息系统的描述;3) 履行信息系统管理职责的部门或相关人员,以及其职责或履行水平;4)关于个人信息处理方式、处理范围的说明、有权访问个人信息的角色等;5)如预计委托第三方处理,或与第三方共享、转让信息系统的个人信息,说明上述第三方身份、第三方接入信息系统的情况等。b)描述系统设计信息,包括但不限于:1)功能(或逻辑)结构概览;2)物理结构概览;4) 包含个人信息的信息系统数据库、表格和字段的清单和结构;5) 按组件和接口划分的数据流示意图;5)个人信息生命周期的数据流示意图,例如个人信息的收集、存储、使
22、用和共享等;6)描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流程图;7)可对外传输个人信息的接口清单;8)个人信息处理过程中的安全措施。C)描述处理流程和程序信息,包括但不限于:1)信息系统的身份与用户管理概念;2)操作概念,包括信息系统或其中部分结构采用现场运行、外部托管,或云外包的方式;3)支持概念,包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可访问个人信息的位置等;4)记录概念,包括已登入信息的保存计划;5)备份与恢复计划;6)元数据的保护与管理;7)数据保存与删除计划及存储介质的处置。5.2.4制定相关方咨询计划相关方包括但不限于:一员工
23、,例如人力资源、法律、信息安全、财务、业务运营职能、通信与内部审计(尤其是在监管环境下)相关人员;一个人信息主体和消费者代表;一分包商和业务合作伙伴;一系统开发和运维人员;一对于评估有相应担忧的其他组织人员。为保证评估流程的透明,实现降低安全风险的目标,评估人需详细确认进入评估程序的内部或外部相关方。相关方与待评估的个人信息处理活动具有直接的利益关系,相关方可以是拥有或可能获取个人信息访问权限的组织或个人。评估人需确认相关方的分类,然后具体确认各类相关方中的特定组织或个人。如果相关方为个人,则该个人宜尽可能具有代表性。个人信息的范围与规模,以及业务重要性、成本收益等因素,对于确定恰当的相关方非
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术 个人信息安全影响评估指南 信息 安全技术 个人信息 安全 影响 评估 指南
链接地址:https://www.desk33.com/p-1410333.html