1、ICS35.040L80B中华人民共和国国家标住GB/T39335-2020信息安全技术个人信息安全影响评估指南Information security technology-Guidance for personal information security impact assessment2020-11-19发布2021-06-01实施国家市场监督管理总局国家标准化管理委员会发布GB/T39335-20204评估原理4.1概述个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。4.2开展评估的价值实施个人信息安全影响评估,能够有效加强对
2、个人信息主休权益的保护,有利于组织对外展示其保护个人信息安全的努力,提升透明度,增进个人信息主体对其的信任。包括:)在开展个人信息处理前,组织可通过影响评估,识别可能导致个人信总主体权益遭受损害的风险,并据此采用适当的个人信息安全控制措施。)对于正在开展的个人信息处理,组织可通过影响评估,综合考虑内外部因素的变化情况,特续修正已采取的个人信息安全控制措施,确保对个人合法权益不利影响的风险处于总体可控的状态。)个人信息安全影响评估及其形成的记录文档,可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计等中,证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。)在发生个人信息
3、安全事件时,个人信息安全影响评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于诚轻、甚至免除组织相关责任和名誉损失。)组织可通过个人信息安全影响评估,加强对员工的个人信息安全教育。参与评估之中,员工能熟悉各种个人信息安全风险,增强处置风险的能力。D对合作伙伴,组织通过评估的实际行动表明其严肃对待个人信息安全保护,并引导其能够采取适当的安全控制措施,以达到同等或类似的安全保护水平。4.3评估报告的用途个人信息安全影响评估报告的内容主要包括:评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、已识别的风险、已采用及拟采用的安全控
4、制措施清单、剩余风险等。因此,个人信息安全影响评估报告的用途包括但不限于:)对于个人信息主体,评估报告可确保个人信息主体了解其个人信息被如何处理、如何保护,并使个人信息主体能够判断是否有利余风险尚未得到处置。b)对于开展影响评估的组织,评估报告的用途可能包括:1)在产品、服务或项目的规划阶段,用于确保在产品或服务的设计中充分考虑并实现个人信息的保护要求(例如,安全机制的可实现性、可行性、可追踪性等);2)在产品、服务或项目的运营过程中,用于判断运营的内外部因素(例如运营团队的变动、互联冈安全环境、信息共享的第三方安全控制能力等)、法律法规是否发生实质变更,是否需要对影响评估结果进行审核和修正;3)用于建立责任制度,监督发现存在安全风险的个人信息处理活动是否已采取安全保护排施,改善或消除已识别的风险,4)用于提升内部员工的个人信息安全意识。)对于主管监管部门,要求组织提供个人信息安全影响评估报告,可督促组织开展评估并采取有2
