評估準(zhǔn)備
1)目標(biāo)分析:或稱必要性分析,以確定評估所要達(dá)成的目標(biāo),并根據(jù)設(shè)定目標(biāo)確立評估過程的評判準(zhǔn)則,作為風(fēng)險(xiǎn)處置依據(jù)的界定性要求�����。
2)實(shí)施計(jì)劃:依據(jù)個(gè)人信息保護(hù)相關(guān)監(jiān)管和規(guī)范要求,組建評估團(tuán)隊(duì),明確各項(xiàng)職責(zé),確定評估對象和范圍,制定完整的評估實(shí)施計(jì)劃等����。
收集梳理
1)數(shù)據(jù)收集:通過現(xiàn)場訪談�、工具探查��、文檔審閱等方式對評估范圍的個(gè)人信息處理過程進(jìn)行全面的調(diào)研�����。
2)活動梳理:對評估范圍內(nèi)的個(gè)人信息處理活動進(jìn)行歸納整理,輸出個(gè)人數(shù)據(jù)流向圖,識別并確認(rèn)所有活動是否被有效記錄����。
3)映射分析:對調(diào)研結(jié)果進(jìn)行分析,對個(gè)人信息處理活動進(jìn)行分類,并描述每類個(gè)人信息處理活動的具體情形,形成清晰的個(gè)人信息處理活動清單及個(gè)人信息映射表,其結(jié)果將用于影響分析和風(fēng)險(xiǎn)分析。
影響分析
1)風(fēng)險(xiǎn)源識別:對要素進(jìn)行簡化,歸納為數(shù)據(jù)環(huán)境和技術(shù)措施���、個(gè)人信息處理流程����、參與人員與第三方�����、業(yè)務(wù)特點(diǎn)和規(guī)模及安全趨勢�。
2)安全措施有效性分析:根據(jù)前階段收集的現(xiàn)有安全措施信息,結(jié)合威脅源識別情況,分析安全措施的有效性情況,例如當(dāng)前采用身份鑒別和訪問控制措施是否在個(gè)人信息處理各活動場景得到有效應(yīng)用。
3)個(gè)人權(quán)益影響分析:分析特定的個(gè)人信息處理活動是否會對個(gè)人信息主體合法權(quán)益產(chǎn)生影響,以及可能產(chǎn)生何種影響,主要包括四個(gè)維度:限制個(gè)人自主決定權(quán)、引發(fā)差別性待遇���、個(gè)人名譽(yù)受損或遭受精神壓力���、人身財(cái)產(chǎn)受損。
風(fēng)險(xiǎn)分析
開展個(gè)人信息安全風(fēng)險(xiǎn)綜合分析,評價(jià)安全事件發(fā)生的可能性等級,評價(jià)以及對個(gè)人權(quán)益影響的程度等級,綜合考慮安全事件可能性和個(gè)人權(quán)益影響程度兩個(gè)要素,最終分析得出個(gè)人信息處理活動的安全風(fēng)險(xiǎn)等級���。
處置建議
根據(jù)風(fēng)險(xiǎn)等級,分別給予采取立即處置�����、限期處置��、權(quán)衡影響和成本后處置���、接受風(fēng)險(xiǎn)等處置方式的相關(guān)建議。
評估報(bào)告
1)編制報(bào)告:綜合所有材料及分析結(jié)果,匯編輸出個(gè)人信息安全風(fēng)險(xiǎn)評估報(bào)告,報(bào)告內(nèi)容包括但不限于:評估目標(biāo)���、涉及業(yè)務(wù)場景、個(gè)人信息處理活動清單���、風(fēng)險(xiǎn)清單��、風(fēng)險(xiǎn)分析結(jié)果��、安全控制措施清單��、剩余風(fēng)險(xiǎn)一覽表等��。
2)報(bào)告發(fā)布:依據(jù)客戶組織的報(bào)告發(fā)布管理策略,并選取適當(dāng)內(nèi)容,編制評估結(jié)果簡報(bào),報(bào)送相關(guān)監(jiān)管單位,并依據(jù)實(shí)際需要向相關(guān)方進(jìn)行披露��。
處置跟蹤
對客戶單位采納的處置建議等安全控制措施,周期性跟蹤風(fēng)險(xiǎn)處置落實(shí)情況,評估剩余風(fēng)險(xiǎn)等,完成評估閉環(huán)��。
個(gè)人信息風(fēng)險(xiǎn)評估服務(wù)價(jià)值
實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)評估,能夠有效加強(qiáng)對個(gè)人信息主體權(quán)益的保護(hù),有利于組織對外展示其保護(hù)個(gè)人信息安全的努力,提升透明度,増進(jìn)個(gè)人信息主體對其的信任����。主要體現(xiàn)在以下三個(gè)方面:
風(fēng)險(xiǎn)預(yù)防:在開展個(gè)人信息處理前,組織可通過影響評估,識別可能導(dǎo)致個(gè)人信息主體權(quán)益遭受損害的風(fēng)險(xiǎn),并據(jù)此釆用適當(dāng)?shù)膫€(gè)人信息安全控制措施。
合規(guī)遵從:個(gè)人信息安全風(fēng)險(xiǎn)評估及其形成的記錄文檔,可幫助組織在政府���、相關(guān)機(jī)構(gòu)或商業(yè)伙伴的調(diào)查����、執(zhí)法�����、合規(guī)性審計(jì)中,證明其遵守了個(gè)人信息保護(hù)與數(shù)據(jù)安全等方面的法律����、法規(guī)和標(biāo)準(zhǔn)的要求��。
責(zé)任減輕:在發(fā)生個(gè)人信息安全事件時(shí),個(gè)人信息安全風(fēng)險(xiǎn)評估及其形成的記錄文檔,可用于證明企業(yè)己經(jīng)主動評估風(fēng)險(xiǎn)并釆取一定的安全保護(hù)措施,有助于減輕企業(yè)的相關(guān)責(zé)任和名譽(yù)損失��。
