个人信息安全影响评估范围 _评估

本文是学习GB-T 39335-2020 信息安全技术个人信息安全影响评估指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
个人信息安全影响评估范围
本标准规定了个人信息安全影响评估的基本概念、框架、方法和流程。
本标准适用于各类组织自行开展个人信息安全影响评估工作。同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
个人信息安全影响评估规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T 25069—2010 信息技术安全技术术语
GB/T 35273 信息安全技术个人信息安全规范
个人信息安全影响评估术语和定义
GB/T 25069—2010、GB/T 35273中界定的以及下列术语和定义适用于本文件。
个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T 35273，定义3.1]
个人信息主体data
个人信息所标识的自然人。
[GB/T 35273，定义3.3]
个人信息控制者
有权决定个人信息处理目的、方式等的组织或个人。
[GB/T 35273，定义3.4]
个人信息安全影响评估
针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。
个人信息安全影响评估基本原理和框架 4.1 概述
保障个人信息安全的根本目的，在于避免个人信息收集、使用等处理行为对个人信息主体的合法权益造成损害。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。
个人信息安全影响评估为个人信息控制者实施风险管理的重要工作程序。根据评估结果，开展个人信息处理的组织可实施适当的安全控制措施，从而降低收集和处理个人信息的过程中对个人信息主体权益造成的不利影响；并根据组织的业务现状和可预期的变化、对个人信息安全可能产生威胁的内外部因素、有关法律法规标准要求等内外部因素的定期评估，持续修正个人信息安全控制措施，使个人信息收集、处理过程对个人合法权益不利影响的风险处于总体可控的状态。
4.2 评估价值
个人信息安全影响评估通常被视为一种事前预防机制，帮助组织在业务（或工作程序）开展之前，识别对个人信息主体权益的风险，实施有针对性的保护措施。个人信息安全影响评估有助于在工作开展的初期识别个人信息安全问题，通过尽早考虑、分析和处理个人信息安全问题，降低组织的时间管理成本、法律风险以及潜在的声誉或公众问题。
因此，个人信息安全影响评估作为常规性合规性检查，帮助组织在政府、相关机构或商业伙伴的合规性审计或调查中证明其遵守了个人信息与数据保护法律、法规和标准的要求。在发生个人信息安全风险或违规事件时，个人信息安全影响评估的制度及记录评估过程和结果的报告有利于证明组织已经采取适当措施试图防止上述情况发生，有助于减轻、甚至免除相关责任和名誉损失。
个人信息安全影响评估还可以作为基础合规之上的风控工具。在满足基本合规要求后，组织主动对某些个人信息处理环节或场景（例如运用新技术或搭建新模式）进行个人信息安全影响评估，提前掌握对个人信息主体合法权益的影响并采取安全控制措施。。此举有利于表明组织努力降低风险，充分尊重个人信息主体及所托付的信任。信任建立在透明的基础上，因此，个人信息安全影响评估倡导组织通过主动提升透明度，进一步加强对个人信息主体权益的保护。

个人信息安全影响评估 范围

个人信息安全影响评估范围