个人信息安全影响评估范围( 三 ) _评估

注：特定情况下，个人信息安全影响评估也可能会由客户或非政府组织来执行。

文章插图
当由组织自行进行个人信息安全影响评估时，监管组织和客户可要求独立审计来核证评估活动的合理性和完备性。同时，该组织应允许监管组织对评估流程以及相关信息系统或程序的取证。
对于具体的产品、服务或项目，应由相应的产品、服务或项目负责人确保个人信息安全影响评估活动的开展和顺利进行，并给予相应支持。
4.6 评估规模
个人信息安全影响评估的规模往往取决于受到影响的个人信息主体范围和程度。通常，组织在实施该类个人信息安全影响评估时，个人信息的总量、类别、敏感程度、涉及个人信息主体的数量、能访问个人信息的人员等都会成为影响实际评估规模的重要因素。
4.7 评估原理
个人信息安全影响评估的基本原理如下图。
图1 评估原理示意图
评估前，对待评估的对象（可为某项产品、某类业务、某项具体合作等）进行全面的调研，形成清晰的数据清单及数据映射图表（data flow ）。同时，结合个人信息处理的具体场景，初步判断所处理的个人信息是否包含不必要的个人信息，对属于个人敏感信息的数据类型进行初步识别，并梳理出待评估的具体的个人信息处理活动。
评估过程中，首先分析收集处理（或计划收集处理）的个人信息（个人敏感信息应重点关注）是否有必要、是否可以由其它非个人信息或者非个人敏感信息来替代；其次，分析个人信息处理活动对个人信息主体的权益造成的影响，并判定相应的影响程度；再次，对个人信息处理活动的特点、已采用的或已决定采用的安全措施、所涉及相关方类型和数量、个人信息处理活动的规模（包括信息总量、覆盖人群和地域等）等进行分析，判定对于个人信息主体的影响和个人信息安全事件发生的可能性。
最后，综合分析必要性、影响程度和可能性三个要素，得出风险等级，并给出相应的改进建议，形成评估报告。
4.8 实施流程
个人信息安全影响评估的基本实施流程包括：评估准备阶段、分析阶段、评估报告阶段、风险处置和持续改进阶段、评估报告发布阶段。
其中，分析阶段应至少包括必要性分析、数据映射分析、个人权益影响分析、安全事件可能性分析和风险分析等环节。
4.9 评估活动
评估过程中采用的基本评估方法，包括但不限于以下三种：
访谈：指评估人员对相关人员进行谈话，进而对信息系统中个人信息收集处理、保护措施设计和实施情况进行了解、分析和取证。访谈的对象为个人或团体，如产品经理、研发工程师、个人信息保护负责人、法务负责人员、系统架构师、安全管理员、运维人员、人力资源人员和系统用户等。检查：指评估人员通过对管理制度、安全策略和机制、合同协议、安全配置和设计文档、运行记录等进行观察、查验、分析，以便理解、分析或取得证据的过程。检查的对象为规范、机制和活动，如个人信息保护策略规划和程序、系统的设计文档和接口规范、应急规划演练结果、事件响应活动、技术手册和用户/管理员指南、信息系统的硬件/软件中信息技术机制的运行等。测试：指评估人员通过人工或自动化安全测试工具进行技术测试，获得相关信息，并进行分析以便获取证据的过程。测试的对象为安全控制机制，如访问控制、身份识别和验证、安全审计机制、传输链路和保存加密机制、对重要事件进行持续监控、测试事件响应能力、以及应急规划演练能力等。4.10 评估工作形式

个人信息安全影响评估 范围( 三 )

个人信息安全影响评估范围( 三 )