GB/T 39335-2020
《信息安全技术 个人信息安全影响评估指南》
1、基本原理与框架
2、评估流程
前期工作要点包括必要性分析、数据映射分析、相关方咨询。必要性分析包含合规差距分析、尽责性风险评估、评估性合规要求分析。
总体流程包括:
1
数据映射分析
数据映射分析是评估工作的基础。评估团队需根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等要素,对个人信息处理活动进行分类,并描述每类个人信息处理活动的具体情形。数据映射分析的方法为数据调研,具体包括访谈、检査、測试等方式。
2
个人权益影响分析
具体影响包括四个维度,是否限制个人自主决定权、是否引发差别性待遇、是否使个人名誉受损或遭受精神压力以及是否使人身财产受损。
3
事件可能性分析
从四大维度(网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全态势)识别企业目前存在的主要风险源,再分析已实施的安全保护措施、相关方、处理规模等要素,评价安全事件发生的可能性等级。