信息安全技術(shù) 個人信息安全影響評估指南(標準狀態(tài)：即將實施)

S0L0中 華 人 民 共 和 國 國 家 標 準T30信息安全技術(shù)個人信息安全影響評估指南—st9發(fā)布 1實施國家市場監(jiān)督管理總局國家標準化管理委員會 發(fā)布T30目 次前言 ………………………… Ⅰ1 范圍 ……………………… 2 規(guī)范性引用文件 ………………………… 13 術(shù)語和定義 ……………… 14 評估原理 ………………… 21 概述 ………………… 22 開展評估的價值 …………………… 23 評估報告的用途 …………………… 24 評估責任主體 ……………………… 35 評估基本原理 ……………………… 36 評估實施需考慮的要素 …………… 35 評估實施流程 …………… 41 評估必要性分析 …………………… 42 評估準備工作 ……………………… 53 數(shù)據(jù)映射分析 ……………………… 74 風險源識別 ………………………… 75 個人權(quán)益影響分析 ………………… 96 安全風險綜合分析 ………………… 07 評估報告…………… 08 風險處置和持續(xù)改進 ……………… 19 制定報告發(fā)布策略 ………………… 1附錄A資料性附錄)評估性合規(guī)的示例及評估要點 ………………… 2附錄B資料性附錄)高風險的個人信息處理活動示例 ……………… 4附錄C資料性附錄)個人信息安全影響評估常用工具表 …………… 6附錄D資料性附錄)個人信息安全影響評估參考方法 ……………… 9參考文獻 …………………… 3T30前 言。 本標準按照T09給出的規(guī)則起草。 請注意本文件的某些內(nèi)容可能涉及專利 本文件的發(fā)布機構(gòu)不承擔識別這些專利的責本標準由全國信息安全標準化技術(shù)委員會 C提出并歸口。本標準起草單位中國電子技術(shù)標準化研究院 四川大學頤信科技有限公司深圳市騰訊計算機系統(tǒng)有限公司華為技術(shù)有限公司杭州有限責任公司北京騰云天下科技有限公司國家金融C卡安全檢測中心強韻數(shù)據(jù)科技有限公司中國信息通信研究院北京信息安全測評中心聯(lián)想北京北京軟件服務(wù)有限公司中國軟件評測中心浙江螞蟻小微金融服務(wù)集團股份有限公司陜西省網(wǎng)絡(luò)與信息安全測評中心。本標準主要起草人洪延青何延哲胡影高強裔陳湉趙冉冉劉賢剛皮山杉黃勁葛夢瑩、范為寧華葛鑫周頓科高磊李汝鑫秦頌蘭曉陳興蜀秦博陽高志民白利芳、張謙李怡。Ⅰ信息安全技術(shù)個人信息安全影響評估指南范圍本標準給出了個人信息安全影響評估的基本原理 實施流程。本標準適用于各類組織自行開展個人信息安全影響評估工作 同時可為主管監(jiān)管部門 第三方測機構(gòu)等組織開展個人信息安全監(jiān)督 檢查評估等工作提供參考 。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的 。凡是注日期的引用文件 僅注日期的版本適用于本件。凡是不注日期的引用文件 其最新版本包括所有的修改單適用于本文件。T4 信息安全技術(shù) 信息安全風險評估規(guī)范T0 信息安全技術(shù) 術(shù)語T0 信息安全技術(shù) 個人信息安全規(guī)范術(shù)語和定義TT0界定的以及下列術(shù)語和定義適用于本文件 。1

個人信息 n以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息 。T定義2

個人敏感信息 n一旦泄露非法提供或濫用可能危害人身和財產(chǎn)安全 極易導(dǎo)致個人名譽 身心健康受到損害或歧視性待遇等的個人信息 。T定義34

個人信息主體