PII影响评估报告

1、PII影响评估报告报告日期：2020年10月31日一、影响评估综述1、企业名称*科技2、信息平安影响评估范围公司信息平安管理体系范围覆盖的各相关部门及其信息资产。二、影响评估目的通过科学的方法对公司存在隐私影响进行评估，以便于制定出适合的方法，找 到最合适的控制措施来对影响进行控制，以降低影响，到达提高公司隐私信息平安 的目的。三、影响评估日期2020年10月23日至2020年10月31日四、评估小组成员参与本次评估的人员包括管理者代表、各部门经理、信息平安工程组成员。组员：五、评估方法综述评估小组采用定性和定量相结合的方法对公司各方面进行评估。六、影响评估概况1、评估涉及的部门本次影响评估由

2、于是公司组织的第一次影响评估，因此，本次范围涉及信息安 全及隐私体系范围内的所有相关部门。2、评估涉及的流程或系统评估涉及公司生产、运营及信息管理等方面的流程和系统。3、资产情况本次评估主要针对公司与信息相关的资产，包括：实体资产、软件资产、信息资产、人员资产、服务资产。详细见附录一3、影响情况公司存在影响主要存在于高、中重要等级资产，贯穿于公司人力行政部、系统 运维部、财务部等各个部门，根据相关资产的重要度，结合威胁和脆弱性将公司存 在的信息隐私平安影响划分为高、中、低三个等级，其中：实体资产低影响328个, 中影响14个；软件资产低影响240个；信息资产低影响309个，中影响48个；人 员

3、资产低影响62个，中影响4个；服务资产低影响16个。其中涉及PH影响情况如下表:资产类型名称位置责任部门涉及PII信息资产各类销售合同财务文件室财务部姓名、身份证信息资产社保服务类合同人力文件室人力行政部姓名、身份证、 、社保卡、年龄信息资产薪酬数据文档资料人力文件室人力行政部姓名、工资、年龄、身份证信息资产人事档案人力文件室人力行政部姓名、生日、性别、满足、邮箱等信息资产工程合同及报价单销售文件室品牌拓展姓名、身份证信息资产工程投标书销售文件室品牌拓展姓名、身份证信息资产客户服务策略文档策略文件室策略中心订单信息：购买记录、消费金额、消费产品、频 次等。信息资产会员信息Ebrand系统研发中

4、心（1）会员信息：姓名、 、年龄、民族等（2）订单信息：购买记录、消费金额、消费产 品、频次等。七、影响处理涉及PH的资产影响处理处置情况如下:资产类型名称位置责任部门涉及PH潜在的影响及处理财信息资产各类销售合同务 文 件财务部姓名、身份证（1）影响：销售类合同财务部同事都可以接触到，存在信息泄露 影响。（2）处理：合同专人管理，查阅需要登记。室信息资产社保服务类合同人 力 文 件 室人力 行政 部姓名、身 份证、电 话、社保 卡、年龄（1）影响：人力同事都可以接触到，存在信息泄露影响。（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许 查阅。人人力姓名、工（1）影响：人力同事都可以

5、接触到，存在信息泄露影响。信息资产薪酬数据文档资料力行政资、年龄、（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许文部身份证查阅。件室信息资产人事档案人 力 文 件 室人力 行政 部姓名、生 口、性别、 满足、邮 箱等（1）影响：人力同事都可以接触到，存在信息泄露影响。（2）处理：由薪酬专人管理，非薪酬责任管理相关的人员不允许 查阅。信息资产工程合同及报价单销 售 文 件 室品牌拓展姓名、身份证（1）影响：销售同事都可以接触到，存在信息泄露影响。（2）处理：由销售助理专人管理.，需要查阅须销售总监审批，非 销售人员不允许查阅。信息资产工程投标书销 售 文 件 室品牌 拓展姓名、身份证

6、（1）影响：销售同事都可以接触到，存在信息泄露影响。（2）处理：由销售助理专人管理，需要查阅须销售总监审批，非 销售人员不允许查阅。信息资产客户服务策略文档策 略 文 件 室策略 中心订单信 息：购买 记录、消 费金额、 消费产 品、频次 等。（1）影响：工程同事都可以接触到，存在信息泄露影响。（2）处理：由工程经理专人管理，发送客户过程中密文发送，对 文档存放的地方进行权限管理，不再权限范围内的人员不允许查 阅。信息资产会员信息Ebr and 系 统研发 中心（1）会员 信息：姓 名、 、 年龄、民 族等（2）订单 信息：购 买记录、 消费金 额、消费 产品、频 次等。（1）影响：负责运维的

7、以及开发同事在系统维护过程中可以接触 至IJ,存在信息泄露影响。（2）处理：对数据库进行权限管理，只有研发总监级别可接触， 且每次接触须走审批报备，经CEO审批；数据存储的时限默认是持 续，只要客户服务持续，数据持续存储，且未经客户授权删除一律 不允许处置。九、评估总结通过信息平安影响评估能够全面的发现公司组织内部存在的威胁和脆弱性，识 别出公司存在信息平安影响，针对影响制定相应的控制措施，同时为公司建立一套 影响评估的科学的方法。本次影响评估是公司第一次进行全面的信息平安影响评估，公司由总经理牵头 建立评估小组，对评估工作进行周密的准备，首先对公司与信息相关资产进行识别, 根据资产的重要度，对资产面临的威胁和存在的脆弱性进行识别、描述，并对公司 现有的控制措施进行识别、评价。在对影响进行分析、评估时，结合资产的重要度、 威胁、脆弱性评估出影响发生的可能性、影响度，最终对资产面临的影响进行计算、 评价、划分等级，针对不同等级影响制定控制措施，并对实施过程制定计划。目