标准解读
《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》是针对个人信息处理活动中可能对个人权益产生的风险进行识别、分析和评价的标准。该标准旨在通过建立一套系统化的评估方法,帮助组织更好地理解和管理其在收集、使用、存储等过程中涉及的个人信息所面临的安全风险,从而采取有效措施保护个人信息安全。
标准中定义了个人信息安全影响评估(PIA)的基本概念与原则,并详细描述了如何开展PIIA的过程。这包括但不限于确定评估范围、识别潜在威胁及脆弱性点、评估发生安全事故的可能性及其后果严重程度、制定风险管理策略等内容。此外,《GB/T 39335-2020》还强调了在整个生命周期内持续监控个人信息处理活动的重要性,以及定期复审和完善相关措施以应对新出现的风险。
对于执行PIIA的具体步骤,《GB/T 39335-2020》提供了详细的指导框架。首先需要明确评估对象及其背景信息;接着是对当前或计划中的个人信息处理活动进行全面审查,寻找可能存在的安全隐患;然后基于发现的问题来估算这些隐患转化为实际损害的概率与影响大小;最后根据评估结果提出改进建议并跟踪实施情况。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2020-11-19 颁布
- 2021-06-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T39335—2020
信息安全技术
个人信息安全影响评估指南
Informationsecuritytechnology—
Guidanceforpersonalinformationsecurityimpactassessment
2020-11-19发布2021-06-01实施
国家市场监督管理总局发布
国家标准化管理委员会
GB/T39335—2020
目次
前言
…………………………Ⅰ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
评估原理
4…………………2
概述
4.1…………………2
开展评估的价值
4.2……………………2
评估报告的用途
4.3……………………2
评估责任主体
4.4………………………3
评估基本原理
4.5………………………3
评估实施需考虑的要素
4.6……………3
评估实施流程
5……………4
评估必要性分析
5.1……………………4
评估准备工作
5.2………………………5
数据映射分析
5.3………………………7
风险源识别
5.4…………………………7
个人权益影响分析
5.5…………………9
安全风险综合分析
5.6…………………10
评估报告
5.7……………10
风险处置和持续改进
5.8………………11
制定报告发布策略
5.9…………………11
附录资料性附录评估性合规的示例及评估要点
A()…………………12
附录资料性附录高风险的个人信息处理活动示例
B()………………14
附录资料性附录个人信息安全影响评估常用工具表
C()……………16
附录资料性附录个人信息安全影响评估参考方法
D()………………19
参考文献
……………………23
GB/T39335—2020
前言
本标准按照给出的规则起草
GB/T1.1—2009。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任
。。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位中国电子技术标准化研究院四川大学颐信科技有限公司深圳市腾讯计算机系
:、、、
统有限公司华为技术有限公司全知科技杭州有限责任公司北京腾云天下科技有限公司国家金融
、、()、、
卡安全检测中心强韵数据科技有限公司中国信息通信研究院北京信息安全测评中心联想北
IC、、、、(
京有限公司清华大学阿里巴巴北京软件服务有限公司中国软件评测中心浙江蚂蚁小微金融服
)、、()、、
务集团股份有限公司陕西省网络与信息安全测评中心
、。
本标准主要起草人洪延青何延哲胡影高强裔陈湉赵冉冉刘贤刚皮山杉黄劲葛梦莹
:、、、、、、、、、、
范为宁华葛鑫周顿科高磊李汝鑫秦颂兰晓陈舒陈兴蜀金涛秦博阳高志民顾伟白利芳
、、、、、、、、、、、、、、、
白晓媛张谦王伟光贾雪飞冯坚坚朱信铭王艳红李怡
、、、、、、、。
Ⅰ
GB/T39335—2020
信息安全技术
个人信息安全影响评估指南
1范围
本标准给出了个人信息安全影响评估的基本原理实施流程
、。
本标准适用于各类组织自行开展个人信息安全影响评估工作同时可为主管监管部门第三方测评
,、
机构等组织开展个人信息安全监督检查评估等工作提供参考
、、。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息安全技术信息安全风险评估规范
GB/T20984
信息安全技术术语
GB/T25069—2010
信息安全技术个人信息安全规范
GB/T35273—2020
3术语和定义
界定的以及下列术语和定义适用于本文件
GB/T25069—2010、GB/T35273—2020。
31
.
个人信息personalinformation
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然
人活动情况的各种信息
。
定义
[GB/T35273—2020,3.1]
32
.
个人敏感信息personalsensitiveinformation
一旦泄露非法提供或滥用可能危害人身和财产安全极易导致个人名誉
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 安徽省2022年中考道德与法治真题试卷(含答案)
- 2022年公务员多省联考《申论》真题(天津市级卷)及答案解析
- 2024年新高一英语初升高衔接《书面表达》含答案解析
- 《S管理素养的推进》课件
- 套头衫市场洞察报告
- 唾腺激素制剂市场发展现状调查及供需格局分析预测报告
- 玻璃纤维网市场洞察报告
- 正装衬衫市场发展预测和趋势分析
- 八下地理教学课件教学课件教学
- 《成本核算实务》课件
- 湘科版五年级科学上册全册教案教学设计
- 2024年交投集团招聘笔试参考题库附带答案详解
- 2023年小学美术教育新课标实施解读
- 人员素质测评面试课件
- 2023年上海图书馆招聘考试真题及答案
- Airbnb爱彼迎商业模式分析
- 多文本阅读教学设计八年级
- 超声科室发展规划方案
- 2024届高三化学二轮复习课件 生产应用无机工业流程题的解法及策略(共96张)
- 二年级综合实践活动-神奇的影子课件
- 生物信息学前沿探索
评论
0/150
提交评论