GB/T 39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T39335—2020

信息安全技術(shù)

個(gè)人信息安全影響評(píng)估指南

Informationsecuritytechnology—

Guidanceforpersonalinformationsecurityimpactassessment

2020-11-19發(fā)布2021-06-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T39335—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

評(píng)估原理

4…………………2

概述

4.1…………………2

開展評(píng)估的價(jià)值

4.2……………………2

評(píng)估報(bào)告的用途

4.3……………………2

評(píng)估責(zé)任主體

4.4………………………3

評(píng)估基本原理

4.5………………………3

評(píng)估實(shí)施需考慮的要素

4.6……………3

評(píng)估實(shí)施流程

5……………4

評(píng)估必要性分析

5.1……………………4

評(píng)估準(zhǔn)備工作

5.2………………………5

數(shù)據(jù)映射分析

5.3………………………7

風(fēng)險(xiǎn)源識(shí)別

5.4…………………………7

個(gè)人權(quán)益影響分析

5.5…………………9

安全風(fēng)險(xiǎn)綜合分析

5.6…………………10

評(píng)估報(bào)告

5.7……………10

風(fēng)險(xiǎn)處置和持續(xù)改進(jìn)

5.8………………11

制定報(bào)告發(fā)布策略

5.9…………………11

附錄資料性附錄評(píng)估性合規(guī)的示例及評(píng)估要點(diǎn)

A()…………………12

附錄資料性附錄高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)示例

B()………………14

附錄資料性附錄個(gè)人信息安全影響評(píng)估常用工具表

C()……………16

附錄資料性附錄個(gè)人信息安全影響評(píng)估參考方法

D()………………19

參考文獻(xiàn)

……………………23

GB/T39335—2020

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院四川大學(xué)頤信科技有限公司深圳市騰訊計(jì)算機(jī)系

:、、、

統(tǒng)有限公司華為技術(shù)有限公司全知科技杭州有限責(zé)任公司北京騰云天下科技有限公司國(guó)家金融

、、()、、

卡安全檢測(cè)中心強(qiáng)韻數(shù)據(jù)科技有限公司中國(guó)信息通信研究院北京信息安全測(cè)評(píng)中心聯(lián)想北

IC、、、、(

京有限公司清華大學(xué)阿里巴巴北京軟件服務(wù)有限公司中國(guó)軟件評(píng)測(cè)中心浙江螞蟻小微金融服

)、、()、、

務(wù)集團(tuán)股份有限公司陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心

、。

本標(biāo)準(zhǔn)主要起草人洪延青何延哲胡影高強(qiáng)裔陳湉趙冉冉劉賢剛皮山杉黃勁葛夢(mèng)瑩

:、、、、、、、、、、

范為寧華葛鑫周頓科高磊李汝鑫秦頌蘭曉陳舒陳興蜀金濤秦博陽(yáng)高志民顧偉白利芳

、、、、、、、、、、、、、、、

白曉媛張謙王偉光賈雪飛馮堅(jiān)堅(jiān)朱信銘王艷紅李怡

、、、、、、、。

Ⅰ

GB/T39335—2020

信息安全技術(shù)

個(gè)人信息安全影響評(píng)估指南

1范圍

本標(biāo)準(zhǔn)給出了個(gè)人信息安全影響評(píng)估的基本原理實(shí)施流程

、。

本標(biāo)準(zhǔn)適用于各類組織自行開展個(gè)人信息安全影響評(píng)估工作同時(shí)可為主管監(jiān)管部門第三方測(cè)評(píng)

,、

機(jī)構(gòu)等組織開展個(gè)人信息安全監(jiān)督檢查評(píng)估等工作提供參考

、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/T35273—2020

3術(shù)語(yǔ)和定義

界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010、GB/T35273—2020。

31

.

個(gè)人信息personalinformation

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然

人活動(dòng)情況的各種信息

。

定義

[GB/T35273—2020,3.1]

32

.

個(gè)人敏感信息personalsensitiveinformation

一旦泄露非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全極易導(dǎo)致個(gè)人名譽(yù)