DB21-T 1628.5-2014 信息安全 第5部分：個(gè)人信息安全風(fēng)險(xiǎn)管理指南

根據(jù)《遼寧省市場(chǎng)監(jiān)督管理局關(guān)于遼寧省地方標(biāo)準(zhǔn)集中復(fù)審結(jié)論的通告》（遼寧省市場(chǎng)監(jiān)督管理局通告2022年第28號(hào)本文件歸口單位由遼寧省經(jīng)濟(jì)和信息化委員會(huì)調(diào)整為遼寧省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室。ICS35.020備案號(hào)：DB21InformationSecurity-Part5：Personalinformationsecurityriskma遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布IDB21/T1628.5—2014前言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14要求 25風(fēng)險(xiǎn)管理概述 35.1風(fēng)險(xiǎn)因素 35.2風(fēng)險(xiǎn)類(lèi)別 35.3風(fēng)險(xiǎn)管理職責(zé) 45.4風(fēng)險(xiǎn)管理實(shí)施 45.4.1過(guò)程 46個(gè)人信息安全風(fēng)險(xiǎn)管理過(guò)程 57風(fēng)險(xiǎn)管理范圍 67.1資源 67.2范圍界定 78風(fēng)險(xiǎn)評(píng)估 78.1原則 78.2風(fēng)險(xiǎn)識(shí)別 78.2.1資源識(shí)別 78.2.1.1資源風(fēng)險(xiǎn) 78.2.1.2資源風(fēng)險(xiǎn)確認(rèn) 78.2.1.3資源風(fēng)險(xiǎn)描述 78.2.1.4資源風(fēng)險(xiǎn)跟蹤 88.2.2管理體系風(fēng)險(xiǎn)識(shí)別 88.2.3識(shí)別約束 88.3風(fēng)險(xiǎn)分析 88.4風(fēng)險(xiǎn)判定 8.4.1判定原則 8.4.2風(fēng)險(xiǎn)影響 9風(fēng)險(xiǎn)處理 9.1風(fēng)險(xiǎn)處理原則 9.2風(fēng)險(xiǎn)接受原則 9.2.1風(fēng)險(xiǎn)接受基準(zhǔn) DB21/T1628.5—20149.2.2風(fēng)險(xiǎn)接受區(qū)別 9.3風(fēng)險(xiǎn)處理方式 9.4殘余風(fēng)險(xiǎn) 10風(fēng)險(xiǎn)控制 10.1要求 10.2風(fēng)險(xiǎn)監(jiān)控 10.3個(gè)人信息安全管理體系內(nèi)審 1210.4文檔管理 參考文獻(xiàn) DB21/T1628.5—2014DB21/T1628分為7部分：——信息安全第1部分：個(gè)人信息保護(hù)規(guī)范——信息安全第2部分：個(gè)人信息安全管理體系實(shí)施指南——信息安全第3部分：個(gè)人信息數(shù)據(jù)庫(kù)管理指南——信息安全第4部分：個(gè)人信息管理文檔管理指南——信息安全第5部分：個(gè)人信息安全風(fēng)險(xiǎn)管理指南——信息安全第6部分：個(gè)人信息安全管理體系安全技術(shù)實(shí)施指南——信息安全第7部分：個(gè)人信息安全管理體系內(nèi)審實(shí)施指南。本標(biāo)準(zhǔn)是DB21/T1628的第5部分。本標(biāo)準(zhǔn)依據(jù)GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫(xiě)》制定。本標(biāo)準(zhǔn)由大連市經(jīng)濟(jì)和信息化委員會(huì)提出。本標(biāo)準(zhǔn)由遼寧省經(jīng)濟(jì)和信息化委員會(huì)歸口。本標(biāo)準(zhǔn)主要起草單位：大連軟件行業(yè)協(xié)會(huì)、大連交通大學(xué)。本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、張劍平、尹宏、楊萬(wàn)清、曹劍、王開(kāi)紅。DB21/T1628.5—2014風(fēng)險(xiǎn)是“不確定性對(duì)目標(biāo)的影響”。即“風(fēng)險(xiǎn)是由于從事某項(xiàng)特定活動(dòng)過(guò)程中存在的不確定性而產(chǎn)生的經(jīng)濟(jì)或財(cái)務(wù)的損失、自然破壞或損傷的可能性”（美國(guó)CooperD．F和ChapmanC．B《大項(xiàng)目由于個(gè)人信息處于復(fù)雜、多變的環(huán)境中，呈現(xiàn)出多樣性，因而，個(gè)人信息安全風(fēng)險(xiǎn)發(fā)生的可能性，隨環(huán)境的變化、個(gè)人信息多樣態(tài)的變化，風(fēng)險(xiǎn)因素亦隨之增加或減少，風(fēng)險(xiǎn)事件發(fā)生的可能性亦隨之增大或減小，可能產(chǎn)生不同的風(fēng)險(xiǎn)影響。個(gè)人信息安全風(fēng)險(xiǎn)管理就是識(shí)別、分析、評(píng)估個(gè)人信息管理者運(yùn)營(yíng)中，各種可能危害個(gè)人信息和個(gè)人信息主體權(quán)益的風(fēng)險(xiǎn)，并在此基礎(chǔ)上，采取適當(dāng)?shù)拇胧┯行幹蔑L(fēng)險(xiǎn)。是以可確定的管理成本替代不確定的風(fēng)險(xiǎn)成本，以最小的經(jīng)濟(jì)代價(jià)，實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。0.2個(gè)人信息安全風(fēng)險(xiǎn)管理的必要性在個(gè)人信息生命周期內(nèi)，個(gè)人信息以不同的樣態(tài)存在，既依存于業(yè)務(wù)亦依存于管理，具有不同的風(fēng)險(xiǎn)因素。涉及個(gè)人信息安全風(fēng)險(xiǎn)的來(lái)源是多樣的，依個(gè)人信息生命周期：a）個(gè)人信息獲取過(guò)程：1）個(gè)人信息收集風(fēng)險(xiǎn)（收集目的、收集技術(shù)、方式和手段等2）個(gè)人信息間接收集風(fēng)險(xiǎn)（收集目的、來(lái)源、第三方背景、安全承諾等b）個(gè)人信息處理過(guò)程：1）個(gè)人信息使用風(fēng)險(xiǎn)（使用目的、使用方法和范圍、使用背景等2）個(gè)人信息提供風(fēng)險(xiǎn)（使用目的、使用方法和手段、接受者背景、安全承諾等3）個(gè)人信息處理風(fēng)險(xiǎn)（處理目的、處理方式、處理方法和手段、后處理方式等4）個(gè)人信息委托風(fēng)險(xiǎn)（委托目的、委托接受人、委托回收、安全承諾、回收方式等5）個(gè)人信息傳輸風(fēng)險(xiǎn)（傳輸方式和手段、傳輸?shù)陌踩胧┑萩）基于生命周期的過(guò)程管理：1）個(gè)人信息管理風(fēng)險(xiǎn)（個(gè)人信息管理者的素質(zhì)、權(quán)利和義務(wù)、管理方式等）;2）個(gè)人信息安全管理體系風(fēng)險(xiǎn)（體系缺陷、漏洞等等等。所有個(gè)人信息收集、處理、使用等行為，也都存在個(gè)人信息正確性、完整性和最新?tīng)顟B(tài)的風(fēng)險(xiǎn)。識(shí)別、評(píng)估、判斷個(gè)人信息的潛在價(jià)值、安全威脅，是個(gè)人信息管理的基礎(chǔ)，也是個(gè)人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行的安全基礎(chǔ)。0.3個(gè)人信息安全風(fēng)險(xiǎn)管理評(píng)估評(píng)估個(gè)人信息安全風(fēng)險(xiǎn)管理，包括：a）資源的影響：資源以多種形式存在，其所依存的管理、業(yè)務(wù)關(guān)聯(lián)不同，具有不同的安全屬性和價(jià)值，因而存在不同的安全風(fēng)險(xiǎn)；b）管理脆弱性：在個(gè)人信息管理者的管理體系、機(jī)制中，行政管理、員工管理、業(yè)務(wù)持續(xù)性等多VDB21/T1628.5—2014方面存在固有的缺陷，因而存在某一特定環(huán)境、特定時(shí)間段發(fā)生風(fēng)險(xiǎn)的可能性；c）技術(shù)脆弱性：由于資源存在缺陷或漏洞，因而，所采取的技術(shù)管理措施存在必然的風(fēng)險(xiǎn)；d）個(gè)人信息安全管理體系的影響：個(gè)人信息安全管理體系（包括管理機(jī)制、內(nèi)審機(jī)制、安全機(jī)制、過(guò)程改進(jìn)、認(rèn)證機(jī)制等）及標(biāo)準(zhǔn)、規(guī)范等存在設(shè)計(jì)缺陷，可能引發(fā)不同的安全風(fēng)險(xiǎn)。0.4風(fēng)險(xiǎn)管理基準(zhǔn)本指南為個(gè)人信息安全管理體系提供個(gè)人信息安全風(fēng)險(xiǎn)管理的基準(zhǔn)和支持。但是，本指南并不提供任何特定的個(gè)人信息安全風(fēng)險(xiǎn)管理方法。個(gè)人信息管理者應(yīng)根據(jù)管理及業(yè)務(wù)特點(diǎn)、環(huán)境因素、特定的個(gè)人信息安全管理體系及風(fēng)險(xiǎn)管理范圍等，確定適合自身的風(fēng)險(xiǎn)管理方式。依據(jù)本指南的規(guī)則，實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)管理存在多種方式。0.5與其它標(biāo)準(zhǔn)體系的兼容性本指南支持其它國(guó)際、國(guó)內(nèi)信息安全標(biāo)準(zhǔn)、風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)及相關(guān)標(biāo)準(zhǔn)的一般概念和規(guī)則，并與其協(xié)調(diào)一致，相互配合或相互整合實(shí)施和運(yùn)行。0.6規(guī)定均指“個(gè)人信息安全風(fēng)險(xiǎn)XX”。如“風(fēng)險(xiǎn)管理”即為“個(gè)人信息安全風(fēng)險(xiǎn)管理”等。1DB21/T1628.5—2014本指南為個(gè)人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行中實(shí)施風(fēng)險(xiǎn)管理提供指導(dǎo)和幫助。本指南適用于個(gè)人信息管理者內(nèi)關(guān)注個(gè)人信息安全的各級(jí)管理者和員工，及為個(gè)人信息安全管理體系構(gòu)建、實(shí)施和運(yùn)行提供支持的相關(guān)組織。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB21/T1628.1-2012《信息安全-個(gè)人信息保護(hù)規(guī)范》DB21/T1628.2-2013《信息安全-個(gè)人信息安全管理體系實(shí)施指南》DB21/T1628.4-20xx《個(gè)人信息安全-個(gè)人信息安全管理體系文檔管理指南》DB21/T1628.6-20xx《個(gè)人信息安全管理體系安全技術(shù)實(shí)施指南》3術(shù)語(yǔ)和定義DB21/T1628.1界定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。3.1風(fēng)險(xiǎn)risk從事某項(xiàng)特定活動(dòng)中存在的不確定性對(duì)活動(dòng)目標(biāo)的影響。3.2資源resources信息、信息系統(tǒng)、生產(chǎn)、服務(wù)、人員、信譽(yù)等有價(jià)值的資產(chǎn)。3.3個(gè)人信息安全風(fēng)險(xiǎn)personalinformationsecurityrisk個(gè)人信息收集、管理、處理、使用存在的缺陷和漏洞導(dǎo)致安全事件發(fā)生并產(chǎn)生相應(yīng)影響。3.4風(fēng)險(xiǎn)管理riskmanagement2DB21/T1628.5—2014評(píng)估各種可能危害個(gè)人信息和個(gè)人信息主體權(quán)益的風(fēng)險(xiǎn)，采取適當(dāng)?shù)拇胧┯行幹蔑L(fēng)險(xiǎn)。以最小的經(jīng)濟(jì)代價(jià)，實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。3.5風(fēng)險(xiǎn)識(shí)別riskidentification發(fā)現(xiàn)、記錄、描述危害個(gè)人信息和個(gè)人信息主體權(quán)益的風(fēng)險(xiǎn)因素的過(guò)程。3.6風(fēng)險(xiǎn)評(píng)估riskassessment識(shí)別風(fēng)險(xiǎn)因素，分析風(fēng)險(xiǎn)因素的危害，判斷風(fēng)險(xiǎn)因素導(dǎo)致安全事件的可能性和可能產(chǎn)生的影響。3.7風(fēng)險(xiǎn)規(guī)避riskavoidance采取有效的管理、技術(shù)措施，或更改風(fēng)險(xiǎn)管理計(jì)劃，消除風(fēng)險(xiǎn)或風(fēng)險(xiǎn)發(fā)生的條件。3.8風(fēng)險(xiǎn)弱化riskmitigation采取有效的管理、技術(shù)措施，將風(fēng)險(xiǎn)和可能的影響降低到可以接受的水平。3.9風(fēng)險(xiǎn)轉(zhuǎn)移risktransfer與其它管理體系、或與其它相關(guān)組織分擔(dān)風(fēng)險(xiǎn)損失和影響。3.10風(fēng)險(xiǎn)接受riskacceptance接受可能的風(fēng)險(xiǎn)損失和影響。3.11殘余風(fēng)險(xiǎn)residualrisk實(shí)施風(fēng)險(xiǎn)管理，采取安全措施后，仍然可能存在的風(fēng)險(xiǎn)。4要求本指南遵循DB21/T1628.1《信息安全個(gè)人信息保護(hù)規(guī)范》確立的個(gè)人信息安全原則和要求，亦遵循DB21/T1628.2《信息安全個(gè)人信息安全管理體系實(shí)施指南》確立的實(shí)施細(xì)則，重點(diǎn)描述和指導(dǎo)個(gè)人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行中個(gè)人信息安全風(fēng)險(xiǎn)的評(píng)估、處理、監(jiān)控和持續(xù)的過(guò)程改進(jìn)。3DB21/T1628.5—2014實(shí)施個(gè)人信息安全風(fēng)險(xiǎn)管理，應(yīng)同時(shí)使用DB21/T1628.1《信息安全個(gè)人信息保護(hù)規(guī)范》、DB21/T1628.2《信息安全個(gè)人信息安全管理體系實(shí)施指南》和本指南，并參照DB21/T1628系列其它標(biāo)準(zhǔn)。5風(fēng)險(xiǎn)管理概述5.1風(fēng)險(xiǎn)因素風(fēng)險(xiǎn)因素包括a）危險(xiǎn)因素：存在可能突發(fā)或瞬時(shí)發(fā)生個(gè)人信息危害的因素；b）危害因素：逐漸累積形成個(gè)人信息危害的因素。b）載有個(gè)人信息的介質(zhì)突然丟失；危險(xiǎn)因素分為可以預(yù)測(cè)的和不可預(yù)知的，可預(yù)測(cè)的應(yīng)有必要的預(yù)防措施；不可預(yù)測(cè)的應(yīng)有應(yīng)急機(jī)制。注：危險(xiǎn)因素和危害因素是相對(duì)的，在一定條件下可能轉(zhuǎn)化。當(dāng)弱化個(gè)人能轉(zhuǎn)變?yōu)槲ｋU(xiǎn)因素；如果重視個(gè)人信息安全管理，則有可能5.2風(fēng)險(xiǎn)類(lèi)別根據(jù)危險(xiǎn)或危害因素分類(lèi)，便于識(shí)別和分析個(gè)人信息安全風(fēng)險(xiǎn)。按照風(fēng)險(xiǎn)發(fā)生的直接原因，個(gè)人信息安全風(fēng)險(xiǎn)宜分為5類(lèi)：a）業(yè)務(wù)性的：涉及個(gè)人信息的業(yè)務(wù)流程中存在的風(fēng)險(xiǎn)，如：1）業(yè)務(wù)流程的安全模式；2）業(yè)務(wù)團(tuán)隊(duì)的管理模式；3）業(yè)務(wù)管理方式；4）IT基礎(chǔ)設(shè)施的管理模式等。b）管理性的：涉及個(gè)人信息的經(jīng)營(yíng)管理中存在的風(fēng)險(xiǎn)，如：1）關(guān)鍵部門(mén)的管理方式；2）個(gè)人信息的管理模式；3）網(wǎng)絡(luò)應(yīng)用方式；4）管理人員的職責(zé)5）個(gè)人信息安全管理體系設(shè)計(jì)缺陷等。c）環(huán)境性的：個(gè)人信息管理者的運(yùn)營(yíng)場(chǎng)所與個(gè)人信息安全相關(guān)的環(huán)境及個(gè)人工作位置與個(gè)人信息安全相關(guān)的環(huán)境存在的風(fēng)險(xiǎn)，如：1）環(huán)境管理（自然狀況2）出入管理；3）關(guān)鍵部門(mén)（核心區(qū)域）管理方式；4）相關(guān)信息（文檔等）的管理方式；5）個(gè)人終端及周邊環(huán)境的管理等。d）行為性的：與個(gè)人信息相關(guān)個(gè)人的行為可能存在的安全風(fēng)險(xiǎn)，如：1）管理人員行為規(guī)范；4DB21/T1628.5—20142）業(yè)務(wù)人員的行為規(guī)范；3）IT基礎(chǔ)設(shè)施管理人員的行為規(guī)范；4）個(gè)人信息管理相關(guān)負(fù)責(zé)人的行為規(guī)范；5）個(gè)人信息安全管理體系內(nèi)審人員的行為規(guī)范；6）其他人員應(yīng)遵循的行為準(zhǔn)則等。e）心理性的：基于人性弱點(diǎn)可能產(chǎn)生的個(gè)人信息安全風(fēng)險(xiǎn)，如：2）誘使開(kāi)門(mén)；3）垃圾；4）閑談；5）可能的網(wǎng)絡(luò)聊天6）可能的網(wǎng)絡(luò)技術(shù)欺騙等。注：任何類(lèi)型的個(gè)人信息安全風(fēng)險(xiǎn)，均與資5.3風(fēng)險(xiǎn)管理職責(zé)風(fēng)險(xiǎn)管理過(guò)程應(yīng)是針對(duì)個(gè)人信息管理者整體，包括各部門(mén)、物理區(qū)域、環(huán)境、業(yè)務(wù)及所有資源。實(shí)施風(fēng)險(xiǎn)管理人員應(yīng)包括最高管理者、各級(jí)管理人員、個(gè)人信息管理相關(guān)負(fù)責(zé)人及其他與個(gè)人信息相關(guān)人員。其責(zé)任如表1所示。表1個(gè)人信息管理相關(guān)人員的責(zé)任個(gè)人信息管理相關(guān)負(fù)5.4風(fēng)險(xiǎn)管理實(shí)施5.4.1過(guò)程風(fēng)險(xiǎn)管理的實(shí)施過(guò)程，應(yīng)包括：a）個(gè)人信息管理者代表應(yīng)制定適宜、充分、有效的風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)管理流程和風(fēng)險(xiǎn)管理策b）確定所有相關(guān)人員的責(zé)任；c）全體員工的培訓(xùn)；d）實(shí)施風(fēng)險(xiǎn)管理過(guò)程；5DB21/T1628.5—2014e）跟蹤、監(jiān)控風(fēng)險(xiǎn)變化；f）過(guò)程改進(jìn)。6個(gè)人信息安全風(fēng)險(xiǎn)管理過(guò)程風(fēng)險(xiǎn)管理是動(dòng)態(tài)、持續(xù)的，風(fēng)險(xiǎn)管理過(guò)程是可控的。風(fēng)險(xiǎn)管理過(guò)程如圖1所示。No風(fēng)險(xiǎn)評(píng)估過(guò)程風(fēng)險(xiǎn)管理范圍風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)判定滿(mǎn)足？風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)跟蹤和監(jiān)控滿(mǎn)足？No風(fēng)險(xiǎn)評(píng)估過(guò)程風(fēng)險(xiǎn)管理范圍風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)判定滿(mǎn)足？風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)跟蹤和監(jiān)控滿(mǎn)足？No風(fēng)險(xiǎn)接受圖1風(fēng)險(xiǎn)管理過(guò)程風(fēng)險(xiǎn)管理過(guò)程如圖1：a）確定風(fēng)險(xiǎn)管理范圍：確認(rèn)個(gè)人信息相關(guān)資源，資源優(yōu)先級(jí)，評(píng)估損失及影響程度，以確定風(fēng)險(xiǎn)管理邊界；b）風(fēng)險(xiǎn)評(píng)估：如果風(fēng)險(xiǎn)評(píng)估充分、有效，可以采取有效的風(fēng)險(xiǎn)應(yīng)對(duì)措施；否則，重新確定范圍，進(jìn)入新的循環(huán)；c）如果風(fēng)險(xiǎn)應(yīng)對(duì)措施合理、有效，殘余風(fēng)險(xiǎn)降低到可接受水平；否則：1）重新進(jìn)行風(fēng)險(xiǎn)處理；2）重新確定風(fēng)險(xiǎn)范圍，進(jìn)入新的循環(huán)；d）風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受后，應(yīng)持續(xù)跟蹤、監(jiān)控風(fēng)險(xiǎn)變化。6DB21/T1628.5—2014風(fēng)險(xiǎn)管理應(yīng)采用PDCA模式，改進(jìn)過(guò)程如圖2所示。計(jì)劃計(jì)劃完善和改進(jìn)風(fēng)險(xiǎn)管理過(guò)程檢查實(shí)施風(fēng)險(xiǎn)應(yīng)對(duì)措施跟蹤和監(jiān)控風(fēng)險(xiǎn)變化構(gòu)建風(fēng)險(xiǎn)管理過(guò)程改進(jìn)實(shí)施圖2適于風(fēng)險(xiǎn)管理過(guò)程的PDCA模式表2描述了PDCA四個(gè)階段的風(fēng)險(xiǎn)管理活動(dòng)：表2PDCA四個(gè)階段的風(fēng)險(xiǎn)管理活動(dòng)7風(fēng)險(xiǎn)管理范圍7.1資源應(yīng)識(shí)別與管理、業(yè)務(wù)涉及個(gè)人信息部分關(guān)聯(lián)的各種資源。（參見(jiàn)DB21/T1628.2第8章）。注：風(fēng)險(xiǎn)管理范圍涵蓋了個(gè)人信息管理者所有7DB21/T1628.5—20147.2范圍界定確定風(fēng)險(xiǎn)管理的范圍，應(yīng)考慮：a）個(gè)人信息管理者的運(yùn)營(yíng)戰(zhàn)略、管理結(jié)構(gòu)、業(yè)務(wù)模式；b）個(gè)人信息管理機(jī)構(gòu)的職能；c）個(gè)人信息管理方針；d）資源管理（參見(jiàn)DB21/T1628.2第8章e）依據(jù)風(fēng)險(xiǎn)類(lèi)別確定風(fēng)險(xiǎn)管理的邊界；f）影響風(fēng)險(xiǎn)管理的約束條件等。8風(fēng)險(xiǎn)評(píng)估8.1原則風(fēng)險(xiǎn)評(píng)估是在風(fēng)險(xiǎn)管理范圍內(nèi)，識(shí)別與個(gè)人信息相關(guān)聯(lián)的資源，識(shí)別個(gè)人信息的安全風(fēng)險(xiǎn)，分析、判斷風(fēng)險(xiǎn)發(fā)生的可能性和可能的影響。風(fēng)險(xiǎn)評(píng)估的原則，宜遵循：a）個(gè)人信息安全相關(guān)法規(guī)、規(guī)范的要求；b）個(gè)人信息管理者的管理、業(yè)務(wù)模式和發(fā)展戰(zhàn)略；c）與個(gè)人信息相關(guān)資源的重要程度；d）風(fēng)險(xiǎn)等級(jí)；e）與所涉及個(gè)人信息相關(guān)各方的權(quán)益。8.2風(fēng)險(xiǎn)識(shí)別8.2.1資源識(shí)別8.2.1.1資源風(fēng)險(xiǎn)資源風(fēng)險(xiǎn)主要表現(xiàn)為：a）資源依賴(lài)度：涉及個(gè)人信息的管理、業(yè)務(wù)對(duì)各類(lèi)資源的依賴(lài)程度，依賴(lài)度越高，風(fēng)險(xiǎn)越大；b）資源價(jià)值：與管理、業(yè)務(wù)涉及個(gè)人信息部分關(guān)聯(lián)的各種資源，依賴(lài)程度越高，價(jià)值越大，風(fēng)險(xiǎn)越大；c）資源管理者、使用者：個(gè)人責(zé)任；自然的或人為的、意外的或故意的行為等對(duì)資源的潛在風(fēng)d）環(huán)境因素：資源所處環(huán)境的安全。8.2.1.2資源風(fēng)險(xiǎn)確認(rèn)應(yīng)對(duì)每一項(xiàng)可識(shí)別的需要保護(hù)的資源，確認(rèn)：a）關(guān)鍵的、需重點(diǎn)防護(hù)的：資源依賴(lài)度高、價(jià)值高的資源；b）次要的但也需保護(hù)的：資源依賴(lài)度相對(duì)較高，具有較高的價(jià)值的資源；c）暫不需專(zhuān)門(mén)關(guān)注的：資源依賴(lài)度相對(duì)較低，資源價(jià)值較低。8.2.1.3資源風(fēng)險(xiǎn)描述在風(fēng)險(xiǎn)管理范圍內(nèi)，應(yīng)識(shí)別、描述與管理、業(yè)務(wù)涉及個(gè)人信息部分關(guān)聯(lián)的各種資源：a）該類(lèi)資源的詳細(xì)信息；8DB21/T1628.5—2014b）資源與個(gè)人信息的關(guān)聯(lián)度；c）資源的責(zé)任者和職能等。8.2.1.4資源風(fēng)險(xiǎn)跟蹤a）資源識(shí)別是個(gè)人信息生命周期存續(xù)期間相關(guān)資源的識(shí)別。應(yīng)關(guān)注資源與個(gè)人信息安全的關(guān)聯(lián)，在資源識(shí)別中，應(yīng)注重威脅個(gè)人信息生命周期各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)；b）個(gè)人信息安全風(fēng)險(xiǎn)發(fā)生的可能性因環(huán)境、管理、業(yè)務(wù)及個(gè)人信息多樣態(tài)等的變化動(dòng)態(tài)變化，因而對(duì)資源的關(guān)注度也隨之變化。跟蹤、監(jiān)控風(fēng)險(xiǎn)變化，亦應(yīng)識(shí)別資源的重要程度。表3資源識(shí)別典型實(shí)例身份證、護(hù)照、駕筆記本無(wú)線網(wǎng)卡上網(wǎng)8.2.2管理體系風(fēng)險(xiǎn)識(shí)別個(gè)人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行過(guò)程中的風(fēng)險(xiǎn)識(shí)別，是體系持續(xù)改進(jìn)和完善的保證。個(gè)人信息安全管理體系安全風(fēng)險(xiǎn)主要表現(xiàn)為：a）最高管理者的意志和意識(shí)：如果最高管理者僅僅選擇形式，則體系形同虛設(shè)。b）個(gè)人信息管理機(jī)制的設(shè)計(jì)：管理機(jī)制設(shè)計(jì)不合理，將造成管理機(jī)構(gòu)職責(zé)不清、管理制度生搬硬套、員工個(gè)人信息安全意識(shí)不清等；c）技術(shù)管理：保障個(gè)人信息安全的信息安全技術(shù)，如網(wǎng)絡(luò)安全、存儲(chǔ)安全、環(huán)境安全、傳輸安全等，應(yīng)與整體信息安全統(tǒng)一規(guī)劃、設(shè)計(jì)，并考慮個(gè)人信息安全的特殊性；d）業(yè)務(wù)流程管理：應(yīng)充分考慮業(yè)務(wù)流程中與個(gè)人信息關(guān)聯(lián)的風(fēng)險(xiǎn)因素的管理策略；e）過(guò)程改進(jìn)缺陷：應(yīng)注意個(gè)人信息安全管理體系在過(guò)程改進(jìn)中可能引發(fā)的潛在威脅；8.2.3識(shí)別約束在風(fēng)險(xiǎn)識(shí)別中，應(yīng)確定個(gè)人信息安全風(fēng)險(xiǎn)源及如何發(fā)生、以什么方式發(fā)生、發(fā)生位置、發(fā)生原因8.3風(fēng)險(xiǎn)分析基于風(fēng)險(xiǎn)管理范圍，在風(fēng)險(xiǎn)分類(lèi)并識(shí)別后，定性描述分析和確認(rèn)的各類(lèi)風(fēng)險(xiǎn)的特征、發(fā)生的可能性、頻度、顯性或潛在的影響的風(fēng)險(xiǎn)等級(jí)，如表4—表8示例。9DB21/T1628.5—2014表4業(yè)務(wù)性風(fēng)險(xiǎn)等級(jí)描述12345業(yè)務(wù)性的風(fēng)不涉及個(gè)極少涉及個(gè)人涉及少量個(gè)人信息，風(fēng)險(xiǎn)發(fā)生的可能性極小但發(fā)生的可能存在較大風(fēng)險(xiǎn)且發(fā)生的可能生個(gè)人信息安全風(fēng)險(xiǎn)的可能性很大表5管理性風(fēng)險(xiǎn)等級(jí)描述（1）12345管理性的風(fēng)極少涉及個(gè)人涉及部分個(gè)人發(fā)生個(gè)人信息安信息，風(fēng)險(xiǎn)發(fā)生的可能性極小但發(fā)生的可能存在較大風(fēng)險(xiǎn)且發(fā)生的可能全風(fēng)險(xiǎn)的可能性表6管理性風(fēng)險(xiǎn)等級(jí)描述（2）12345管理性的風(fēng)相應(yīng)技術(shù)措施相應(yīng)技術(shù)措施相應(yīng)技術(shù)措施未采取或僅采取相對(duì)完善，缺存在一般性的陷被使用的可表7環(huán)境性風(fēng)險(xiǎn)等級(jí)描述12345環(huán)境性的危在整體環(huán)境或在整體環(huán)境或在整體環(huán)境或在整體環(huán)境或個(gè)險(xiǎn)或危害因個(gè)人工作環(huán)境個(gè)人工作環(huán)境個(gè)人工作環(huán)境人工作環(huán)境中存素中極少存在個(gè)人信息安全隱患，風(fēng)險(xiǎn)發(fā)生中存在部分個(gè)人信息安全隱發(fā)生的可能性中存在個(gè)人信在較大風(fēng)險(xiǎn)且發(fā)生的可能性在很大的個(gè)人信表8行為性風(fēng)險(xiǎn)等級(jí)描述12345DB21/T1628.5—2014行為性的風(fēng)無(wú)行為危險(xiǎn)員工行為存在極少個(gè)人信息安全隱患，風(fēng)險(xiǎn)發(fā)生的可能員工行為存在發(fā)生個(gè)人信息安全隱患的可發(fā)生的可能性員工行為存在個(gè)人信息安全風(fēng)險(xiǎn)且發(fā)生的員工行為存在很大的個(gè)人信息安風(fēng)險(xiǎn)且發(fā)生的可8.4風(fēng)險(xiǎn)判定8.4.1判定原則風(fēng)險(xiǎn)影響判定，宜遵循以下原則：a）違背個(gè)人信息安全相關(guān)法規(guī)、規(guī)范的情況；b）個(gè)人信息主體權(quán)益損失程度；c）個(gè)人信息準(zhǔn)確性、完整性和時(shí)效性的確定；d）資源風(fēng)險(xiǎn)的確定；e）風(fēng)險(xiǎn)等級(jí)確定f）經(jīng)營(yíng)損失的確定；g）聲譽(yù)損失。8.4.2風(fēng)險(xiǎn)影響根據(jù)風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)判定原則，可判定風(fēng)險(xiǎn)可能產(chǎn)生的影響。影響可以分為3級(jí)，如表9所示。表9風(fēng)險(xiǎn)影響123不構(gòu)成嚴(yán)重事故，但仍造成一定損失：業(yè)務(wù)受到一定影響；有嚴(yán)重?fù)p害個(gè)人信息主體權(quán)益，影響極大：業(yè)務(wù)受到極大影響；經(jīng)濟(jì)和9風(fēng)險(xiǎn)處理9.1風(fēng)險(xiǎn)處理原則應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇、實(shí)施適宜的風(fēng)險(xiǎn)應(yīng)對(duì)措施，將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。風(fēng)險(xiǎn)處理原則包括：a）可能完全消除的風(fēng)險(xiǎn)，應(yīng)完全消除；b）不可能完全消除的風(fēng)險(xiǎn)，應(yīng)盡可能采用技術(shù)和管理措施，規(guī)避、弱化或轉(zhuǎn)移風(fēng)險(xiǎn)；DB21/T1628.5—2014c）應(yīng)考慮人的心理承受和行為能力；d）應(yīng)通過(guò)內(nèi)審檢測(cè)風(fēng)險(xiǎn)是否得到控制；e）應(yīng)通過(guò)技術(shù)、管理改進(jìn)風(fēng)險(xiǎn)應(yīng)對(duì)措施；f）應(yīng)制定應(yīng)急計(jì)劃和應(yīng)急處理流程。注：可能采用的安全技術(shù)，參見(jiàn)DB21/T1628.6《信息安全個(gè)人信息安全管理體系9.2風(fēng)險(xiǎn)接受原則9.2.1風(fēng)險(xiǎn)接受基準(zhǔn)個(gè)人信息管理者應(yīng)根據(jù)自身的管理和業(yè)務(wù)運(yùn)行目標(biāo)、特點(diǎn)及可接受風(fēng)險(xiǎn)能力，基于多方面情況考慮，將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)：a）個(gè)人信息安全相關(guān)法規(guī)、規(guī)范；b）管理、業(yè)務(wù)模式；c）運(yùn)行模式；d）技術(shù)管理；e）環(huán)境因素；f）人為因素；g）其它因素。9.2.2風(fēng)險(xiǎn)接受區(qū)別風(fēng)險(xiǎn)接受可以因下列情況不同而接受：a）風(fēng)險(xiǎn)保持時(shí)間不同：例如，某項(xiàng)業(yè)務(wù)活動(dòng)中風(fēng)險(xiǎn)存在時(shí)間不同，采取不同的風(fēng)險(xiǎn)應(yīng)對(duì)方式，將風(fēng)險(xiǎn)降低到可接受程度；b）各類(lèi)管理者對(duì)風(fēng)險(xiǎn)的理解不同，形成風(fēng)險(xiǎn)評(píng)估差異，而采取不同的風(fēng)險(xiǎn)應(yīng)對(duì)措施，但殘余風(fēng)險(xiǎn)是可接受的；c）風(fēng)險(xiǎn)是不可接受的，但承諾并確認(rèn)在確定時(shí)間內(nèi)將風(fēng)險(xiǎn)降低到可接受程度。9.3風(fēng)險(xiǎn)處理方式一般宜采用風(fēng)險(xiǎn)規(guī)避、風(fēng)險(xiǎn)弱化、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)接受方式處理風(fēng)險(xiǎn)：a）風(fēng)險(xiǎn)規(guī)避：如果通過(guò)風(fēng)險(xiǎn)評(píng)估，個(gè)人信息安全風(fēng)險(xiǎn)是不可接受的，可以采用避免使用資源風(fēng)險(xiǎn)高的資源；改變運(yùn)行環(huán)境；停止或取消業(yè)務(wù)、管理計(jì)劃或活動(dòng)（如果可能）等方式規(guī)避風(fēng)險(xiǎn)；b）風(fēng)險(xiǎn)弱化：對(duì)高資源風(fēng)險(xiǎn)采取適宜的保護(hù)措施避免或降低風(fēng)險(xiǎn)。如IT基礎(chǔ)設(shè)施的防護(hù)、個(gè)人信息數(shù)據(jù)庫(kù)的防護(hù)、備份容災(zāi)、應(yīng)急處理等。風(fēng)險(xiǎn)弱化應(yīng)考慮：1）注意管理、技術(shù)、環(huán)境等因素，考慮成本控制，選擇適宜的措施；2）注意安全防護(hù)措施的約束條件，如技術(shù)條件、管理成本、員工能力、環(huán)境因素等；3）應(yīng)在風(fēng)險(xiǎn)弱化后，重新實(shí)施風(fēng)險(xiǎn)評(píng)