ICS35040

L80.

中華人民共和國國家標準

GB/T39335—2020

信息安全技術

個人信息安全影響評估指南

Informationsecuritytechnology—

Guidanceforpersonalinformationsecurityimpactassessment

2020-11-19發(fā)布2021-06-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T39335—2020

目次

前言

…………………………Ⅰ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

評估原理

4…………………2

概述

4.1…………………2

開展評估的價值

4.2……………………2

評估報告的用途

4.3……………………2

評估責任主體

4.4………………………3

評估基本原理

4.5………………………3

評估實施需考慮的要素

4.6……………3

評估實施流程

5……………4

評估必要性分析

5.1……………………4

評估準備工作

5.2………………………5

數(shù)據(jù)映射分析

5.3………………………7

風險源識別

5.4…………………………7

個人權益影響分析

5.5…………………9

安全風險綜合分析

5.6…………………10

評估報告

5.7……………10

風險處置和持續(xù)改進

5.8………………11

制定報告發(fā)布策略

5.9…………………11

附錄資料性附錄評估性合規(guī)的示例及評估要點

A()…………………12

附錄資料性附錄高風險的個人信息處理活動示例

B()………………14

附錄資料性附錄個人信息安全影響評估常用工具表

C()……………16

附錄資料性附錄個人信息安全影響評估參考方法

D()………………19

參考文獻

……………………23

GB/T39335—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國電子技術標準化研究院四川大學頤信科技有限公司深圳市騰訊計算機系

:、、、

統(tǒng)有限公司華為技術有限公司全知科技杭州有限責任公司北京騰云天下科技有限公司國家金融

、、()、、

卡安全檢測中心強韻數(shù)據(jù)科技有限公司中國信息通信研究院北京信息安全測評中心聯(lián)想北

IC、、、、(

京有限公司清華大學阿里巴巴北京軟件服務有限公司中國軟件評測中心浙江螞蟻小微金融服

)、、()、、

務集團股份有限公司陜西省網絡與信息安全測評中心

、。

本標準主要起草人洪延青何延哲胡影高強裔陳湉趙冉冉劉賢剛皮山杉黃勁葛夢瑩

:、、、、、、、、、、

范為寧華葛鑫周頓科高磊李汝鑫秦頌蘭曉陳舒陳興蜀金濤秦博陽高志民顧偉白利芳

、、、、、、、、、、、、、、、

白曉媛張謙王偉光賈雪飛馮堅堅朱信銘王艷紅李怡

、、、、、、、。

Ⅰ

GB/T39335—2020

信息安全技術

個人信息安全影響評估指南

1范圍

本標準給出了個人信息安全影響評估的基本原理實施流程

、。

本標準適用于各類組織自行開展個人信息安全影響評估工作同時可為主管監(jiān)管部門第三方測評

,、

機構等組織開展個人信息安全監(jiān)督檢查評估等工作提供參考

、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息安全風險評估規(guī)范

GB/T20984

信息安全技術術語

GB/T25069—2010

信息安全技術個人信息安全規(guī)范

GB/T35273—2020

3術語和定義

界定的以及下列術語和定義適用于本文件

GB/T25069—2010、GB/T35273—2020。

31

.

個人信息personalinformation

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然

人活動情況的各種信息

。

定義

[GB/T35273—2020,3.1]

32

.

個人敏感信息personalsensitiveinformation

一旦泄露非法提供或濫用可能危害人身和財產安全極易導致個人名譽