根據(jù)《遼寧省市場監(jiān)督管理局關(guān)于遼寧省地方標準集中復審結(jié)論的通告》（遼寧省市場監(jiān)督管理局通告2022年第28號），本文件歸口單位由遼寧省經(jīng)濟和信息化委員會調(diào)整為遼寧省委網(wǎng)絡安全和信息化委員會辦公室。ICS35.020L70DB21備案號：遼寧省地方標準DB21/T1628.5—2014信息安全第5部分：個人信息安全風險管理指南InformationSecurity-Part5：Personalinformationsecurityriskmanagement遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布DB21/T1628.5—2014目??次前言...................................................................................................................................................................III引言.....................................................................................................................................................................IV1范圍.................................................................................................................................................................12規(guī)范性引用文件.............................................................................................................................................13術(shù)語和定義.....................................................................................................................................................14要求.................................................................................................................................................................25風險管理概述.................................................................................................................................................35.15.25.3風險因素.................................................................................................................................................3風險類別.................................................................................................................................................3風險管理職責.........................................................................................................................................45.4風險管理實施.........................................................................................................................................45.4.1過程.................................................................................................................................................46個人信息安全風險管理過程.........................................................................................................................57風險管理范圍.................................................................................................................................................6資源.........................................................................................................................................................6范圍界定.................................................................................................................................................78風險評估.........................................................................................................................................................7原則.........................................................................................................................................................7風險識別.................................................................................................................................................78.2.1資源識別.........................................................................................................................................7資源風險.............................................................................................................................7資源風險確認.....................................................................................................................7資源風險描述.....................................................................................................................7資源風險跟蹤.....................................................................................................................88.2.2管理體系風險識別.........................................................................................................................88.2.3識別約束.........................................................................................................................................88.3風險分析.................................................................................................................................................8風險判定...............................................................................................................................................108.4.1判定原則.......................................................................................................................................108.4.2風險影響.......................................................................................................................................109風險處理.......................................................................................................................................................109.1風險處理原則.......................................................................................................................................109.2風險接受原則.......................................................................................................................................119.2.1風險接受基準...............................................................................................................................11IDB21/T1628.5—20149.2.2風險接受區(qū)別...............................................................................................................................119.3風險處理方式.......................................................................................................................................119.4殘余風險...............................................................................................................................................1110風險控制.....................................................................................................................................................1210.1要求.....................................................................................................................................................1210.2風險監(jiān)控.............................................................................................................................................1210.3個人信息安全管理體系內(nèi)審.............................................................................................................1210.4文檔管理.............................................................................................................................................12參考文獻.............................................................................................................................................................14IIDB21/T1628.5—2014前??言DB21/T1628分為7部分：——信息安全第1部分：個人信息保護規(guī)范——信息安全第2部分：個人信息安全管理體系實施指南——信息安全第3部分：個人信息數(shù)據(jù)庫管理指南——信息安全第4部分：個人信息管理文檔管理指南——信息安全第5部分：個人信息安全風險管理指南——信息安全第6部分：個人信息安全管理體系安全技術(shù)實施指南——信息安全第7部分：個人信息安全管理體系內(nèi)審實施指南。本標準是DB21/T1628的第5部分。本標準依據(jù)GB/T1.1—2009《標準化工作導則第1部分：標準的結(jié)構(gòu)與編寫》制定。本標準由大連市經(jīng)濟和信息化委員會提出。本標準由遼寧省經(jīng)濟和信息化委員會歸口。本標準主要起草單位：大連軟件行業(yè)協(xié)會、大連交通大學。本標準主要起草人：郎慶斌、孫鵬、張劍平、尹宏、楊萬清、曹劍、王開紅。IIIDB21/T1628.5—2014引??言0.1綜述風險是“不確定性對目標的影響”。即“風險是由于從事某項特定活動過程中存在的不確定性而產(chǎn)生的經(jīng)濟或財務的損失、自然破壞或損傷的可能性”（美國CooperD．F和ChapmanC．B《大項目風險分析》）。由于個人信息處于復雜、多變的環(huán)境中，呈現(xiàn)出多樣性，因而，個人信息安全風險發(fā)生的可能性，隨環(huán)境的變化、個人信息多樣態(tài)的變化，風險因素亦隨之增加或減少，風險事件發(fā)生的可能性亦隨之增大或減小，可能產(chǎn)生不同的風險影響。個人信息安全風險管理就是識別、分析、評估個人信息管理者運營中，各種可能危害個人信息和個人信息主體權(quán)益的風險，并在此基礎上，采取適當?shù)拇胧┯行幹蔑L險。是以可確定的管理成本替代不確定的風險成本，以最小的經(jīng)濟代價，實現(xiàn)最大安全保障的科學管理方法。0.2個人信息安全風險管理的必要性在個人信息生命周期內(nèi)，個人信息以不同的樣態(tài)存在，既依存于業(yè)務亦依存于管理，具有不同的風險因素。涉及個人信息安全風險的來源是多樣的，依個人信息生命周期：a）個人信息獲取過程：1）個人信息收集風險（收集目的、收集技術(shù)、方式和手段等）；2）個人信息間接收集風險（收集目的、來源、第三方背景、安全承諾等）；b）個人信息處理過程：等等。所有個人信息收集、處理、使用等行為，也都存在個人信息正確性、完整性和最新狀態(tài)的風險。識別、評估、判斷個人信息的潛在價值、安全威脅，是個人信息管理的基礎，也是個人信息安全管理體系構(gòu)建、實施、運行的安全基礎。評估個人信息安全風險管理，包括：a）資源的影響：資源以多種形式存在，其所依存的管理、業(yè)務關(guān)聯(lián)不同，具有不同的安全屬性和價值，因而存在不同的安全風險；b）管理脆弱性：在個人信息管理者的管理體系、機制中，行政管理、員工管理、業(yè)務持續(xù)性等多IVDB21/T1628.5—2014方面存在固有的缺陷，因而存在某一特定環(huán)境、特定時間段發(fā)生風險的可能性；c）技術(shù)脆弱性：由于資源存在缺陷或漏洞，因而，所采取的技術(shù)管理措施存在必然的風險；d）個人信息安全管理體系的影響：個人信息安全管理體系（包括管理機制、內(nèi)審機制、安全機制、過程改進、認證機制等）及標準、規(guī)范等存在設計缺陷，可能引發(fā)不同的安全風險。0.4風險管理基準本指南為個人信息安全管理體系提供個人信息安全風險管理的基準和支持。但是，本指南并不提供任何特定的個人信息安全風險管理方法。個人信息管理者應根據(jù)管理及業(yè)務特點、環(huán)境因素、特定的個人信息安全管理體系及風險管理范圍等，確定適合自身的風險管理方式。依據(jù)本指南的規(guī)則，實施個人信息安全風險管理存在多種方式。0.5與其它標準體系的兼容性本指南支持其它國際、國內(nèi)信息安全標準、風險管理標準及相關(guān)標準的一般概念和規(guī)則，并與其協(xié)調(diào)一致，相互配合或相互整合實施和運行。0.6規(guī)定本指南各條款所指“風險管理”、“風險評估”、“風險處理”、“風險應對”及其它“風險XX”等，均指“個人信息安全風險XX”。如“風險管理”即為“個人信息安全風險管理”等。VDB21/T1628.5—2014個人信息安全風險管理指南1范圍本指南為個人信息安全管理體系構(gòu)建、實施、運行中實施風險管理提供指導和幫助。本指南適用于個人信息管理者內(nèi)關(guān)注個人信息安全的各級管理者和員工，及為個人信息安全管理體系構(gòu)建、實施和運行提供支持的相關(guān)組織。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB21/T1628.1-2012《信息安全-個人信息保護規(guī)范》DB21/T1628.2-2013《信息安全-個人信息安全管理體系實施指南》DB21/T1628.4-20xx《個人信息安全-個人信息安全管理體系文檔管理指南》DB21/T1628.6-20xx《個人信息安全管理體系安全技術(shù)實施指南》信息、信息系統(tǒng)、生產(chǎn)、服務、人員、信譽等有價值的資產(chǎn)。1DB21/T1628.5—2014評估各種可能危害個人信息和個人信息主體權(quán)益的風險，采取適當?shù)拇胧┯行幹蔑L險。以最小的經(jīng)濟代價，實現(xiàn)最大安全保障的科學管理方法。3.5風險識別riskidentification發(fā)現(xiàn)、記錄、描述危害個人信息和個人信息主體權(quán)益的風險因素的過程。3.6風險評估riskassessment識別風險因素，分析風險因素的危害，判斷風險因素導致安全事件的可能性和可能產(chǎn)生的影響。3.7風險規(guī)避riskavoidance采取有效的管理、技術(shù)措施，或更改風險管理計劃，消除風險或風險發(fā)生的條件。3.8風險弱化riskmitigation本指南遵循DB21/T1628.1《信息安全個人信息保護規(guī)范》確立的個人信息安全原則和要求，亦遵循DB21/T1628.2《信息安全個人信息安全管理體系實施指南》確立的實施細則，重點描述和指導個人信息安全管理體系構(gòu)建、實施、運行中個人信息安全風險的評估、處理、監(jiān)控和持續(xù)的過程改進。2DB21/T1628.5—2014實施個人信息安全風險管理，應同時使用DB21/T1628.1《信息安全個人信息保護規(guī)范》、DB21/T1628.2《信息安全個人信息安全管理體系實施指南》和本指南，并參照DB21/T1628系列其它標準。5風險管理概述5.1風險因素風險因素包括a）危險因素：存在可能突發(fā)或瞬時發(fā)生個人信息危害的因素；b）危害因素：逐漸累積形成個人信息危害的因素。示例：危險因素的事例：a）自然災害；b）載有個人信息的介質(zhì)突然丟失；c）IT設施突然受到攻擊等。危險因素分為可以預測的和不可預知的，可預測的應有必要的預防措施；不可預測的應有應急機制。注：危險因素和危害因素是相對的，在一定條件下可能轉(zhuǎn)化。當弱化個人信息安全管理時，危害因素逐漸累積，可能轉(zhuǎn)變?yōu)槲ｋU因素；如果重視個人信息安全管理，則有可能規(guī)避、弱化可能存在的危險因素，并逐步降低風險等級，直至消弭。5.2風險類別根據(jù)危險或危害因素分類，便于識別和分析個人信息安全風險。按照風險發(fā)生的直接原因，個人信息安全風險宜分為5類：2）業(yè)務團隊的管理模式；4）IT基礎設施的管理模式等。2）個人信息的管理模式；5）個人信息安全管理體系設計缺陷等。c）環(huán)境性的：個人信息管理者的運營場所與個人信息安全相關(guān)的環(huán)境及個人工作位置與個人信息安全相關(guān)的環(huán)境存在的風險，如：1）環(huán)境管理（自然狀況）；3DB21/T1628.5—20142）業(yè)務人員的行為規(guī)范；3）IT基礎設施管理人員的行為規(guī)范；4）個人信息管理相關(guān)負責人的行為規(guī)范；5）個人信息安全管理體系內(nèi)審人員的行為規(guī)范；6）其他人員應遵循的行為準則等。e）心理性的：基于人性弱點可能產(chǎn)生的個人信息安全風險，如：1）電話交談；2）誘使開門；3）垃圾；4）閑談；5）可能的網(wǎng)絡聊天6）可能的網(wǎng)絡技術(shù)欺騙等。注：任何類型的個人信息安全風險，均與資源管理、技術(shù)策略相關(guān)。5.3風險管理職責風險管理過程應是針對個人信息管理者整體，包括各部門、物理區(qū)域、環(huán)境、業(yè)務及所有資源。實施風險管理人員應包括最高管理者、各級管理人員、個人信息管理相關(guān)負責人及其他與個人信息相關(guān)人員。其責任如表1所示。表1個人信息管理相關(guān)人員的責任相關(guān)人員責任1實施風險管理的決策者2管理者的決心和意識1自身的行為和意識2本部門風險的理解和認識3風險管理過程的組織和協(xié)調(diào)1崗位職責的履行2所在部門的監(jiān)督和溝通3風險應對措施a）個人信息管理者代表應制定適宜、充分、有效的風險管理計劃、風險管理流程和風險管理策d）實施風險管理過程；4DB21/T1628.5—2014e）跟蹤、監(jiān)控風險變化；f）過程改進。6個人信息安全風險管理過程風險管理是動態(tài)、持續(xù)的，風險管理過程是可控的。風險管理過程如圖1所示。風險管理范圍風險識別風險評估過程風險分析風險判定滿足？Noa）確定風險管理范圍：確認個人信息相關(guān)資源，資源優(yōu)先級，評估損失及影響程度，以確定風險b）風險評估：如果風險評估充分、有效，可以采取有效的風險應對措施；否則，重新確定范圍，c）如果風險應對措施合理、有效，殘余風險降低到可接受水平；否則：1）重新進行風險處理；5DB21/T1628.5—2014風險管理應采用PDCA模式，改進過程如圖2所示。計劃構(gòu)建風險管理過程實施風險實施應對措施完善和改進改進風險管理過程跟蹤和監(jiān)控風險變化檢查持續(xù)跟蹤、監(jiān)控風險變化完善、改進風險管理過程應識別與管理、業(yè)務涉及個人信息部分關(guān)聯(lián)的各種資源。（參見DB21/T1628.2第8章）。6DB21/T1628.5—20147.2范圍界定確定風險管理的范圍，應考慮：a）個人信息管理者的運營戰(zhàn)略、管理結(jié)構(gòu)、業(yè)務模式；b）個人信息管理機構(gòu)的職能；c）個人信息管理方針；d）資源管理（參見DB21/T1628.2第8章）；e）依據(jù)風險類別確定風險管理的邊界；f）影響風險管理的約束條件等。8風險評估8.1原則風險評估是在風險管理范圍內(nèi)，識別與個人信息相關(guān)聯(lián)的資源，識別個人信息的安全風險，分析、判斷風險發(fā)生的可能性和可能的影響。風險評估的原則，宜遵循：a）個人信息安全相關(guān)法規(guī)、規(guī)范的要求；b）個人信息管理者的管理、業(yè)務模式和發(fā)展戰(zhàn)略；c）與個人信息相關(guān)資源的重要程度；d）風險等級；e）與所涉及個人信息相關(guān)各方的權(quán)益。a）資源依賴度：涉及個人信息的管理、業(yè)務對各類資源的依賴程度，依賴度越高，風險越大；b）資源價值：與管理、業(yè)務涉及個人信息部分關(guān)聯(lián)的各種資源，依賴程度越高，價值越大，風c）資源管理者、使用者：個人責任；自然的或人為的、意外的或故意的行為等對資源的潛在風d）環(huán)境因素：資源所處環(huán)境的安全。應對每一項可識別的需要保護的資源，確認：a）該類資源的詳細信息；7DB21/T1628.5—2014b）資源與個人信息的關(guān)聯(lián)度；c）資源的責任者和職能等。8.2.1.4資源風險跟蹤a）資源識別是個人信息生命周期存續(xù)期間相關(guān)資源的識別。應關(guān)注資源與個人信息安全的關(guān)聯(lián)，在資源識別中，應注重威脅個人信息生命周期各個環(huán)節(jié)的風險；b）個人信息安全風險發(fā)生的可能性因環(huán)境、管理、業(yè)務及個人信息多樣態(tài)等的變化動態(tài)變化，因而對資源的關(guān)注度也隨之變化。跟蹤、監(jiān)控風險變化，亦應識別資源的重要程度。示例：典型實例，如表3。表3資源識別典型實例資源識別復印機打印機、傳真機輸出資料員工門禁卡風險描述應對措施所涉及個人信息泄露、丟失強化管理：如權(quán)限、責任人職能等丟失、轉(zhuǎn)借強化管理措施、宣傳和教育強化管理措施、宣傳和教育身份證、護照、駕駛證等泄露復印件被盜取或者丟失網(wǎng)絡受到攻擊筆記本無線網(wǎng)卡上網(wǎng)個人信息泄露個人信息泄露加強技術(shù)和管理措施禁止或采取技術(shù)和管理措施個人信息安全管理體系構(gòu)建、實施、運行過程中的風險識別，是體系持續(xù)改進和完善的保證。個人信息安全管理體系安全風險主要表現(xiàn)為：a）最高管理者的意志和意識：如果最高管理者僅僅選擇形式，則體系形同虛設。b）個人信息管理機制的設計：管理機制設計不合理，將造成管理機構(gòu)職責不清、管理制度生搬硬套、員工個人信息安全意識不清等；c）技術(shù)管理：保障個人信息安全的信息安全技術(shù)，如網(wǎng)絡安全、存儲安全、環(huán)境安全、傳輸安全等，應與整體信息安全統(tǒng)一規(guī)劃、設計，并考慮個人信息安全的特殊性；d）業(yè)務流程管理：應充分考慮業(yè)務流程中與個人信息關(guān)聯(lián)的風險因素的管理策略；e）過程改進缺陷：應注意個人信息安全管理體系在過程改進中可能引發(fā)的潛在威脅；在風險識別中，應確定個人信息安全風險源及如何發(fā)生、以什么方式發(fā)生、發(fā)生位置、發(fā)生原因基于風險管理范圍，在風險分類并識別后，定性描述分析和確認的各類風險的特征、發(fā)生的可能8DB21/T1628.5—2014表4業(yè)務性風險等級描述風險等級風險因素12345業(yè)務性的風不涉及個極少涉及個人信息，風險發(fā)生的可能性極小涉及少量個人信息，存在風險涉及個人信息，存在較大風險涉及個人信息，發(fā)生個人信息安全風險的可能性很大險因素人信息但發(fā)生的可能且發(fā)生的可能性較小性較大表5管理性風險等級描述（1）風險等級風險因素12345管理性的風險因素不涉及極少涉及個人信息，風險發(fā)生的可能性極小涉及部分個人信息，存在風險涉及個人信息，存在較大風險發(fā)生個人信息安全風險的可能性很大但發(fā)生的可能且發(fā)生的可能性較小性較大表6管理性風險等級描述（2）風險等級風險因素相應技術(shù)措施相應技術(shù)措施表7環(huán)境性風險等級描述在整體環(huán)境或在整體環(huán)境或個人工作環(huán)境個人工作環(huán)境中存在部分個中存在個人信發(fā)生的可能性發(fā)生的可能性表8行為性風險等級描述9DB21/T1628.5—2014風險因素行為性的風無行為危員工行為存在極少個人信息安全隱患，風險發(fā)生的可能性極小員工行為存在員工行為存在發(fā)生個人信息個人信息安全員工行為存在很大的個人信息安全隱患，極易發(fā)生風險且發(fā)生的可能性較大險因素險安全隱患的可能，存在風險但發(fā)生的可能性較小隱患，存在較大風險且發(fā)生的可能性較大注：通常采用定性描述，獲得一般性的風險描述，并可發(fā)現(xiàn)重大安全隱患。對發(fā)現(xiàn)的重大安全隱患可以采用更準確或定量的分析。8.4風險判定8.4.1判定原則風險影響判定，宜遵循以下原則：a）違背個人信息安全相關(guān)法規(guī)、規(guī)范的情況；b）個人信息主體權(quán)益損失程度；c）個人信息準確性、完整性和時效性的確定；d）資源風險的確定；e）風險等級確定f）經(jīng)營損失的確定；g）聲譽損失。根據(jù)風險等級和風險判定原則，可判定風險可能產(chǎn)生的影響。影響可以分為3級，如表9所示。表9風險影響嚴重損害個人信息主體權(quán)益，影響極大：業(yè)務受到極大影響；經(jīng)濟和聲譽有很大損失應根據(jù)風險評估的結(jié)果，選擇、實施適宜的風險應對措施，將風險控制在可接受的范圍內(nèi)。風險a）可能完全消除的風險，應完全消除；b）不可能完全消除的風險，應盡可能采用技術(shù)和管理措施，規(guī)避、弱化或轉(zhuǎn)移風險；10DB21/T1628.5—2014c）應考慮人的心理承受和行為能力；d）應通過內(nèi)審檢測風險是否得到控制；e）應通過技術(shù)、管理改進風險應對措施；f）應制定應急計劃和應急處理流程。注：可能采用的安全技術(shù)，參見DB21/T1628.6《信息安全個人信息安全管理體系安全技術(shù)實施指南》。9.2風險接受原則9.2.1風險接受基準個人信息管理者應根據(jù)自身的管理和業(yè)務運行目標、特點及可接受風險能力，基于多方面情況考慮，將風險控制在可接受范圍內(nèi)：a）個人信息安全相關(guān)法規(guī)、規(guī)范；b）管理、業(yè)務模式；c）運行模式；d）