根據(jù)《遼寧省市場監(jiān)督管理局關(guān)于遼寧

省地方標(biāo)準(zhǔn)集中復(fù)審結(jié)論的通告》（遼寧省

市場監(jiān)督管理局通告2022年第28號），本

文件歸口單位由遼寧省經(jīng)濟(jì)和信息化委員

會調(diào)整為遼寧省委網(wǎng)絡(luò)安全和信息化委員

會辦公室。

ICS35.020

L70

備案號：DB21

遼寧省地方標(biāo)準(zhǔn)

DB21/T1628.5—2014

信息安全第5部分：個人信息安全風(fēng)險(xiǎn)管

理指南

InformationSecurity-Part5：Personalinformationsecurityriskmanagement

guidelines

2014-07-15發(fā)布2014-09-15實(shí)施

遼寧省質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB21/T1628.5—2014

目??次

前言...................................................................................................................................................................III

引言.....................................................................................................................................................................IV

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4要求.................................................................................................................................................................2

5風(fēng)險(xiǎn)管理概述.................................................................................................................................................3

5.1風(fēng)險(xiǎn)因素.................................................................................................................................................3

5.2風(fēng)險(xiǎn)類別.................................................................................................................................................3

5.3風(fēng)險(xiǎn)管理職責(zé).........................................................................................................................................4

5.4風(fēng)險(xiǎn)管理實(shí)施.........................................................................................................................................4

5.4.1過程.................................................................................................................................................4

6個人信息安全風(fēng)險(xiǎn)管理過程.........................................................................................................................5

7風(fēng)險(xiǎn)管理范圍.................................................................................................................................................6

7.1資源.........................................................................................................................................................6

7.2范圍界定.................................................................................................................................................7

8風(fēng)險(xiǎn)評估.........................................................................................................................................................7

8.1原則.........................................................................................................................................................7

8.2風(fēng)險(xiǎn)識別.................................................................................................................................................7

8.2.1資源識別.........................................................................................................................................7

8.2.1.1資源風(fēng)險(xiǎn).............................................................................................................................7

8.2.1.2資源風(fēng)險(xiǎn)確認(rèn).....................................................................................................................7

8.2.1.3資源風(fēng)險(xiǎn)描述.....................................................................................................................7

8.2.1.4資源風(fēng)險(xiǎn)跟蹤.....................................................................................................................8

8.2.2管理體系風(fēng)險(xiǎn)識別.........................................................................................................................8

8.2.3識別約束.........................................................................................................................................8

8.3風(fēng)險(xiǎn)分析.................................................................................................................................................8

8.4風(fēng)險(xiǎn)判定...............................................................................................................................................10

8.4.1判定原則.......................................................................................................................................10

8.4.2風(fēng)險(xiǎn)影響.......................................................................................................................................10

9風(fēng)險(xiǎn)處理.......................................................................................................................................................10

9.1風(fēng)險(xiǎn)處理原則.......................................................................................................................................10

9.2風(fēng)險(xiǎn)接受原則.......................................................................................................................................11

9.2.1風(fēng)險(xiǎn)接受基準(zhǔn)...............................................................................................................................11

I

DB21/T1628.5—2014

9.2.2風(fēng)險(xiǎn)接受區(qū)別...............................................................................................................................11

9.3風(fēng)險(xiǎn)處理方式.......................................................................................................................................11

9.4殘余風(fēng)險(xiǎn)...............................................................................................................................................11

10風(fēng)險(xiǎn)控制.....................................................................................................................................................12

10.1要求.....................................................................................................................................................12

10.2風(fēng)險(xiǎn)監(jiān)控.............................................................................................................................................12

10.3個人信息安全管理體系內(nèi)審.............................................................................................................12

10.4文檔管理.............................................................................................................................................12

參考文獻(xiàn).............................................................................................................................................................14

II

DB21/T1628.5—2014

前言

DB21/T1628分為7部分：

——信息安全第1部分：個人信息保護(hù)規(guī)范

——信息安全第2部分：個人信息安全管理體系實(shí)施指南

——信息安全第3部分：個人信息數(shù)據(jù)庫管理指南

——信息安全第4部分：個人信息管理文檔管理指南

——信息安全第5部分：個人信息安全風(fēng)險(xiǎn)管理指南

——信息安全第6部分：個人信息安全管理體系安全技術(shù)實(shí)施指南

——信息安全第7部分：個人信息安全管理體系內(nèi)審實(shí)施指南。

本標(biāo)準(zhǔn)是DB21/T1628的第5部分。

本標(biāo)準(zhǔn)依據(jù)GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)與編寫》制定。

本標(biāo)準(zhǔn)由大連市經(jīng)濟(jì)和信息化委員會提出。

本標(biāo)準(zhǔn)由遼寧省經(jīng)濟(jì)和信息化委員會歸口。

本標(biāo)準(zhǔn)主要起草單位：大連軟件行業(yè)協(xié)會、大連交通大學(xué)。

本標(biāo)準(zhǔn)主要起草人：郎慶斌、孫鵬、張劍平、尹宏、楊萬清、曹劍、王開紅。

III

DB21/T1628.5—2014

引言

0.1綜述

風(fēng)險(xiǎn)是“不確定性對目標(biāo)的影響”。即“風(fēng)險(xiǎn)是由于從事某項(xiàng)特定活動過程中存在的不確定性而產(chǎn)

生的經(jīng)濟(jì)或財(cái)務(wù)的損失、自然破壞或損傷的可能性”（美國CooperD．F和ChapmanC．B《大項(xiàng)目

風(fēng)險(xiǎn)分析》）。

由于個人信息處于復(fù)雜、多變的環(huán)境中，呈現(xiàn)出多樣性，因而，個人信息安全風(fēng)險(xiǎn)發(fā)生的可能性，

隨環(huán)境的變化、個人信息多樣態(tài)的變化，風(fēng)險(xiǎn)因素亦隨之增加或減少，風(fēng)險(xiǎn)事件發(fā)生的可能性亦隨之增

大或減小，可能產(chǎn)生不同的風(fēng)險(xiǎn)影響。

個人信息安全風(fēng)險(xiǎn)管理就是識別、分析、評估個人信息管理者運(yùn)營中，各種可能危害個人信息和個

人信息主體權(quán)益的風(fēng)險(xiǎn)，并在此基礎(chǔ)上，采取適當(dāng)?shù)拇胧┯行幹蔑L(fēng)險(xiǎn)。是以可確定的管理成本替代不

確定的風(fēng)險(xiǎn)成本，以最小的經(jīng)濟(jì)代價(jià)，實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。

0.2個人信息安全風(fēng)險(xiǎn)管理的必要性

在個人信息生命周期內(nèi)，個人信息以不同的樣態(tài)存在，既依存于業(yè)務(wù)亦依存于管理，具有不同的風(fēng)

險(xiǎn)因素。涉及個人信息安全風(fēng)險(xiǎn)的來源是多樣的，依個人信息生命周期：

a）個人信息獲取過程：

1）個人信息收集風(fēng)險(xiǎn)（收集目的、收集技術(shù)、方式和手段等）；

2）個人信息間接收集風(fēng)險(xiǎn)（收集目的、來源、第三方背景、安全承諾等）；

b）個人信息處理過程：

1）個人信息使用風(fēng)險(xiǎn)（使用目的、使用方法和范圍、使用背景等）；

2）個人信息提供風(fēng)險(xiǎn)（使用目的、使用方法和手段、接受者背景、安全承諾等）；

3）個人信息處理風(fēng)險(xiǎn)（處理目的、處理方式、處理方法和手段、后處理方式等）；

4）個人信息委托風(fēng)險(xiǎn)（委托目的、委托接受人、委托回收、安全承諾、回收方式等）；

5）個人信息傳輸風(fēng)險(xiǎn)（傳輸方式和手段、傳輸?shù)陌踩胧┑龋?/p>

c）基于生命周期的過程管理：

1）個人信息管理風(fēng)險(xiǎn)（個人信息管理者的素質(zhì)、權(quán)利和義務(wù)、管理方式等）;

2）個人信息安全管理體系風(fēng)險(xiǎn)（體系缺陷、漏洞等）；

等等。所有個人信息收集、處理、使用等行為，也都存在個人信息正確性、完整性和最新狀態(tài)的風(fēng)險(xiǎn)。

識別、評估、判斷個人信息的潛在價(jià)值、安全威脅，是個人信息管理的基礎(chǔ)，也是個人信息安全管理體

系構(gòu)建、實(shí)施、運(yùn)行的安全基礎(chǔ)。

0.3個人信息安全風(fēng)險(xiǎn)管理評估

評估個人信息安全風(fēng)險(xiǎn)管理，包括：

a）資源的影響：資源以多種形式存在，其所依存的管理、業(yè)務(wù)關(guān)聯(lián)不同，具有不同的安全屬性和

價(jià)值，因而存在不同的安全風(fēng)險(xiǎn)；

b）管理脆弱性：在個人信息管理者的管理體系、機(jī)制中，行政管理、員工管理、業(yè)務(wù)持續(xù)性等多

IV

DB21/T1628.5—2014

方面存在固有的缺陷，因而存在某一特定環(huán)境、特定時間段發(fā)生風(fēng)險(xiǎn)的可能性；

c）技術(shù)脆弱性：由于資源存在缺陷或漏洞，因而，所采取的技術(shù)管理措施存在必然的風(fēng)險(xiǎn)；

d）個人信息安全管理體系的影響：個人信息安全管理體系（包括管理機(jī)制、內(nèi)審機(jī)制、安全機(jī)制、

過程改進(jìn)、認(rèn)證機(jī)制等）及標(biāo)準(zhǔn)、規(guī)范等存在設(shè)計(jì)缺陷，可能引發(fā)不同的安全風(fēng)險(xiǎn)。

0.4風(fēng)險(xiǎn)管理基準(zhǔn)

本指南為個人信息安全管理體系提供個人信息安全風(fēng)險(xiǎn)管理的基準(zhǔn)和支持。但是，本指南并不提供

任何特定的個人信息安全風(fēng)險(xiǎn)管理方法。個人信息管理者應(yīng)根據(jù)管理及業(yè)務(wù)特點(diǎn)、環(huán)境因素、特定的個

人信息安全管理體系及風(fēng)險(xiǎn)管理范圍等，確定適合自身的風(fēng)險(xiǎn)管理方式。

依據(jù)本指南的規(guī)則，實(shí)施個人信息安全風(fēng)險(xiǎn)管理存在多種方式。

0.5與其它標(biāo)準(zhǔn)體系的兼容性

本指南支持其它國際、國內(nèi)信息安全標(biāo)準(zhǔn)、風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)及相關(guān)標(biāo)準(zhǔn)的一般概念和規(guī)則，并與其協(xié)

調(diào)一致，相互配合或相互整合實(shí)施和運(yùn)行。

0.6規(guī)定

本指南各條款所指“風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)評估”、“風(fēng)險(xiǎn)處理”、“風(fēng)險(xiǎn)應(yīng)對”及其它“風(fēng)險(xiǎn)XX”等，

均指“個人信息安全風(fēng)險(xiǎn)XX”。如“風(fēng)險(xiǎn)管理”即為“個人信息安全風(fēng)險(xiǎn)管理”等。

V

DB21/T1628.5—2014

個人信息安全風(fēng)險(xiǎn)管理指南

1范圍

本指南為個人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行中實(shí)施風(fēng)險(xiǎn)管理提供指導(dǎo)和幫助。

本指南適用于個人信息管理者內(nèi)關(guān)注個人信息安全的各級管理者和員工，及為個人信息安全管理體

系構(gòu)建、實(shí)施和運(yùn)行提供支持的相關(guān)組織。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

DB21/T1628.1-2012《信息安全-個人信息保護(hù)規(guī)范》

DB21/T1628.2-2013《信息安全-個人信息安全管理體系實(shí)施指南》

DB21/T1628.4-20xx《個人信息安全-個人信息安全管理體系文檔管理指南》

DB21/T1628.6-20xx《個人信息安全管理體系安全技術(shù)實(shí)施指南》

3術(shù)語和定義

DB21/T1628.1界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

風(fēng)險(xiǎn)risk

從事某項(xiàng)特定活動中存在的不確定性對活動目標(biāo)的影響。

3.2

資源resources

信息、信息系統(tǒng)、生產(chǎn)、服務(wù)、人員、信譽(yù)等有價(jià)值的資產(chǎn)。

3.3

個人信息安全風(fēng)險(xiǎn)personalinformationsecurityrisk

個人信息收集、管理、處理、使用存在的缺陷和漏洞導(dǎo)致安全事件發(fā)生并產(chǎn)生相應(yīng)影響。

注：本指南所指“風(fēng)險(xiǎn)”均為“個人信息安全風(fēng)險(xiǎn)”。

3.4

風(fēng)險(xiǎn)管理riskmanagement

1

DB21/T1628.5—2014

評估各種可能危害個人信息和個人信息主體權(quán)益的風(fēng)險(xiǎn)，采取適當(dāng)?shù)拇胧┯行幹蔑L(fēng)險(xiǎn)。以最小的

經(jīng)濟(jì)代價(jià)，實(shí)現(xiàn)最大安全保障的科學(xué)管理方法。

3.5

風(fēng)險(xiǎn)識別riskidentification

發(fā)現(xiàn)、記錄、描述危害個人信息和個人信息主體權(quán)益的風(fēng)險(xiǎn)因素的過程。

3.6

風(fēng)險(xiǎn)評估riskassessment

識別風(fēng)險(xiǎn)因素，分析風(fēng)險(xiǎn)因素的危害，判斷風(fēng)險(xiǎn)因素導(dǎo)致安全事件的可能性和可能產(chǎn)生的影響。

3.7

風(fēng)險(xiǎn)規(guī)避riskavoidance

采取有效的管理、技術(shù)措施，或更改風(fēng)險(xiǎn)管理計(jì)劃，消除風(fēng)險(xiǎn)或風(fēng)險(xiǎn)發(fā)生的條件。

3.8

風(fēng)險(xiǎn)弱化riskmitigation

采取有效的管理、技術(shù)措施，將風(fēng)險(xiǎn)和可能的影響降低到可以接受的水平。

3.9

風(fēng)險(xiǎn)轉(zhuǎn)移risktransfer

與其它管理體系、或與其它相關(guān)組織分擔(dān)風(fēng)險(xiǎn)損失和影響。

3.10

風(fēng)險(xiǎn)接受riskacceptance

接受可能的風(fēng)險(xiǎn)損失和影響。

3.11

殘余風(fēng)險(xiǎn)residualrisk

實(shí)施風(fēng)險(xiǎn)管理，采取安全措施后，仍然可能存在的風(fēng)險(xiǎn)。

4要求

本指南遵循DB21/T1628.1《信息安全個人信息保護(hù)規(guī)范》確立的個人信息安全原則和要求，亦

遵循DB21/T1628.2《信息安全個人信息安全管理體系實(shí)施指南》確立的實(shí)施細(xì)則，重點(diǎn)描述和指導(dǎo)

個人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行中個人信息安全風(fēng)險(xiǎn)的評估、處理、監(jiān)控和持續(xù)的過程改進(jìn)。

2

DB21/T1628.5—2014

實(shí)施個人信息安全風(fēng)險(xiǎn)管理，應(yīng)同時使用DB21/T1628.1《信息安全個人信息保護(hù)規(guī)范》、DB21/T

1628.2《信息安全個人信息安全管理體系實(shí)施指南》和本指南，并參照DB21/T1628系列其它標(biāo)準(zhǔn)。

5風(fēng)險(xiǎn)管理概述

5.1風(fēng)險(xiǎn)因素

風(fēng)險(xiǎn)因素包括

a）危險(xiǎn)因素：存在可能突發(fā)或瞬時發(fā)生個人信息危害的因素；

b）危害因素：逐漸累積形成個人信息危害的因素。

示例：危險(xiǎn)因素的事例：

a）自然災(zāi)害；

b）載有個人信息的介質(zhì)突然丟失；

c）IT設(shè)施突然受到攻擊等。

危險(xiǎn)因素分為可以預(yù)測的和不可預(yù)知的，可預(yù)測的應(yīng)有必要的預(yù)防措施；不可預(yù)測的應(yīng)有應(yīng)急機(jī)

制。

注：危險(xiǎn)因素和危害因素是相對的，在一定條件下可能轉(zhuǎn)化。當(dāng)弱化個人信息安全管理時，危害因素逐漸累積，可

能轉(zhuǎn)變?yōu)槲ｋU(xiǎn)因素；如果重視個人信息安全管理，則有可能規(guī)避、弱化可能存在的危險(xiǎn)因素，并逐步降低風(fēng)險(xiǎn)

等級，直至消弭。

5.2風(fēng)險(xiǎn)類別

根據(jù)危險(xiǎn)或危害因素分類，便于識別和分析個人信息安全風(fēng)險(xiǎn)。按照風(fēng)險(xiǎn)發(fā)生的直接原因，個人

信息安全風(fēng)險(xiǎn)宜分為5類：

a）業(yè)務(wù)性的：涉及個人信息的業(yè)務(wù)流程中存在的風(fēng)險(xiǎn)，如：

1）業(yè)務(wù)流程的安全模式；

2）業(yè)務(wù)團(tuán)隊(duì)的管理模式；

3）業(yè)務(wù)管理方式；

4）IT基礎(chǔ)設(shè)施的管理模式等。

b）管理性的：涉及個人信息的經(jīng)營管理中存在的風(fēng)險(xiǎn)，如：

1）關(guān)鍵部門的管理方式；

2）個人信息的管理模式；

3）網(wǎng)絡(luò)應(yīng)用方式；

4）管理人員的職責(zé)

5）個人信息安全管理體系設(shè)計(jì)缺陷等。

c）環(huán)境性的：個人信息管理者的運(yùn)營場所與個人信息安全相關(guān)的環(huán)境及個人工作位置與個人信

息安全相關(guān)的環(huán)境存在的風(fēng)險(xiǎn)，如：

1）環(huán)境管理（自然狀況）；

2）出入管理；

3）關(guān)鍵部門（核心區(qū)域）管理方式；

4）相關(guān)信息（文檔等）的管理方式；

5）個人終端及周邊環(huán)境的管理等。

d）行為性的：與個人信息相關(guān)個人的行為可能存在的安全風(fēng)險(xiǎn)，如：

1）管理人員行為規(guī)范；

3

DB21/T1628.5—2014

2）業(yè)務(wù)人員的行為規(guī)范；

3）IT基礎(chǔ)設(shè)施管理人員的行為規(guī)范；

4）個人信息管理相關(guān)負(fù)責(zé)人的行為規(guī)范；

5）個人信息安全管理體系內(nèi)審人員的行為規(guī)范；

6）其他人員應(yīng)遵循的行為準(zhǔn)則等。

e）心理性的：基于人性弱點(diǎn)可能產(chǎn)生的個人信息安全風(fēng)險(xiǎn)，如：

1）電話交談；

2）誘使開門；

3）垃圾；

4）閑談；

5）可能的網(wǎng)絡(luò)聊天

6）可能的網(wǎng)絡(luò)技術(shù)欺騙等。

注：任何類型的個人信息安全風(fēng)險(xiǎn)，均與資源管理、技術(shù)策略相關(guān)。

5.3風(fēng)險(xiǎn)管理職責(zé)

風(fēng)險(xiǎn)管理過程應(yīng)是針對個人信息管理者整體，包括各部門、物理區(qū)域、環(huán)境、業(yè)務(wù)及所有資源。

實(shí)施風(fēng)險(xiǎn)管理人員應(yīng)包括最高管理者、各級管理人員、個人信息管理相關(guān)負(fù)責(zé)人及其他與個人信

息相關(guān)人員。其責(zé)任如表1所示。

表1個人信息管理相關(guān)人員的責(zé)任

相關(guān)人員責(zé)任

最高管理者1實(shí)施風(fēng)險(xiǎn)管理的決策者

2管理者的決心和意識

各級管理人員1自身的行為和意識

2本部門風(fēng)險(xiǎn)的理解和認(rèn)識

3風(fēng)險(xiǎn)管理過程的組織和協(xié)調(diào)

個人信息管理相關(guān)負(fù)1崗位職責(zé)的履行

責(zé)人2所在部門的監(jiān)督和溝通

3風(fēng)險(xiǎn)應(yīng)對措施

4跟蹤和監(jiān)控

其他相關(guān)人員1自身的行為和意識

2崗位職責(zé)的履行

5.4風(fēng)險(xiǎn)管理實(shí)施

5.4.1過程

風(fēng)險(xiǎn)管理的實(shí)施過程，應(yīng)包括：

a）個人信息管理者代表應(yīng)制定適宜、充分、有效的風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)管理流程和風(fēng)險(xiǎn)管理策

略；

b）確定所有相關(guān)人員的責(zé)任；

c）全體員工的培訓(xùn)；

d）實(shí)施風(fēng)險(xiǎn)管理過程；

4

DB21/T1628.5—2014

e）跟蹤、監(jiān)控風(fēng)險(xiǎn)變化；

f）過程改進(jìn)。

6個人信息安全風(fēng)險(xiǎn)管理過程

風(fēng)險(xiǎn)管理是動態(tài)、持續(xù)的，風(fēng)險(xiǎn)管理過程是可控的。風(fēng)險(xiǎn)管理過程如圖1所示。

風(fēng)險(xiǎn)管理范圍

風(fēng)險(xiǎn)識別

o

N風(fēng)

險(xiǎn)

評

風(fēng)險(xiǎn)分析估

過

程

風(fēng)險(xiǎn)判定

滿足？

風(fēng)險(xiǎn)評估充分、有效？

Yes

風(fēng)險(xiǎn)處理

風(fēng)

險(xiǎn)

跟

滿足？蹤

和

NoYes監(jiān)

控

風(fēng)險(xiǎn)接受

圖1風(fēng)險(xiǎn)管理過程

風(fēng)險(xiǎn)管理過程如圖1：

a）確定風(fēng)險(xiǎn)管理范圍：確認(rèn)個人信息相關(guān)資源，資源優(yōu)先級，評估損失及影響程度，以確定風(fēng)險(xiǎn)

管理邊界；

b）風(fēng)險(xiǎn)評估：如果風(fēng)險(xiǎn)評估充分、有效，可以采取有效的風(fēng)險(xiǎn)應(yīng)對措施；否則，重新確定范圍，

進(jìn)入新的循環(huán)；

c）如果風(fēng)險(xiǎn)應(yīng)對措施合理、有效，殘余風(fēng)險(xiǎn)降低到可接受水平；否則：

1）重新進(jìn)行風(fēng)險(xiǎn)處理；

2）重新確定風(fēng)險(xiǎn)范圍，進(jìn)入新的循環(huán)；

d）風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受后，應(yīng)持續(xù)跟蹤、監(jiān)控風(fēng)險(xiǎn)變化。

5

DB21/T1628.5—2014

風(fēng)險(xiǎn)管理應(yīng)采用PDCA模式，改進(jìn)過程如圖2所示。

計(jì)劃

構(gòu)建風(fēng)險(xiǎn)管

理過程

實(shí)施風(fēng)險(xiǎn)完善和改進(jìn)

實(shí)施改進(jìn)

應(yīng)對措施風(fēng)險(xiǎn)管理過程

跟蹤和監(jiān)控

風(fēng)險(xiǎn)變化

檢查

圖2適于風(fēng)險(xiǎn)管理過程的PDCA模式

表2描述了PDCA四個階段的風(fēng)險(xiǎn)管理活動：

表2PDCA四個階段的風(fēng)險(xiǎn)管理活動

PDCA風(fēng)險(xiǎn)管理活動

風(fēng)險(xiǎn)管理范圍

風(fēng)險(xiǎn)評估

計(jì)劃

風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)接受

實(shí)施實(shí)施風(fēng)險(xiǎn)應(yīng)對措施

檢查持續(xù)跟蹤、監(jiān)控風(fēng)險(xiǎn)變化

改進(jìn)完善、改進(jìn)風(fēng)險(xiǎn)管理過程

7風(fēng)險(xiǎn)管理范圍

7.1資源

應(yīng)識別與管理、業(yè)務(wù)涉及個人信息部分關(guān)聯(lián)的各種資源。（參見DB21/T1628.2第8章）。

注：風(fēng)險(xiǎn)管理范圍涵蓋了個人信息管理者所有與個人信息相關(guān)的資源。

6

DB21/T1628.5—2014

7.2范圍界定

確定風(fēng)險(xiǎn)管理的范圍，應(yīng)考慮：

a）個人信息管理者的運(yùn)營戰(zhàn)略、管理結(jié)構(gòu)、業(yè)務(wù)模式；

b）個人信息管理機(jī)構(gòu)的職能；

c）個人信息管理方針；

d）資源管理（參見DB21/T1628.2第8章）；

e）依據(jù)風(fēng)險(xiǎn)類別確定風(fēng)險(xiǎn)管理的邊界；

f）影響風(fēng)險(xiǎn)管理的約束條件等。

8風(fēng)險(xiǎn)評估

8.1原則

風(fēng)險(xiǎn)評估是在風(fēng)險(xiǎn)管理范圍內(nèi)，識別與個人信息相關(guān)聯(lián)的資源，識別個人信息的安全風(fēng)險(xiǎn)，分析、

判斷風(fēng)險(xiǎn)發(fā)生的可能性和可能的影響。

風(fēng)險(xiǎn)評估的原則，宜遵循：

a）個人信息安全相關(guān)法規(guī)、規(guī)范的要求；

b）個人信息管理者的管理、業(yè)務(wù)模式和發(fā)展戰(zhàn)略；

c）與個人信息相關(guān)資源的重要程度；

d）風(fēng)險(xiǎn)等級；

e）與所涉及個人信息相關(guān)各方的權(quán)益。

8.2風(fēng)險(xiǎn)識別

8.2.1資源識別

8.2.1.1資源風(fēng)險(xiǎn)

資源風(fēng)險(xiǎn)主要表現(xiàn)為：

a）資源依賴度：涉及個人信息的管理、業(yè)務(wù)對各類資源的依賴程度，依賴度越高，風(fēng)險(xiǎn)越大；

b）資源價(jià)值：與管理、業(yè)務(wù)涉及個人信息部分關(guān)聯(lián)的各種資源，依賴程度越高，價(jià)值越大，風(fēng)

險(xiǎn)越大；

c）資源管理者、使用者：個人責(zé)任；自然的或人為的、意外的或故意的行為等對資源的潛在風(fēng)

險(xiǎn)；

d）環(huán)境因素：資源所處環(huán)境的安全。

8.2.1.2資源風(fēng)險(xiǎn)確認(rèn)

應(yīng)對每一項(xiàng)可識別的需要保護(hù)的資源，確認(rèn)：

a）關(guān)鍵的、需重點(diǎn)防護(hù)的：資源依賴度高、價(jià)值高的資源；

b）次要的但也需保護(hù)的：資源依賴度相對較高，具有較高的價(jià)值的資源；

c）暫不需專門關(guān)注的：資源依賴度相對較低，資源價(jià)值較低。

8.2.1.3資源風(fēng)險(xiǎn)描述

在風(fēng)險(xiǎn)管理范圍內(nèi)，應(yīng)識別、描述與管理、業(yè)務(wù)涉及個人信息部分關(guān)聯(lián)的各種資源：

a）該類資源的詳細(xì)信息；

7

DB21/T1628.5—2014

b）資源與個人信息的關(guān)聯(lián)度；

c）資源的責(zé)任者和職能等。

8.2.1.4資源風(fēng)險(xiǎn)跟蹤

a）資源識別是個人信息生命周期存續(xù)期間相關(guān)資源的識別。應(yīng)關(guān)注資源與個人信息安全的關(guān)聯(lián)，

在資源識別中，應(yīng)注重威脅個人信息生命周期各個環(huán)節(jié)的風(fēng)險(xiǎn)；

b）個人信息安全風(fēng)險(xiǎn)發(fā)生的可能性因環(huán)境、管理、業(yè)務(wù)及個人信息多樣態(tài)等的變化動態(tài)變化，

因而對資源的關(guān)注度也隨之變化。跟蹤、監(jiān)控風(fēng)險(xiǎn)變化，亦應(yīng)識別資源的重要程度。

示例：典型實(shí)例，如表3。

表3資源識別典型實(shí)例

資源識別風(fēng)險(xiǎn)描述應(yīng)對措施

復(fù)印機(jī)打印機(jī)、所涉及個人信息泄露、丟失強(qiáng)化管理：如權(quán)限、責(zé)任人職能等

傳真機(jī)輸出資料

員工門禁卡丟失、轉(zhuǎn)借強(qiáng)化管理措施、宣傳和教育

身份證、護(hù)照、駕泄露復(fù)印件被盜取或者丟失強(qiáng)化管理措施、宣傳和教育

駛證等

網(wǎng)絡(luò)受到攻擊個人信息泄露加強(qiáng)技術(shù)和管理措施

筆記本無線網(wǎng)卡上個人信息泄露禁止或采取技術(shù)和管理措施

網(wǎng)

8.2.2管理體系風(fēng)險(xiǎn)識別

個人信息安全管理體系構(gòu)建、實(shí)施、運(yùn)行過程中的風(fēng)險(xiǎn)識別，是體系持續(xù)改進(jìn)和完善的保證。個

人信息安全管理體系安全風(fēng)險(xiǎn)主要表現(xiàn)為：

a）最高管理者的意志和意識：如果最高管理者僅僅選擇形式，則體系形同虛設(shè)。

b）個人信息管理機(jī)制的設(shè)計(jì)：管理機(jī)制設(shè)計(jì)不合理，將造成管理機(jī)構(gòu)職責(zé)不清、管理制度生搬

硬套、員工個人信息安全意識不清等；

c）技術(shù)管理：保障個人信息安全的信息安全技術(shù)，如網(wǎng)絡(luò)安全、存儲安全、環(huán)境安全、傳輸安

全等，應(yīng)與整體信息安全統(tǒng)一規(guī)劃、設(shè)計(jì)，并考慮個人信息安全的特殊性；

d）業(yè)務(wù)流程管理：應(yīng)充分考慮業(yè)務(wù)流程中與個人信息關(guān)聯(lián)的風(fēng)險(xiǎn)因素的管理策略；

e）過程改進(jìn)缺陷：應(yīng)注意個人信息安全管理體系在過程改進(jìn)中可能引發(fā)的潛在威脅；

8.2.3識別約束

在風(fēng)險(xiǎn)識別中，應(yīng)確定個人信息安全風(fēng)險(xiǎn)源及如何發(fā)生、以什么方式發(fā)生、發(fā)生位置、發(fā)生原因

等。

8.3風(fēng)險(xiǎn)分析

基于風(fēng)險(xiǎn)管理范圍，在風(fēng)險(xiǎn)分類并識別后，定性描述分析和確認(rèn)的各類風(fēng)險(xiǎn)的特征、發(fā)生的可能

性、頻度、顯性或潛在的影響的風(fēng)險(xiǎn)等級，如表4—表8示例。

8

DB21/T1628.5—2014

表4業(yè)務(wù)性風(fēng)險(xiǎn)等級描述

風(fēng)險(xiǎn)等級

風(fēng)險(xiǎn)因素

12345

業(yè)務(wù)性的風(fēng)不涉及個極少涉及個人涉及少量個人涉及個人信息，涉及個人信息，發(fā)

險(xiǎn)因素人信息信息，風(fēng)險(xiǎn)發(fā)信息，存在風(fēng)險(xiǎn)存在較大風(fēng)險(xiǎn)生個人信息安全

生的可能性極但發(fā)生的可能且發(fā)生的可能風(fēng)險(xiǎn)的可能性很

小性較小性較大大

表5管理性風(fēng)險(xiǎn)等級描述（1）

風(fēng)險(xiǎn)等級

風(fēng)險(xiǎn)因素

12345

管理性的風(fēng)不涉及極少涉及個人涉及部分個人涉及個人信息，發(fā)生個人信息安

險(xiǎn)因素信息，風(fēng)險(xiǎn)發(fā)信息，存在風(fēng)險(xiǎn)存在較大風(fēng)險(xiǎn)全風(fēng)險(xiǎn)的可能性

生的可能性極但發(fā)生的可能且發(fā)生的可能很大

小性較小性較大

表6管理性風(fēng)險(xiǎn)等級描述（2）

風(fēng)險(xiǎn)等級

風(fēng)險(xiǎn)因素

12345

管理性的風(fēng)不涉及相應(yīng)技術(shù)措施相應(yīng)技術(shù)措施相應(yīng)技術(shù)措施未采取或僅采取

險(xiǎn)因素（技術(shù)相對完善，缺存在一般性的存在嚴(yán)重缺陷，少部分技術(shù)措施，

管理）陷被使用的可缺陷，被使用的易于被使用風(fēng)險(xiǎn)極大

能性極小可能性較大

表7環(huán)境性風(fēng)險(xiǎn)等級描述

風(fēng)險(xiǎn)等級

風(fēng)險(xiǎn)因素

12345

環(huán)境性的危無風(fēng)險(xiǎn)在整體環(huán)境或在整體環(huán)境或在整體環(huán)境或在整體環(huán)境或個

險(xiǎn)或危害因個人工作環(huán)境個人工作環(huán)境個人工作環(huán)境人工作環(huán)境中存

素中極少存在個中存在部分個中存在個人信在很大的個人信

人信息安全隱人信息安全隱息安全隱患，存息安全隱患，極易

患，風(fēng)險(xiǎn)發(fā)生患，存在風(fēng)險(xiǎn)但在較大風(fēng)險(xiǎn)且發(fā)生風(fēng)險(xiǎn)

的可能性極小發(fā)生的可能性發(fā)生的可能性

較小較大

表8行為性風(fēng)險(xiǎn)等級描述

等級12345

9

DB21/T1628.5—2014

風(fēng)險(xiǎn)因素

行為性的風(fēng)無行為危員工行為存在員工行為存在員工行為存在員工行為存在很

險(xiǎn)因素險(xiǎn)極少個人信息發(fā)生個人信息個人信息安全大的個人信息安

安全隱患，風(fēng)安全隱患的可隱患，存在較大全隱患，極易發(fā)生

險(xiǎn)發(fā)生的可能能，存在風(fēng)險(xiǎn)但風(fēng)險(xiǎn)且發(fā)生的風(fēng)險(xiǎn)且發(fā)生的可

性極小發(fā)生的可能性可能性較大能性較大

較小

注：通常采用定性描述，獲得一般性的風(fēng)險(xiǎn)描述，并可發(fā)現(xiàn)重大安全隱患。對發(fā)現(xiàn)的重大安全隱患可以采用更準(zhǔn)

確或定量的分析。

8.4風(fēng)險(xiǎn)判定

8.4.1判定原則

風(fēng)險(xiǎn)影響判定，宜遵循以下原則：

a）違背個人信息安全相關(guān)法規(guī)、規(guī)范的情況；

b）個人信息主體權(quán)益損失程度；

c）個人信息準(zhǔn)確性、完整性和時效性的確定；

d）資源風(fēng)險(xiǎn)的確定；

e）風(fēng)險(xiǎn)等級確定

f）經(jīng)營損失的確定；

g）聲譽(yù)損失。

8.4.2風(fēng)險(xiǎn)影響

根據(jù)風(fēng)險(xiǎn)等級和風(fēng)險(xiǎn)判定原則，可判定風(fēng)險(xiǎn)可能產(chǎn)生的影響。影響可以分為3級，如表9所示。

表9風(fēng)險(xiǎn)影響

影響

風(fēng)險(xiǎn)等級

123

幾乎無影響不構(gòu)成嚴(yán)重事故，但嚴(yán)重?fù)p害個人信息主體

仍造成一定損失：業(yè)權(quán)益，影響極大：業(yè)務(wù)

務(wù)受到一定影響；有受到極大影響；經(jīng)濟(jì)和

一定經(jīng)濟(jì)和聲譽(yù)損失聲譽(yù)有很大損失

9風(fēng)險(xiǎn)處理

9.1風(fēng)險(xiǎn)處理原則

應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果，選擇、實(shí)施適宜的風(fēng)險(xiǎn)應(yīng)對措施，將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。風(fēng)險(xiǎn)

處理原則包括：

a）可能完全消除的風(fēng)險(xiǎn)，應(yīng)完全消除；

b）不可能完全消除的風(fēng)險(xiǎn)，應(yīng)盡可能采用技術(shù)和管理措施，規(guī)避、弱化或轉(zhuǎn)移風(fēng)險(xiǎn)；

10

DB21/T1628.5—2014

c）應(yīng)考慮人的心理承受和行為能力；

d）應(yīng)通過內(nèi)審檢測風(fēng)險(xiǎn)是否得到控制；

e）應(yīng)通過技術(shù)、管理改進(jìn)風(fēng)險(xiǎn)應(yīng)對措施；

f）應(yīng)制定應(yīng)急計(jì)劃和應(yīng)急處理流程。

注：可能采用的安全技術(shù)，參見DB21/T1628.6《信息安全個人信息安全管理體系安全技術(shù)實(shí)施指