信息安全技术 个人信息安全影响评估指南-编制说明
信息安全技术关键信息基础设施安全检查评价指引全国信息安全
国家标准《信息安全技术关键信息基础设施安全检查评估指南》编制说明一、工作简况1.1任务来源根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。
网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。
《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。
1.2主要工作过程2017年1月至3月,《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。
2017年4月,本标准获得由全国信息安全标准化技术委员会立项。
国家标准《信息安全风险评估实施指南》
国家标准《信息安全风险评估实施指南》(送审稿)编制说明1、工作简况1.1 任务来源2009年12月,信息安全标准化技术委员会正式下达任务书,将《信息安全风险评估实施指南》作为2010年度的国家标准制定项目,定性为国家推荐性标准,由国家信息中心承担,标准制定任务正式启动。
国家信息安全标准化技术委员会已下拨标准研制经费,并签署任务合同书。
1.2 起草单位和人员组成本项目由国家信息中心负责进行标准的起草,北京信息安全测评中心、国家保密技术研究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司等单位参与起草。
1.3 编制过程(1)标准草案编制阶段标准草案编制工作于2010年1月启动,通过前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段,在全面了解我国信息安全风险评估实践状况的基础上,经过反复修改完善,于2010年6月形成《信息安全风险评估实施指南》征求意见稿。
(2)意见征求阶段2010年7月-10月,将《信息安全风险评估实施指南》征求意见稿向专家与一些一线信息安全服务机构(公司)征求意见。
根据各试点单位的反馈意见,标准编制小组组织了两次大规模的修改过程;同时向相关单位以发放了标准文本,征求对标准的意见,根据修改意见进行了修改。
(3)修改完善阶段2010年11月、12月,国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、修改,并于2011年3月正式形成《信息安全风险评估实施指南》标准草案修改稿。
(4)专家评审阶段2011年3月、6月,国家信息中心委托信安标委聘请专家,对《信息安全风险评估实施指南》标准草案修改稿进行专家评审,收到专家意见多条,并通过了专家评审。
(5)WG7成员单位决议阶段2011年8月5日,安标委WG7组组织全体成员单位对国家信息中心承担的《信息安全风险评估实施指南》标准草案稿进行全体投票决议,最后该标准草案稿高票获得通过,获准向社会公布,以进一步广泛征求社会各界的意见与建议。
关于“信息安全技术 个人信息安全影响评估指南”的意见
关于“信息安全技术个人信息安全影响评估指南”的意见中国有自己的国情、环境、传统、文化等,以及汉语语境、习惯等,标准、法规不能离开这个基础。
不能一味踩着欧美的脚印。
个人信息安全规范和个人信息安全影响评估指南,完全是西式思维,特别是概念、术语、章节等,却又希望自创一些难以说清的东西。
一、关于该标准基准“信息安全技术个人信息安全影响评估指南”是基于《个人信息安全规范》的配套标准。
但《个人信息安全规范》本身就存在着极大的安全风险。
主要包括:1、未能明确个人信息主体权利,个人信息主体的基本权利,必须藉标准清晰、明确的规范,以使个人信息主体在明确同意收集个人信息时,清楚地了解自己必须具有的权利,即使有法律规则,并不能替代标准的作用。
2、没有定义个人信息生命周期,个人信息收集到彻底销毁的整个生命周期,是个人信息管理者向个人信息主体提供服务的管理过程。
该标准正文亦提到个人信息周期(如5.2.3 b 5)),如何解读呢?3、缺失管理体系的规则。
企业管理是多维、发散的,因而,个人信息管理需要体系聚焦。
虽然组织内可能存在多个体系,并不能完全覆盖个人信息安全。
规则的执行需要体系的要素聚集和管理。
4、缺失管理机制设计。
管理是安全的根本,缺失了管理机制,如何保证规则的有效性。
GDPR设计了数据保护官员(data protection officer)的法条,相对应的,特别是在中国国情下,需要标准的管理机制规则设计,以保证责任主体的职责。
6、个人信息定义的风险。
个人信息安全规范将敏感的个人信息和个人信息的敏感性混为一谈,为个人信息安全风险再添一薪。
GDPR特别明确特殊种类个人信息(亦即敏感的个人信息)的法条,对敏感的个人信息的总的认识,中外一致,内容有所区别,但GDPR的认定,应符合未来中国的发展。
……,关于《个人信息安全规范》的意见(参见附录)。
该标准基准的缺陷,使该标准某些规则成为无本之木。
二、关于该标准的立意个人信息安全影响评估,取自GDPR。
全国信息安全标准化技术委员会关于国家标准《信息安全技术个人信息告知同意指南》征求意见稿征求意见的通知
全国信息安全标准化技术委员会关于国家标准《信息安全技术个人信息告知同意指南》征求意见稿征求意
见的通知
文章属性
•【公布机关】全国信息安全标准化技术委员会,全国信息安全标准化技术委员会,全国信息安全标准化技术委员会
•【公布日期】2020.01.20
•【分类】征求意见稿
正文
关于国家标准《信息安全技术个人信息告知同意指南》征求
意见稿征求意见的通知
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术个人信息告知同意指南》征求意见稿。
为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。
并将意见于2020年03月20日前反馈给信安标委秘书处。
联系人:王姣136****5214****************
附件:
1.信息安全技术个人信息处理中告知和同意的实施指南-标准文本
2.信息安全技术个人信息处理中告知和同意的实施指南-意见汇总处理表
3.信息安全技术个人信息处理中告知和同意的实施指南-编制说明
全国信息安全标准化技术委员会
2020年01月20日。
个人信息保护影响评估报告的方法和流程
个人信息保护影响评估报告的方法和流程随着数字化时代的来临,个人信息的保护越来越受到关注。
个人信息保护影响评估报告(PIA)是一种透明、公正的方法,用于评估组织在处理个人信息时可能对个人隐私权产生的影响。
本文将介绍个人信息保护影响评估报告的方法和流程,帮助组织更好地保护个人信息。
一、个人信息保护影响评估报告的定义个人信息保护影响评估报告是对组织在收集、处理、存储和共享个人信息时所产生的潜在风险进行评估的一种文件。
通过该报告,组织能够识别可能存在的隐私问题,并提出相应的解决方案以保护个人信息的隐私和安全。
二、个人信息保护影响评估报告的方法1. 确定评估的范围:首先,要明确定义评估范围,包括个人信息的收集方式、处理方式、存储方式等。
同时,要确定评估所针对的具体项目或流程,以便更准确地识别潜在的风险。
2. 收集相关信息:在评估范围确定后,需要收集与该项目或流程相关的信息,包括个人信息的类型、来源、用途、共享方式以及安全措施等。
此外,还应收集相关法规和政策的信息,以便在评估中能够充分符合法律要求。
3. 识别潜在风险:在收集到相关信息后,需要对可能存在的风险进行识别。
例如,个人信息泄露、非授权访问、数据滥用等。
通过系统性的分析和评估,确保发现并理解个人信息保护的潜在风险。
4. 评估风险的可能性和影响:在识别风险后,需要进一步评估风险的可能性和影响程度。
风险评估可以基于风险矩阵、影响矩阵等工具进行,根据实际情况确定每个风险事件的概率和影响程度。
5. 提出相应的解决方案:一旦风险被评估并明确,需要提出相应的解决方案,以减轻或消除这些风险。
解决方案可以包括技术措施、安全培训、合规政策等,应根据评估结果和实际情况进行定制。
6. 编写评估报告:最后,需要将评估结果以及提出的解决方案写入评估报告。
报告应包括评估的方法、结果、风险排名、解决方案建议以及相应的实施计划等信息。
同时,还应该注明评估的日期和负责人等相关信息。
三、个人信息保护影响评估报告的流程个人信息保护影响评估报告的流程可以总结为以下几个关键步骤:1. 规划与准备:确定评估范围、收集相关信息,并组织评估所需的人员和资源。
个人信息保护影响评估报告编制流程与要点解析
个人信息保护影响评估报告编制流程与要点解析个人信息保护影响评估(PIA:Privacy Impact Assessment)是指对于个人信息处理活动的潜在隐私风险进行全面评估和分析,并提出相应的建议和措施来保护个人信息的安全和隐私。
在信息化时代,个人信息保护成为了重要的议题,各国和组织都开始关注并采取相应的法律和政策来保护个人隐私。
个人信息保护影响评估报告的编制是保护个人隐私的关键步骤之一。
一、个人信息保护影响评估报告编制流程个人信息保护影响评估报告是一个系统的工作,需要按照一定的流程来进行编制,以下是个人信息保护影响评估报告编制的一般流程:1. 确定个人信息处理活动:首先,需要对于个人信息处理活动进行明确和界定。
包括涉及个人信息的范围、收集和处理的方式、目的以及涉及的方面等。
2. 进行风险评估:对于个人信息处理活动的风险进行评估,包括可能导致的个人信息泄露、滥用、更改以及影响个人隐私的潜在威胁等。
3. 制定保护措施:根据风险评估的结果,制定相应的保护措施来减轻风险和保护个人信息的安全和隐私。
例如,加强访问控制、制定明确的个人信息处理规定等。
4. 编写报告草案:在制定保护措施的基础上,编写个人信息保护影响评估报告的草案。
报告草案应包括对于个人信息保护的目标、原则、风险评估结果和保护措施等内容。
5. 审核和修改报告:报告草案应经过相关部门或专业人士的审查和修改。
确保报告的准确性、完整性和可行性。
6. 最终报告发布:经过审核和修改后,最终个人信息保护影响评估报告应进行发布,并向相关方和公众提供。
二、个人信息保护影响评估报告编制要点解析个人信息保护影响评估报告的编制过程中,需要注意以下要点:1.明确目标与范围:报告中应明确个人信息处理活动的目标、范围和涉及的个人信息类型。
准确定义个人信息处理活动对于个人隐私的影响。
2.风险评估方法:风险评估是个人信息保护影响评估的核心内容。
应采取多种方法来评估个人信息处理活动的风险,包括收集统计数据、审核系统安全性、调查用户反馈等。
信息安全技术 网络安全从业人员能力基本要求-编制说明(一)
信息安全技术网络安全从业人员能力基本要求-编制说明(一)随着信息化发展的加速,互联网的普及和应用已经成为必然趋势。
然而,网络的安全问题也逐渐全面浮现。
网络犯罪日益增多,信息泄密事件时有发生,网络安全问题逐渐成为国家安全和民生问题。
为此,引进和培养一批信息安全技术专业人才,使其具备丰富的信息技术基础和专业知识,具备从业能力和高度责任感,成为了刻不容缓的重要任务。
就网络安全从业人员的能力基本发展趋势及能力要求,分别从以下几个方面进行探讨:1.信息安全领域专业技能网络安全从业人员需拥有丰富的信息安全技能和知识,包括网络攻防技术、安全需求分析和风险评估、密码学、漏洞分析和网络安全事件的处理等领域的知识。
此外,要求掌握C/C++/java/Python等编程语言,实现安全编写和代码审查,提高漏洞挖掘和攻击的黑盒和白盒的评测工具的设计和开发能力。
2.网络安全风险控制与管理网络安全从业人员还需要具备安全风险分析和控制能力。
通过数据加密、身份认证、安全通信等手段,有效防止信息泄露和恶意攻击,并提高运用网络安全管理策略,灵活和高效应对网络安全风险的能力;同时要求具有网络安全策略和规划设计的能力,能够制定供应商和客户的网络安全策略,并能通过用户需求和数据分析研究跨骨干网络安全问题。
3.对法律法规和安全标准的了解和遵守作为网络安全从业人员,必须熟悉网络安全相关法律法规和安全标准,掌握可信赖的信息系统开发方法和最佳实践,以保护信息的合法性和完整性,保护用户的合法权益等等。
4.创新能力网络安全人员需要具有创新能力,不仅在技术上创新,更要有全局意识和行动,整合各类安全解决方案,修复漏洞,确保运行网络的合法性和安全性。
总之,一名合格的网络安全从业人员需要掌握广泛、专业的信息安全技能与知识,在日常工作中将信息安全技能与知识真正落实到企业的网络安全架构和运行中,提供方案和技术支持,敏锐地检测照明安全漏洞,并能对有害攻击进行及时的应对。
个人信息保护影响评估报告方法和步骤
个人信息保护影响评估报告方法和步骤随着数据在现代社会中的不断增长和用户隐私意识的提高,个人信息保护变得越来越重要。
个人信息保护影响评估是一种评估和管理个人信息处理活动对个人隐私和数据安全可能产生的风险和影响的方法。
本文将介绍个人信息保护影响评估报告的方法和步骤,帮助企业和组织有效保护用户的个人信息。
一、个人信息保护影响评估概述个人信息保护影响评估是指对个人信息处理活动进行全面评估,以确定潜在隐私风险,并提供相应的控制措施以保证个人信息安全。
它主要关注以下几个方面:1.数据收集:对个人信息的获取和使用进行评估,包括数据收集的目的、范围、方式和法律依据等。
2.数据处理:评估个人信息的处理过程,包括数据存储、传输、处理、访问和删除等。
3.数据安全:评估个人信息的安全措施,包括数据加密、访问控制、身份验证和数据备份等。
4.风险与影响评估:评估个人信息处理活动可能导致的风险和影响,包括隐私泄露、数据滥用和安全漏洞等。
5.控制措施:提供针对个人信息处理活动的控制措施,以降低风险和保护个人信息安全。
二、个人信息保护影响评估报告方法个人信息保护影响评估报告的编写方法可以参考以下步骤:1.收集信息:收集与个人信息处理活动相关的所有信息,包括数据收集、处理和安全措施的详细说明和相关政策文件。
2.评估风险:进行隐私风险评估,分析个人信息处理活动可能导致的风险和潜在影响,并进行风险优先排序。
3.制定控制措施:根据隐私风险评估的结果,制定相应的控制措施,包括加强数据安全措施、限制数据访问权限、加强员工培训等。
4.评估措施有效性:评估已实施的控制措施的有效性,检查是否达到减少风险和保护个人信息的目标。
5.撰写报告:根据以上步骤的评估结果,撰写个人信息保护影响评估报告。
报告应明确概述个人信息处理活动、风险评估结果和提供的控制措施。
三、个人信息保护影响评估报告重点内容个人信息保护影响评估报告应包含以下重点内容:1.个人信息处理活动的细节和目的:介绍数据的来源、收集方式和使用目的,确保数据使用符合相关法律法规。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术个人信息安全影响评估指南》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员
标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程
1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标
准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
3、2017年7月,在中国电子技术标准化研究院召开第一次标准编制组工作会议,对标准编制背景、标准化内容等进行了深入讨论,确定了标准编制工作机制,确定了标准编制提纲。
3、2017年9月,标准编制组按照参与单位提供的资料汇总形成了国家标准《信息安全技术个人信息安全影响评估指南》初步草案。
4. 2017年10月16日,标准编制组在全国信息安全标准化技术委员会2017年第二次工作组厦门会议周进行工作汇报,工作组成员单位对标准草案提出了建议和意见。
会议决定维持标准草案状态,继续完善。
5.2017年12月20日,在中国电子技术标准化研究院召开第二次标准编制组工作会议,对标准存在的问题和意见进行了修改,并对草案需增加的内容进行了安排。
6. 2018年3月26日,在中国电子技术标准化研究院召开第三次标准编制组工作会议,再次完善了标准草案内容。
7. 2018年4月14日,标准编制组在全国信息安全标准化技术委员会2018年第一次工作组武汉会议周进行工作汇报,将标准推进到征求意见稿状态。
二、标准编制原则和确定主要内容的论据及解决的主要问题
《个人信息安全影响评估指南》通过借鉴国外立法和标准的研究,结合国内应用实践和标准编制组的科研成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的“PIA”标准。
为组织、监管部门、第三方测评机构等开展评估工作提供的指导和依据。
本标准的编制遵循以下原则:
(1) 先进性:标准反映当今个人信息保护的先进技术水平;
(2) 开放性:标准的编制、评审与使用具有开放性;
(3) 适应性:标准结合我国国情;
(4) 简明性:标准易于理解、实现和应用;
(5) 中立性:公正、中立,不与任何利益攸关方发生关联;
(6) 一致性:术语与国内外标准所用术语最大程度保持一致。
指南将针对组织提出个人信息安全影响评估的基本框架、方法和流程,供其自评估使用,同时为国家主管部门、第三方测评组织等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
本标准主要内容分为6个章节,分别针对个人信息安全影响评估的原理和框架、评估流程、评估的具体实施方式进行了详细的说明,资料性附录中给出了评估过程使用的判定准则和工具表。
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
《个人信息安全影响评估指南》的核心思路是针对个人信息处理活动,评估可能对个人权益造成的影响以及风险,影响主要包括四个方面:一是,影响个人自主决定权,比如被强迫执行不愿执行的操作、无法更正错误上传的个人信息、无法选择推送广告的种类、被蓄意推送影响个人价值观判断的资讯;
二是,引发差别性待遇,比如隐私信息(疾病、婚史、种族等)泄露造成的歧视、故意设置个人福利、资格、权利的差别等;
三是,个人名誉受损或遭受精神压力,比如公开不愿为人知的事实(生活习惯、以往经历等),被频繁骚扰、监视追踪等;
四是,个人财产受损或遭受人身伤害,比如账户被盗、遭受诈骗、被勒索恐吓、限制自由等。
三、主要试验情况分析
无。
四、知识产权情况说明
无。
五、产业化情况、推广应用论证和预期达到的经济效果
个人信息保护工作的复杂性,往往体现在个人信息边界的模糊性,动态性,个人信息处理活动的广泛性,个体认识的差异性等方面,如果对其简单进行理想化、原则性的完全保护,会大大制约基于数据的信息化产业发展,这正是个人信息安全工作最大的矛盾和争议,而风险管理的思路为解决这个问题提供了可能。
只要处理个人信息就不可能没有风险,实施有效的个人信息安全风险评估,及时整改高风险、中风险问题,适当接受低风险问题,一方面个人权益得到了最大程度的保护,另一方面也大大减轻了组织负担,在个人信息的处理过程中保留了适当的灵活度,降低了对业务的影响。
毕竟,不管法律法规、政策、标准其制定的核心目的是为了保护个人权益不受侵害,而不是机械式地落实其要求而不谈保护效果,否则可能适得其反,既没有保护好个人信息,又制约了组织的发展,因此开展个人信息安全风险评估将是组织平衡发展和安全策略的重要工具,非常有必要从标准角度对此工作做详细规范性的指导。
六、采用国际标准和国外先进标准情况
无。
七、与现行相关法律、法规、规章及相关标准的协调性
本标准与现行法律、法规以及国家标准不存在冲突与矛盾。
2016年,《个人信息安全规范》标准制定项目在全国信息安全标准化技术委员会立项,被列为重点标准项目,从更专业、更全面的角度对个人信息安全管理工作提出要求,为加强我国个人信息安全工作解了燃眉之急。
《个人信息安全规范》已经正式发布,标准号为GB/T 35273-2017。
本标准是《个人信息安全规范》的配套标准,研究过程中将借鉴美、欧等国家和地区在个人信息安全风险评估(国际上习惯称为隐私影响评估(PIA))方面最新的法律规定、制度设计、实践做法,以国内现有立法、行政法规、标准要求为出发点,提出科学有效符合、信息化发展需要、具有明确实施指导意义的个人信息安全风险评估指南。
八、重大分歧意见的处理经过和依据
无。
九、标准性质的建议
建议本标准作为推荐性国家标准发布实施。
十、贯彻标准的要求和措施建议
本标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法。
本标准适用于各类组织自行开展个人信息安全影响评估工作。
同时为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供的指导和依据。
建议本标准与GB/T 35273《个人信息安全规范》配套使用。
十一、替代或废止现行相关标准的建议
无。
十二、其它应予说明的事项
无。
《个人信息安全影响评估指南》
国家标准编制组
2019年08月30日。