如何根据企业业务场景设计个人信息安全影响评估方案？

实施背景

随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）（以下简称“《个人信息安全规范》”）等一系列国家法律标准正式发布或实施，对数据商业化利用与公民个人信息保护关系进行了规则约束，旨在保护公民个人信息安全，维护国家利益和公民合法权益，为蓬勃发展的数字化建设护航。

2020年11月19日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第26号），《指南》国家标准正式发布，并将于2021年6月1日正式实施。

《指南》明确了“个人信息安全影响评估”的概念，即“针对个人信息处理活动,检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。”

在此背景下，对开展个人信息安全影响评估的客户需求分析如下：（1）需满足合规监管要求；（2）契合数据安全建设整体规划；（3）贯彻落实上级主管单位个人信息保护工作开展要求；（4）摸清企业自身个人信息保护现状。

出于对上述因素的考虑和对重点业务的分析，本文依据《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）（以下简称“《指南》”）评估思想，现针对某省企业个人信息安全影响评估项目进行可落地执行的路径探索和实践，提出相关的标准化工作机制和要求。

个人信息安全影响评估方案设计

2.1 基本概念

《个人信息安全规范》定义了个人信息、个人敏感信息、个人信息主体、个人信息处理者等术语。

● 个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

● 个人敏感信息：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

● 个人信息主体：个人信息所标识或者关联的自然人。

● 个人信息处理者：决定个人信息处理目的并执行处理活动的组织或个人。

2.2 解决方案

基于绿盟科技在数据安全服务中积累的项目经验，在本项目中提出如下解决方案的思路。

2.3.1 评估模型

在参考《指南》标准的基础上，吸纳ISO/IEC 29134等国际标准中实施隐私影响评估（PIA）的具体步骤，并结合国内法律法规相关要求，制定本次个人信息安全影响评估分析模型，包括三个阶段六个步骤，指导本项目实践过程中方法论的确立、验证和修正完善。

2.3.2 评估场景

为确保识别客户的重点业务个人信息安全保护现状，以及客户的综合个人信息安全保护合规状态，在本项目中即对客户的整体合规性进行了实践，也对单个系统/业务场景进行了实践，最终以整体评估结果展现。

2.3.3 评估方法

依据《指南》中的判定规则，本次个人信息安全影响评估采用定性和定量分析相结合的方式，对每个基本实践/维度（A~H）进行评分量化，从“严重/很高”到“低”依次采用4~1定义评分值。同时，将基本实践/维度（A~H）拆分成n个评估指标进行评估分析。

1. 个人权益影响分析方法

个人权益影响分析主要从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度进行分析。

评估过程中，将每个基本实践/维度进行拆分成细的评估指标，并对每个评估指标采取“算术平均”的方式后向上取整原则进行取值。

个人权益影响程度（PB）分值计算方法为：PB= A + B + C + D

个人权益影响程度包括以下四个方面的级别和进行对应评分赋值，分别为：

2. 安全事件可能性分析方法

安全事件可能性分析从网络环境和技术措施、处理流程规范性、参与人员与第三方、安全态势及处理规模四个方面出发，再回归到威胁识别和脆弱性识别上进行定量分析。

安全事件可能性（SV）＝威胁（TR）×脆弱性（VU）

安全事件可能性包括以下四个方面的级别和进行对应评分赋值，分别为：

2.3.4 评估指标

借鉴《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）中的评估点，结合《指南》中具体要求，并根据企业实际业务情况制定相应的评估指标。形成适用性强的评估指标并不断调整优化，将有助于后续评估工作的持续有效开展。

实施效果分析

个人信息安全影响评估工作的实施成效对企业显而易见，主要总结为以下四点：

（1）完成行业单位重点工作任务；

（2）评估当前个人信息安全风险并逐步整改，提升业务安全系数；

（3）促进团队沟通，通过评估安全、宣传安全从而提高业务相关人员的个人信息安全保护意识和防护能力；

（4）发现在个人信息在处理过程中存在的安全风险，持续修正个人信息保护边界，调整安全控制措施，使个人信息处理过程处于风险可控的状态。

个人信息安全影响评估是动态式的、触发式的，不仅能有效加强企业对个人信息主体权益的保护，也能够对外展示企业在个人信息保护领域的努力，提升透明度，增进个人信息主体对企业的信任。

（本文作者：绿盟科技集团股份有限公司 曾令平 刘宇 施岭）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。