GB/T 39335-2020
信息安全技术个人信息安全影响评估指南
Information security technology—Guidance for personal information security impact assessment
2021-06-01实施
2020-11-19发布
目次
前言 …………………………………………………………………………………………………1
1 范围………………….………………………………………………………………………………… 1
2 规范性引用文件 ………………………………………………………………………………………… 1
3 术语和定义 ……………………………………………………………………………………………… 1
4 评估原理………………………………………………………………………………………………… 2
4.1 微述 ………………………………………………………………………………………………… 2
4.2 开展评估的价值 …………………………………………………………………………………… 2
4.3 评估报告的用途 …………………………………………………………………………………… 2
4.4 评情责任主体 ……………………………………………………………………………………… 3
4.5 评估基本原理 ……………………………………………………………………………………… 3
4.6 评估实施需考虑的要素 …………………………………………………………………………… 3
5 评估实施流程 …………………………………………………………………………………………… 4
5.1 评情必要性分析…………………………………………………………………………………… 4
5.2 评估准备工作 ……………………………………………………………………………………… 5
5.3 数据腺射分析………………………………………………………………………………………7
5.4 风险源识别…………………………………………………………………………………………7
5.5 个人权益影响分析 ………………………………………………………………………………… 9
5.6 安全风险练综合分析………………………………………………………………………………… 10
5.7 评估报告…………………………………………………………………………………………… 10
5.8 风险处置和持续改进……………………………………………………………………………… 11
5.9 制定报告发布策略………………………………………………………………………………… 11
附录A（资料性附录》 评估性合规的示例及评估要点………………………………………………… 12
附录B（资料性附录〉 高风险的个人信息处理活动示例 ……………………………………………… 14
附录C（资料性附录） 个人信息安全影响评估常用工具表…………………………………………… 16
附录D（资料性附录） 个人信息安全影响评估参考方法……………………………………………… 19
参考文献 ……………………………………………………………………………………………………23
前 言
本标准按照GB/T1.1一2009 给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。