GB/T 39335-2020信息安全技术个人信息安全影响评估指南

ICS35040

L80.

中华人民共和国国家标准

GB/T39335—2020

信息安全技术

个人信息安全影响评估指南

Informationsecuritytechnology—

Guidanceforpersonalinformationsecurityimpactassessment

2020-11-19发布2021-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T39335—2020

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

评估原理

4…………………2

概述

4.1…………………2

开展评估的价值

4.2……………………2

评估报告的用途

4.3……………………2

评估责任主体

4.4………………………3

评估基本原理

4.5………………………3

评估实施需考虑的要素

4.6……………3

评估实施流程

5……………4

评估必要性分析

5.1……………………4

评估准备工作

5.2………………………5

数据映射分析

5.3………………………7

风险源识别

5.4…………………………7

个人权益影响分析

5.5…………………9

安全风险综合分析

5.6…………………10

评估报告

5.7……………10

风险处置和持续改进

5.8………………11

制定报告发布策略

5.9…………………11

附录资料性附录评估性合规的示例及评估要点

A()…………………12

附录资料性附录高风险的个人信息处理活动示例

B()………………14

附录资料性附录个人信息安全影响评估常用工具表

C()……………16

附录资料性附录个人信息安全影响评估参考方法

D()………………19

参考文献

……………………23

GB/T39335—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院四川大学颐信科技有限公司深圳市腾讯计算机系

:、、、

统有限公司华为技术有限公司全知科技杭州有限责任公司北京腾云天下科技有限公司国家金融

、、()、、

卡安全检测中心强韵数据科技有限公司中国信息通信研究院北京信息安全测评中心联想北

IC、、、、(

京有限公司清华大学阿里巴巴北京软件服务有限公司中国软件评测中心浙江蚂蚁小微金融服

)、、()、、

务集团股份有限公司陕西省网络与信息安全测评中心

、。

本标准主要起草人洪延青何延哲胡影高强裔陈湉赵冉冉刘贤刚皮山杉黄劲葛梦莹

:、、、、、、、、、、

范为宁华葛鑫周顿科高磊李汝鑫秦颂兰晓陈舒陈兴蜀金涛秦博阳高志民顾伟白利芳

、、、、、、、、、、、、、、、

白晓媛张谦王伟光贾雪飞冯坚坚朱信铭王艳红李怡

、、、、、、、。

Ⅰ

GB/T39335—2020

信息安全技术

个人信息安全影响评估指南

1范围

本标准给出了个人信息安全影响评估的基本原理实施流程

、。

本标准适用于各类组织自行开展个人信息安全影响评估工作同时可为主管监管部门第三方测评

,、

机构等组织开展个人信息安全监督检查评估等工作提供参考

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术信息安全风险评估规范

GB/T20984

信息安全技术术语

GB/T25069—2010

信息安全技术个人信息安全规范

GB/T35273—2020

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2010、GB/T35273—2020。

31

.

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然

人活动情况的各种信息

。

定义

[GB/T35273—2020,3.1]

32

.

个人敏感信息personalsensitiveinformation

一旦泄露非法提供或滥用可能危害人身和财产安全极易导致个人名誉