ics35.020.docVIP

ICS35.020 L70 DB21 辽宁省地方标准 DB 21/ T1628.5—XXXX 信息安全 个人信息安全风险管理指南 Information Security-Personal information security risk management guidelines （本稿完成日期：2014-4-15） XXXX - XX - XX发布 XXXX - XX - XX实施 辽宁省质量技术监督局发布 目次 前言 III 引言 IV 1　范围 1 2　规范性引用文件 1 3　术语和定义 1 4　要求 2 5　风险管理概述 3 5.1　风险因素 3 5.2　风险类别 3 5.3　风险管理职责 4 5.4　风险管理实施 4 5.4.1　过程 4 6　个人信息安全风险管理过程 5 7　风险管理范围 6 7.1　资源 6 7.2　范围界定 7 8　风险评估 7 8.1　原则 7 8.2　风险识别 7 8.2.1　资源识别 7 8.2.1.1　　 7 8.2.1.2　　 7 8.2.1.3　　 7 8.2.1.4　　 8 8.2.2　管理体系风险识别 8 8.2.3　识别约束 8 8.3　风险分析 8 8.4　风险判定 10 8.4.1　判定原则 10 8.4.2　风险影响 10 9　风险处理 10 9.1　风险处理原则 10 9.2　风险接受原则 11 9.2.1　风险接受基准 11 9.2.2　风险接受区别 11 9.3　风险处理方式 11 9.4　残余风险 11 10　风险控制 12 10.1　要求 12 10.2　风险监控 12 10.3　个人信息安全管理体系内审 12 10.4　文档管理 12 参考文献 14 前言 DB21/T1628分为7部分： ——信息安全 个人信息保护规范 ——信息安全 个人信息安全管理体系实施指南 ——信息安全 个人信息数据库管理指南 ——信息安全 个人信息管理文档管理指南 ——信息安全 个人信息安全风险管理指南 ——信息安全 个人信息安全管理体系安全技术实施指南 ——信息安全 个人信息安全管理体系内审实施指南。 本标准是DB21/T1628的第5部分。 本标准依据GB/T1.1—2009《标准化工作导则 第1部分：标准的结构与编写》制定。 本由大连市经济和信息化委员会提出。辽宁省经济和信息化委员会郎庆斌、孙鹏、言 0.1 综述 风险是“不确定性对目标的影响”。即 “风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失自然破坏或损伤的可能性美国Cooper D．F和Chapman C．B《大项目风险分析》0.2 个人信息安全风险管理的必要性 在个人信息生命周期内，个人信息以不同的样态存在，既依存于业务亦依存于管理，具有不同的风险因素。涉及个人信息安全风险的来源是多样的，依个人信息生命周期： a）个人信息获取过程： 1）个人信息收集风险（收集目的、收集技术、方式和手段等）； 2）个人信息间接收集风险（收集目的、来源、第三方背景、安全承诺等）； b）个人信息处理过程： 1）个人信息使用风险（使用目的、使用方法和范围、使用背景等）； 2）个人信息提供风险（使用目的、使用方法和手段、接受者背景、安全承诺等）； 3）个人信息处理风险（处理目的、处理方式、处理方法和手段、后处理方式等）； 4）个人信息委托风险（委托目的、委托接受人、委托回收、安全承诺、回收方式等）； 5）个人信息传输风险（传输方式和手段、传输的安全措施等）； c）基于生命周期的过程管理： 1）个人信息管理风险（个人信息管理者的素质、权利和义务、管理方式等）; 2）0.3 个人信息 评估个人信息安全风险管理，包括： a）资源的影响：资源以多种形式存在，其所依存的管理、业务关联不同，具有不同的安全属性和价值，因而存在不同的安全风险； b）管理脆弱性：在个人信息管理者的管理体系、机制中，行政管理、员工管理、业务持续性等多方面存在固有的缺陷，因而存在某一特定环境、特定时间段发生风险的可能性； c）技术脆弱性：由于资源存在缺陷或漏洞，因而，所采取的技术管理措施存在必然的风险； d）个人信息安全管理体系的影响：个人信息安全管理体系（包括管理机制、内审机制、安全机制、过程改进、认证机制等）及标准、规范等存在设计缺陷，可能引发不同的安全风险。 0.4 风险管理基准 本指南为个人信息安全管理体系提供个人信息安全风险管理的基准和支持。但是，本指南并不提供任何特定的个人信息安全风险管理方法。个人信息管理者应根据管理及业务特点、环境因素、特定的个人信息安全管理体系及风险管理范围等，确定适合自身的风险管理方式。 依据本指南的规则，实施个人信息安全风险管理存在多种方式。 0.5 与其它标准体系的兼容性