《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)是2021年6月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)給出了個人信息安全影響評估的基本原理、實施流程。該標準適用於各類組織自行開展個人信息安全影響評估工作,同時可為主管監管部門、第三方測評機構等組織開展個人信息安全監督、檢查、評估等工作提供參考。
2021年11月1日,《個人信息保護法》執行,第五十五條 有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估。從法律層面提出要求。
2021年11月1日,《工業和信息化部關於開展信息通信服務感知提升行動的通知》,各相關企業應建立已收集個人信息清單和與第三方共享個人信息清單(首批設立“雙清單”的企業名單見附屬檔案),並在APP二級選單中展示,方便用戶查詢。(2021年12月底前完成)
基本介紹
- 中文名:信息安全技術—個人信息安全影響評估指南
- 外文名:Information security technology—Guidance for personal information security impact assessment
- 標準號:GB/T 39335-2020
- 發布日期:2020-11-19
- 實施日期:2021-06-01
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,制定背景,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
制定背景
2016年,《個人信息安全規範》標準制定項目在全國信息安全標準化技術委員會立項,被列為重點標準項目,為加強中國個人信息安全工作解了燃眉之急。《個人信息安全規範》標準強調展開個人信息安全影響評估工作,個人信息安全影響評估是個人信息控制者實施風險管理的重要組成部分,旨在發現、處置和持續監控個人信息處理過程中的安全風險。個人信息安全影響評估與傳統信息安全風險評估不同,其評估的是指對個人權益造成的損害,評估對象、評估方法均有所不同,國際上針對個人信息安全影響評估有大量專門的標準和指南。只有規範個人信息安全影響評估的方法才能確保個人信息安全工作落到實處。鑒於此,制定了國家標準《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)。
編制進程
- 標準計畫
2018年7月18日,國家標準計畫《信息安全技術—個人信息安全影響評估指南》(20180840-T-469)下達,項目周期24個月,由由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年11月19日,國家標準《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年6月1日,國家標準《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)實施。
制定依據
國家標準《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:中國電子技術標準化研究院、四川大學、頤信科技有限公司、深圳市騰訊計算機系統有限公司、華為技術有限公司、全知科技(杭州)有限責任公司、北京騰雲天下科技有限公司、國家金融IC卡安全檢測中心、強韻數據科技有限公司、中國信息通信研究院、北京信息安全測評中心、聯想(北京)有限公司、清華大學、阿里巴巴(北京)軟體服務有限公司、中國軟體評測中心、浙江螞蟻小微金融服務集團股份有限公司、陝西省網路與信息安全測評中心。
主要起草人:洪延青、何延哲、胡影、高強裔、陳湉、趙冉冉、劉賢剛、皮山杉、黃勁、葛夢瑩、范為、寧華、葛鑫、周頓科、高磊、李汝鑫、秦頌、蘭曉、陳舒、陳興蜀、金濤、秦博陽、高志民、顧偉、白利芳、白曉媛、張謙、王偉光、賈雪飛、馮堅堅、朱信銘、王艷紅、李怡。
標準目次
前言 | Ⅰ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4評估原理 | 2 |
5評估實施流程 | 4 |
附錄A(資料性附錄)評估性合規的示例及評估要點 | 12 |
附錄B(資料性附錄)高風險的個人信息處理活動示例 | 14 |
附錄C(資料性附錄)個人信息安全影響評估常用工具表 | 16 |
附錄D(資料性附錄)個人信息安全影響評估參考方法 | 19 |
參考文獻 | 23 |
參考資料:
內容範圍
《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)給出了個人信息安全影響評估的基本原理、實施流程。該標準適用於各類組織自行開展個人信息安全影響評估工作,同時可為主管監管部門、第三方測評機構等組織開展個人信息安全監督、檢查、評估等工作提供參考。
引用檔案
GB/T 20984 信息安全技術—信息安全風險評估規範 | GB/T 25069-2010 信息安全技術—術語 |
GB/T 35273-2020 信息安全技術—個人信息安全規範 | - |
參考資料:
意義價值
《信息安全技術—個人信息安全影響評估指南》(GB/T 39335-2020)是《個人信息安全規範》標準落地的有力抓手,是完善中國個人信息安全保護標準體系的關鍵環節;其次個人信息安全影響評估與傳統信息安全風險評估方法不同,需要深入研究和準確把握,通過該標準來確立個人信息安全影響評估工作的框架,有利於提升評估工作價值;此外,個人信息安全影響評估是平衡個人信息套用領域發展和安全的重要舉措,意義重大。
