400-88-27001
service@aryasec.com

隐私影响评估实施方法介绍

来源:    发布日期:2020.04.10   点击量:

上周我们介绍了ISO27701的翻译稿,并且将ISO27701与其他信息安全/隐私保护的标准进行了对比。

完整版翻译稿只要通过安言咨询微信公众号回复“ISO27701”就能获取。
本周为大家介绍在实施ISO27701建设过程中的一个重要的环节-隐私影响评估介绍。


信息安全风险评估和隐私影响评估的关系


信息安全风险评估:是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
隐私影响评估(PIA):是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。


信息安全风险评估侧重于信息资产/流程/风险源等,而隐私影响评估更像是信息安全风险评估在隐私层面的细化要求,从实施角度两者实施的方法论相同,均可以基于ISO31000的风险管理模式实施,但需要在信息安全风险评估的基础上细化隐私的风险源开展实施。


隐私影响评估在ISO27701中的标准原文要求
当计划进行PII的新处理或对PII的现有处理进行更改时,组织应评估是否需要并实施适当的隐私影响评估。


PII处理会对PII主体产生风险。这些风险应通过隐私影响评估进行评估。有些司法管辖区规定了必须进行隐私影响评估的情况。标准可以包括对PII主体产生法律效力的自动决策、大规模处理特殊类别的PII(如与健康有关的信息、种族或人种、政治观点、宗教或哲学信仰、工会成员、遗传数据或生物数据),或对公共可访问区域的大规模系统监视。


组织应确定完成隐私影响评估所必需的要素。其中可以包括处理的PII类型、PII的存储位置和传输位置的列表。


隐私影响评估的方法介绍




核心实施流程分解


第一阶段:确定PIA必要性确认
在新产品/服务的立项阶段、开发实施阶段、上线阶段,企业需要开展PIA活动;
在国家隐私相关法律法规新增、变更或删除时可酌情开展PIA活动。


第二阶段:PIA准备阶段


1、成立PIA评估小组:此评估小组的建立及成员的设置是PIA成功开展及PIA的准确性,在实施过程中确保领导的支持,具体的实施建议由IT部门及业务部门共同完成,从业务角度和信息技术保护两个维度进行确认,同时可增加风险管理部门等支持部门进行配合完成。
2、描述评估内容:此阶段需要对个人隐私处理过程进行全面的调研,即何种隐私信息被使用,其使用的用途是什么,隐私信息有谁可以访问等,此阶段是PIA的关键部分,只有明确了隐私信息的使用过程才能开展全方位的评估工作。


第三阶段:PIA执行阶段


1、 评估隐私风险


隐私风险评估模型 

2、 隐私风险处理
根据风险接受准则对不可接受风险制定处置策略并推动相关部门实施处置。
常见的隐私风险处置策略包含:人员意识教育;对隐私信息进行匿名化保护等。


第四阶段:PIA跟进阶段

1、 更改跟进及审计
在制定完成处置措施后,根据处置的完成时间对各个部门的整改进行验证,同时审计部门可对PIA的实施过程、结果及整改完成情况开展审计工作,以确保PIA风险评估的真实性。


更多相关业务与内容,请持续关注我们。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com 

分享到:

相关新闻: