DB21∕T 1628.5-2014 信息安全 第5部分个人信息安全风险管理指南

ICS35.020L70DB21辽宁省地方标准DB21/T1628.5—2014信息安全第5部分：个人信息安全风险管理指南InformationSecurity-Part5：Personalinformationsecurityriskmanagementguidelines2014-07-15发布2014-09-15实施辽宁省质量技术监督局发布DB21/T1628.5—2014I目次前言................................................................................III引言.................................................................................IV1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14要求...............................................................................25风险管理概述.......................................................................35.1风险因素.......................................................................35.2风险类别.......................................................................35.3风险管理职责...................................................................45.4风险管理实施...................................................................45.4.1过程.......................................................................46个人信息安全风险管理过程...........................................................57风险管理范围.......................................................................67.1资源...........................................................................67.2范围界定.......................................................................78风险评估...........................................................................78.1原则...........................................................................78.2风险识别.......................................................................78.2.1资源识别...................................................................78.2.1.1资源风险.............................................................78.2.1.2资源风险确认.........................................................78.2.1.3资源风险描述.........................................................78.2.1.4资源风险跟踪.........................................................88.2.2管理体系风险识别...........................................................88.2.3识别约束...................................................................88.3风险分析.......................................................................88.4风险判定......................................................................108.4.1判定原则..................................................................108.4.2风险影响..................................................................109风险处理..........................................................................109.1风险处理原则..................................................................109.2风险接受原则..................................................................119.2.1风险接受基准..............................................................11DB21/T1628.5—2014II9.2.2风险接受区别..............................................................119.3风险处理方式..................................................................119.4残余风险......................................................................1110风险控制.........................................................................1210.1要求.........................................................................1210.2风险监控.....................................................................1210.3个人信息安全管理体系内审.....................................................1210.4文档管理.....................................................................12参考文献.............................................................................14DB21/T1628.5—2014III前言DB21/T1628分为7部分：——信息安全第1部分：个人信息保护规范——信息安全第2部分：个人信息安全管理体系实施指南——信息安全第3部分：个人信息数据库管理指南——信息安全第4部分：个人信息管理文档管理指南——信息安全第5部分：个人信息安全风险管理指南——信息安全第6部分：个人信息安全管理体系安全技术实施指南——信息安全第7部分：个人信息安全管理体系内审实施指南。本标准是DB21/T1628的第5部分。本标准依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构与编写》制定。本标准由大连市经济和信息化委员会提出。本标准由辽宁省经济和信息化委员会归口。本标准主要起草单位：大连软件行业协会、大连交通大学。本标准主要起草人：郎庆斌、孙鹏、张剑平、尹宏、杨万清、曹剑、王开红。DB21/T1628.5—2014IV引言0.1综述风险是“不确定性对目标的影响”。即“风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失、自然破坏或损伤的可能性”（美国CooperD．F和ChapmanC．B《大项目风险分析》）。由于个人信息处于复杂、多变的环境中，呈现出多样性，因而，个人信息安全风险发生的可能性，随环境的变化、个人信息多样态的变化，风险因素亦随之增加或减少，风险事件发生的可能性亦随之增大或减小，可能产生不同的风险影响。个人信息安全风险管理就是识别、分析、评估个人信息管理者运营中，各种可能危害个人信息和个人信息主体权益的风险，并在此基础上，采取适当的措施有效处置风险。是以可确定的管理成本替代不确定的风险成本，以最小的经济代价，实现最大安全保障的科学管理方法。0.2个人信息安全风险管理的必要性在个人信息生命周期内，个人信息以不同的样态存在，既依存于业务亦依存于管理，具有不同的风险因素。涉及个人信息安全风险的来源是多样的，依个人信息生命周期：a）个人信息获取过程：1）个人信息收集风险（收集目的、收集技术、方式和手段等）；2）个人信息间接收集风险（收集目的、来源、第三方背景、安全承诺等）；b）个人信息处理过程：1）个人信息使用风险（使用目的、使用方法和范围、使用背景等）；2）个人信息提供风险（使用目的、使用方法和手段、接受者背景、安全承诺等）；3）个人信息处理风险（处理目的、处理方式、处理方法和手段、后处理方式等）；4）个人信息委托风险（委托目的、委托接受人、委托回收、安全承诺、回收方式等）；5）个人信息传输风险（传输方式和手段、传输的安全措施等）；c）基于生命周期的过程管理：1）个人信息管理风险（个人信息管理者的素质、权利和义务、管理方式等）;2）个人信息安全管理体系风险（体系缺陷、漏洞等）；等等。所有个人信息收集、处理、使用等行为，也都存在个人信息正确性、完整性和最新状态的风险。识别、评估、判断个人信息的潜在价值、安全威胁，是个人信息管理的基础，也是个人信息安全管理体系构建、实施、运行的安全基础。0.3个人信息安全风险管理评估评估个人信息安全风险管理，包括：a）资源的影响：资源以多种形式存在，其所依存的管理、业务关联不同，具有不同的安全属性和价值，因而存在不同的安全风险；b）管理脆弱性：在个人信息管理者的管理体系、机制中，行政管理、员工管理、业务持续性等多DB21/T1628.5—2014V方面存在固有的缺陷，因而存在某一特定环境、特定时间段发生风险的可