息息相关!个人信息安全保护法草案来了,企业该怎样落实?
发布时间 2020-10-1510月13日,个人信息安全保护法草案在全国人大常委会会议上首次正式亮相。个人信息保护不仅事关广大人民群众的切身利益,更事关国家信息安全和中国数字经济的健康发展。在个人信息安全成为热门话题的当下,企业该如何做到个人信息安全影响评估?
启明星辰个人信息安全影响评估服务参考国内外相关法律法规,按照评估场景,通过识别和梳理个人信息处理活动,从而判断个人处理活动对个人权益造成的影响和安全事件发生的可能性,综合分析风险等级,给出改进建议,调整安全控制措施,让个人信息处理过程处于风险可控的状态。
哪些场景下企业该使用个人信息安全影响评估服务?
实施个人信息安全影响评估的典型场景:个人信息控制者应当定期(至少每年一次)对个人信息处理活动(尤其是委托处理、对外共享、转让或公开披露个人信息的情形)开展个人信息安全影响评估。
1、产品或服务年度整体评估;
2、新产品或新服务(不限技术平台)设计阶段评估;
3、新产品或服务(不限技术平台)上线初次评估;
4、法律法规、政策、标准、外部环境等出现重变化时重新评估;
5、业务模式、信息系统、运行环境等发生重大变更重新评估;
6、生重大个人信息安全事件后重新评估;
7、发生收购、兼并、重组等情形时。
启明星辰个人信息安全影响评估有哪些服务内容?
该服务通过数据映射分析、合规差距评估、个人影响评估及报告、风险处置及改进等4大模块,聚焦个人信息保护,切实维护个人信息安全。
● 数据映射分析阶段
对个人信息控制者的个人信息处理过程进行全面的调研,形成清晰的数据清单及数据映射图表,同时结合个人信息处理的具体场景,初步判定所处理的个人信息哪些属于个人敏感信息,梳理出待评估的个人信息处理活动。
● 合规差距评估阶段
根据所参考的个人信息保护相关法律、法规、政策及标准,直接分析当前执行的个人信息处理活动与其条款的差距。合规差距评估分为整体合规差距评估和局部合规差距评估,实施人员应根据客户实际情况,选择差距评估的方式。
● 个人影响评估阶段
首先分析个人信息处理活动对个人权益造成的影响,并判定相应的影响程度。其次,对个人信息处理活动涉及的特点、安全措施、相关方、规模等进行分析,判定相应影响相关安全事件发生的可能性。最后,综合分析影响程度和可能性两个要素,得出风险等级,并给出相应的改进建议。
● 风险处置及持续改进
对不同风险进行直观比较,以确定个人信息安全保障策略。在个人影响评估阶段完成之后,应根据风险分析的结果,选取并实施相应的安全控制措施进行风险处置。
个人信息保护法草案是个人信息保护领域中最为全面且最为集中的法律规范。个人信息保护工作法具有法律上的强制执行力特点,它与网络安全法、民法典的有关规定相衔接。其次,柔性的《个人信息安全规范》和未来刚性的《个人信息保护法》相协调,是平衡国家管制和行业自治,调和个人权益和企业利益的重要路径,也是开展企业网络安全、数据合规的重要指引和监管部门开展相关执法工作的重要依据。
个人信息安全影响评估是检验安全能力的唯一标准,通过定期开展个人信息安全影响影响评估工作,及时发现、处置和持续监控个人信息处理过程中的安全风险,是有效地落实个人信息保护法的关键途径。
作为网络安全行业的领头羊,启明星辰积极为企业提供个人信息安全影响评估服务,帮助企业及时发现个人信息处理过程中存在的安全风险,进而能够及时整改,落实个人信息保护法,同时还能明确个人信息边界,提高员工个人信息保护意识,告别信息“裸奔”,为个人信息安全构筑牢牢的高墙,进而建立一个良善有序的网络经济秩序,实现全民共享的网络经济发展。
京公网安备11010802024551号