信息安全 个人信息安全管理体系 第5部分：安全风险管理指南.pdfVIP

ICS 35.020 DB21 L 70 宁 省 地 方 标 准 DB 21/ T 1628.5 2014 信息安全 第5 部分：个人信息安全风险管 理指南 Information Security-Part5 ：Personal information security risk management guidelines 2014 - 07 -15 发布 2014 - 09 - 15 实施 辽宁省质量技术监督局 发 布 DB21/ T 1628.5 2014 目 次 前言 III 引言 IV 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 要求 2 5 风险管理概述 3 5.1 风险因素 3 5.2 风险类别 3 5.3 风险管理职责 4 5.4 风险管理实施 4 5.4.1 过程 4 6 个人信息安全风险管理过程 5 7 风险管理范围 6 7.1 资源 6 7.2 范围界定 7 8 风险评估 7 8.1 原则 7 8.2 风险识别 7 8.2.1 资源识别 7 8.2.1.1 资源风险 7 8.2.1.2 资源风险确认 7 8.2.1.3 资源风险描述 7 8.2.1.4 资源风险跟踪 8 8.2.2 管理体系风险识别 8 8.2.3 识别约束 8 8.3 风险分析 8 8.4 风险判定 10 8.4.1 判定原则 10 8.4.2 风险影响 10 9 风险处理 10 9.1 风险处理原则 10 9.2 风险接受原则 11 9.2.1 风险接受基准 11 I DB21/ T 1628.5 2014 9.2.2 风险接受区别 11 9.3 风险处理方式 11 9.4 残余风险 11 10 风险控制 12 10.1 要求 12 10.2 风险监控 12 10.3 个人信息安全管理体系内审 12 10.4 文档管理 12 参考文献 14 II DB21/ T 1628.5 2014 前 言 DB21/T1628 分为7 部分： 信息安全 第1 部分：个人信息保护规范 信息安全 第2 部分：个人信息安全管理体系实施指南 信息安全 第3 部分：个人信息数据库管理指南 信息安全 第4 部分：个人信息管理文档管理指南 信息安全 第5 部分：个人信息安全风险管理指南 信息安全 第6 部分：个人信息安全管理体系安全