信息安全技术 个人信息安全 第5部分：风险管理指南.pdf

ICS35.020

CCSL70

21

辽宁省地方标准

DB21/T1628.5—XXXX

代替DB21/T1628.5-2014

信息安全技术个人信息安全第5部分：

风险管理指南

Informationsecuritytechnology-Personalinformationsecurity-Part5:Risk

managementguidelines

（征求意见稿）

2022-5-5

（本草案完成时间：）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

辽宁省市场监督管理局发布

DB21/T1628.5—XXXX

引言

0.1综述

风险是“不确定性对目标的影响”。即“风险是由于从事某项特定活动过程中存在的不确定性而

产生的经济或财务的损失、自然破坏或损伤的可能性”（美国CooperD．F和ChapmanC．B《大项

目风险分析》）。

由于个人信息处于复杂、多变的环境中，呈现出多样性，因而，个人信息安全风险发生的可能性，

随环境的变化、个人信息多样态的变化，风险因素亦随之增加或减少，风险事件发生的可能性亦随之增

大或减小，可能产生不同的风险影响。

个人信息安全风险管理就是识别、分析、评估个人信息管理者运营中，各种可能危害个人信息和个

人信息主体权益的风险，并在此基础上，采取适当的措施有效处置风险。是以可确定的管理成本替代不

确定的风险成本，以最小的经济代价，实现最大安全保障的科学管理方法。

0.2个人信息安全风险管理的必要性

在个人信息生命周期内，个人信息以不同的样态存在，既依存于业务亦依存于管理，具有不同的风

险因素。涉及个人信息安全风险的来源是多样的，依个人信息生命周期：

a)个人信息获取过程：

1)个人信息收集风险（收集目的、收集技术、方式和手段等）；

2)个人信息间接收集风险（收集目的、来源、第三方背景、安全承诺等）；

3)个人信息存储（保存）风险（个人信息数据库）等。

b)个人信息处理过程：

1)个人信息使用风险（使用目的、使用方法和范围、使用背景等）；

2)个人信息提供风险（使用目的、使用方法和手段、接受者背景、安全承诺等）；

3)个人信息处理风险（处理目的、处理方式、处理方法和手段、后处理方式等）；

4)个人信息委托风险（委托目的、委托接受人、委托回收、安全承诺、回收方式等）；

5)个人信息传输风险（传输方式和手段、传输的安全措施等）；

6)个人信息后处理风险（后处理方式、职责、假名、匿名等）等；

c)基于生命周期的过程管理：

1)个人信息管理风险（个人信息管理者的素质、权利和义务、管理方式等）；

2)个人信息安全管理体系风险（体系缺陷、漏洞等）；

3)个人信息安全管理体系内审风险等。

所有个人信息收集、处理、使用、利用等行为，