DB21_T 1628.5-2014 信息安全 第5部分：个人信息安全风险管理指南.docx

根据《辽宁省市场监督管理局关于辽宁

省地方标准集中复审结论的通告》（辽宁省市场监督管理局通告2022年第28号），本文件归口单位由辽宁省经济和信息化委员会调整为辽宁省委网络安全和信息化委员会办公室。

ICS35.020L70

备案号：DB21

辽宁省地方标准

DB21/T1628.5—2014

信息安全第5部分：个人信息安全风险管

理指南

InformationSecurity-Part5：Personalinformationsecurityriskmanagementguidelines

2014-07-15发布2014-09-15实施

辽宁省质量技术监督局发布

I

DB21/T1628.5—2014

目次

前言 III

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4要求 2

5风险管理概述 3

5.1风险因素 3

5.2风险类别 3

5.3风险管理职责 4

5.4风险管理实施 4

5.4.1过程 4

6个人信息安全风险管理过程 5

7风险管理范围 6

7.1资源 6

7.2范围界定 7

8风险评估 7

8.1原则 7

8.2风险识别 7

8.2.1资源识别 7

8.2.1.1资源风险 7

8.2.1.2资源风险确认 7

8.2.1.3资源风险描述 7

8.2.1.4资源风险跟踪 8

8.2.2管理体系风险识别 8

8.2.3识别约束 8

8.3风险分析 8

8.4风险判定 10

8.4.1判定原则 10

8.4.2风险影响 10

9风险处理 10

9.1风险处理原则 10

9.2风险接受原则 11

9.2.1风险接受基准 11

II

DB21/T1628.5—2014

9.2.2风险接受区别 11

9.3风险处理方式 11

9.4残余风险 11

10风险控制 12

10.1要求 12

10.2风险监控 12

10.3个人信息安全管理体系内审 12

10.4文档管理 12

参考文献 14

III

DB21/T1628.5—2014

前言

DB21/T1628分为7部分：

——信息安全第1部分：个人信息保护规范

——信息安全第2部分：个人信息安全管理体系实施指南——信息安全第3部分：个人信息数据库管理指南

——信息安全第4部分：个人信息管理文档管理指南——信息安全第5部分：个人信息安全风险管理指南

——信息安全第6部分：个人信息安全管理体系安全技术实施指南——信息安全第7部分：个人信息安全管理体系内审实施指南。

本标准是DB21/T1628的第5部分。

本标准依据GB/T1.1—2009《标准化工作导则第1部分：标准的结构与编写》制定。本标准由大连市经济和信息化委员会提出。

本标准由辽宁省经济和信息化委员会归口。

本标准主要起草单位：大连软件行业协会、大连交通大学。

本标准主要起草人：郎庆斌、孙鹏、张剑平、尹宏、杨万清、曹剑、王开红。

IV

DB21/T1628.5—2014

引言

0.1综述

风险是“不确定性对目标的影响”。即“风险是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务的损失、自然破坏或损伤的可能性”（美国CooperD．F和ChapmanC．B《大项目风险分析》）。

由于个人信息处于复杂、多变的环境中，呈现出多样性，因而，个人信息安全风险发生的可能性，随环境的变化、个人信息多样态的变化，风险因素亦随之增加或减少，风险事件发生的可能性亦随之增大或减小，可能产生不同的风险影响。

个人信息安全风险管理就是识别、分析、评估个人信息管理者运营中，各种可能危害个人信息和个人信息主体权益的风险，并在此基础上，采取适当的措施有效处置风险。是以可确定的管理成本替代不确定的风险成本，以最小的经济代价，实现最大安全保障的科学管理方