2023年个人信息保护影响评估报告.docx

个人信息保护影响评估报告 受评单位： 受评系统： 评估单位： 完成时间：  受评 单位 主营 业务 基本XXXXX业务 经营 许可 XXXX经营许可证已申领 申领类别：XXXXX业务 有效期：XXXX年XX月XX日。 个人信息处理情况 ?处理敏感个人信息； ?利用个人信息进行自动化决策； ¨委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息； ?向境外提供个人信息； ?其他对个人权益有重大影响的个人信息处理活动。 请注明： 个人信息 类型 （仅填写需触发个人信息保护影响评估的数据类型，参照《XXXX公司分类分级及重要数据管控指导意见》，按照大类-子类-具体类型的方式逐条填写） 示例：C1-3，消费信息和账单类，交易历史记录 个人信息 数量 （仅填写需触发个人信息保护影响评估的个人信息数量，以涉及的人数去重计） ¨1000万以上（含） ?100万人以上（含），1000万人以下（不含） ?10万人以上（含），100万人以下（不含） ?10万人以下（不含） 个人处理 目的 个人信息处理方式 （仅填写涉及评估相关的个人信息处理方式） ?收集 ?存储 ?使用 ?加工 ?传输 ¨提供 ?公开 ?删除 评估 结论 根据对XX系统个人信息处理活动安全管理措施的调研了解和评估，通过综合风险研判，在完成所有针对特定个人信息处理活动的安全风险评估和个人权益影响分析后，依据风险就高原则，综合判定当前系统总体风险等级低/中/高/极高。  评估背景 近年来个人信息泄露事件频发，危害个人权益、生命健康和财产安全，更对国家安全、公共利益造成严重影响。针对个人信息安全，国家“十四五”规划强调要保障国家数据安全，加强个人信息保护，建立个人信息相关的数据安全基础制度和标准规范，推动数据资源开发利用。在法律法规方面，国家已于2021年出台《个人信息保护法》，明确个人信息处理者要开展个人信息保护影响评估，并对处理情况进行记录，形成个人信息保护影响评估报告，评估报告和处理情况记录至少保存三年。 为履行《个人信息保护法》要求的社会责任，进一步加强个人信息保护，切实保障个人信息主体的合法权益，提高个人信息安全保护水平，确保企业个人信息处理活动的合法合规，根据《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》及2023年XXXX数据安全重点工作对于个人信息保护影响评估的部署，特组织开展个人信息保护影响评估工作。 基本情况介绍 系统名称 系统功能介绍 技术实现方式 （请文字描述技术实现方式，并插入系统逻辑架构图、网络拓扑图） 图 SEQ 图 \* ARABIC 1系统逻辑架构图 图 SEQ 图 \* ARABIC 2网络拓扑图 个人信息保护措施 xxxx公司积极推动落实个人信息保护责任，印发《xxxxxxxxxxxx通知》正式公文，明确XXXX作为公司个人信息保护第一责任人，XXXX作为公司个人信息保护直接责任人。制定个人信息保护责任部门与相关执行部门责任分工界面，XX部门设立专职岗位，指定人员归口负责公司个人信息保护整体落实工作，各部门分别指定安全接口人员，负责推进落实本条线或本部门个人信息保护工作。同时建立个人信息分类分级管理、访问权限管理、日志留存管理、安全审计管理、风险监测预警、安全评估、个人信息全生命周期管理、合作方管理、应急响应等管理制度，明确个人信息保护技术保障能力要求，配备数据识别、操作审计、数据防泄漏、接口安全管理等技术保障能力。 Xxx系统（系统名称）在管理制度保障要求、个人信息全生命周期要求、技术管控要求等方面合规性较为完善，符合个人信息保护合规性要求。但仍需xxx（根据评估整改建议补充）。 评估基本原理 评估依据 《中华人民共和国网络安全法》 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》 《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》 《GB/T 35273--2020信息安全技术 个人信息安全规范》 行业要求 行业要求 评估流程 开展评估前，需对待评估业务进行全面调研，形成清晰的数据清单及数据映射图表，梳理出待评估的具体的个人信息处理活动，并开展合规差距评估，所有评估项合规后，再通过分析个人信息处理活动对个人信息主体的权益可能造成的影响及其程度，以及分析安全措施是否有效、是否会导致安全事件发生及其可能性