数字平安助手 2023-02-25 21:26 颁发于山东
1、评估框架
小我信息庇护保障才能评估包罗自评估和第三方评估两种形式。评估流程分为评估预备、评估施行和出具评估结论三个部门,如图2所示。评估预备阶段应施行以下步调:
1)确定评估对象:评估对象能够是被评估方的一种或多种产物或办事,能够是被评估方的某个或多个关键信息系统和关键营业流程,也能够是被评估方的部门或全数系统、部分等;
2)调研评估对象:评估方应组建响应的评估团队,对评估对象停止足够调研,领会评估对象相关信息,预备响应辅助评估东西等;
3)造定评估量划:评估方应根据评估对象调研成果造定合理的评估量划安放。
评估施行阶段评估方应根据差别评估内容摘用响应的评估办法停止评估,通干预干与卷、文档审阅和访谈等办法确认评估内容的现实庇护办法或要求落实情状等。
出具评估结论阶段应包罗评估陈述和结论,根据评估施行内容和详细评估目标相契合情状给出阐明。
2、自评估流程
(1)确定评估对象
根据评估目标,评估方和被评估方应配合确定评估对象。若评估形式为自评估且由评估方自行施行时,应由评估方自行确定评估对象。若评估形式为自评估且由评估方拜托第三方施行时,应由评估方和受拜托方协商确定,以评估方定见为主,受拜托方供给定见。若评估形式为查抄评估时,被评估方应共同评估方或评估方拜托的第三方确认评估对象。
(2)调研评估对象
评估对象确认后,应对其相关的小我信息处置活动和小我信息处置者的义务别离停止调研。
小我信息处置调研应至少包罗以下方面:
展开全文
1)次要的营业功用和小我信息处置活动规模;
2)相关小我信息处置系统;
3)相关小我信息类型和灵敏水平;
4)相关组织构造和人员;
5)相关轨制和流程。
小我信息处置者的义务调研应至少包罗以下方面:
1)相关组织构造和人员;
2)相关治理轨制和流程。
保障治理要求调研应至少包罗以下方面:
1)相关组织构造和人员;
2)相关治理轨制和流程。
(3)造定评估量划
评估方应合理预估评估工做复杂度和工做量,合理造定评估量划。评估量划中应包罗以下内容:
1)评估对象和范畴、评估根据、评估情况、评估东西;
2)评估团队人员角色分工等;
3)评估工做方案,包罗工做内容、输出成果等;时间进度安放。
4)时间进度安放。
(4)施行评估
应考虑以下方面,施行评估工做:
1)根据对应的评估标准原则开展施行评估活动;
2)各部门施行评估工做可挨次开展也可并行开展,无完全的挨次关系;
3)评估过程中均需输出评估过程文档,其内容至少应包罗评估对象、评估所抉择的评估目标及针对评估目标的评估成果。
(5)出具评估结论
应考虑以下方面,给出评估结论:
1)在评估陈述中,应包罗评估的情况、评估根本要素和每一项评估的成果,同时还应详细描述评估过程中的步调,如包罗未通过项则评估陈述中应包罗未通过原因的详细描述;
2)根据评估对象情状给出整改定见和定见;
3)如有需要,宜供给整改后复查环节;自评估办法。
4)自评估办法。
3、自评估办法
(1)小我信息处置活动
如被评估产物或办事已一般发布运营,由评估方根据被评估产物或办事的小我信息庇护政策以及现实产物表示等和被评估方确定其小我信息处置活动的范畴,然后比照响应评估目标停止评估。
如被评估产物或办事尚未发布或已停行办事,应根据产物和办事所处的差别生命周期阶段停止评估,并笼盖之前阶段的评估内容。各个阶段评估的次要内容可包罗:
需求阐发阶段:
1)具有需求阐明书,并包罗小我信息清单和专门的小我信息庇护需求阐发内容;
2)停止需求评审,部门场景还应停止专门的小我信息庇护影响评估。
设想阶段:
1)摘用的手艺道路和算法等对需求阐发中的小我信息停止了足够庇护,并称心小我信息庇护影响评估要求;
2)小我信息庇护政策设想、小我信息庇护功用设想、小我信息主体权益庇护设想称心响应目标要求:
3)第三方SDK通过平安检测,契合小我信息处置活动目标要求,第三方SDK供给者称心小我信息处置者的义务和响应治理要求;
4)停止小我信息庇护评审。
开发阶段:
1)与设想文档中的小我信息庇护要求相契合;
2)称心业界公认的平安编码标准要求;
3)制止将小我信息间接硬编码写历程序。
测试审核阶段:
1)创建并庇护小我信息庇护测试用例,笼盖小我信息处置活动、小我信息处置者义务等目标;
2)对小我信息庇护影响评估陈述中的内容停止测试,并设置阻塞项:
3)营业团队停止整改后需再次停止测试,如整改涉及到设想文档中的小我信息庇护计划设想的更改,需从头组织相关计划的评审:
4)测试情况与消费情况隔离。
发布摆设阶段:
1)停止发布前基准测试;
2)确认小我信息庇护评审通过,小我信息庇护测试审核通过。
运行庇护阶段:
1)适时停止小我信息庇护保障才能评估,出格是产物上线前和小我信息处置过程发作严重变动时:
2)当小我信息庇护保障才能评估目标更新或发作严重小我信息平安事务后从头停止小我信息庇护保障才能评估。
停行办事阶段:
1)及时通知用户并预留足够处置时间,供给小我信息处置的合理选项,包罗数据复造、删除等,协助用户完成小我信息处置;
2)在通知截行日期后及时删除用户小我信息。
(2)小我信息处置者的义务
被评估方通过自证等体例供给证明素材,评估方通干预干与卷、文档审阅和访谈等体例对证明素材内容停止评估确认。