4.6 評估實施需考慮的要素

4.6.1 評估規模

個人信息安全影響評估的規模往往取決于受到影響的個人信息主體范圍、數量和受影響的程度。通常，組織在實施該類個人信息安全影響評估時，個人信息的類型、敏感程度、數量，涉及個人信息主體的范圍和數量，以及能訪問個人信息的人員范圍等，都會成為影響評估規模的重要因素。

4.6.2 評估方法

評估實施過程中采用的基本評估方法，包括但不限于以下三種：

a) 訪談：指評估人員對相關人員進行談話，以對信息系統中個人信息的處理、保護措施設計和實施情況進行了解、分析和取證的過程。訪談的對象包括產品經理、研發工程師、個人信息保護負責人、法務負責人員、系統架構師、安全管理員、運維人員、人力資源人員和系統用戶等。

b) 檢查：指評估人員通過對管理制度、安全策略和機制、合同協議、安全配置和設計文檔、運行記錄等進行觀察、查驗、分析，以便理解、分析或取得證據的過程。檢查的對象為規范、機制和活動，如個人信息保護策略規劃和程序、系統的設計文檔和接口規范、應急規劃演練結果、事件響應活動、技術手冊和用戶/管理員指南、信息系統的硬件/軟件中信息技術機制的運行等。

c)測試：指評估人員通過人工或自動化安全測試工具進行技術測試，獲得相關信息，并進行分析以便獲取證據的過程。測試的對象為安全控制機制，如訪問控制、身份識別和驗證、安全審計機制、傳輸鏈路和保存加密機制、對重要事件進行持續監控、測試事件響應能力以及應急規劃演練能力等。

4.6.3 評估工作形式

從實施主體來區分，個人信息安全影響評估分為自評估和檢查評估兩種形式。

自評估是指組織自行發起對其個人信息處理行為的評估，自評估可以由本組織指定專門負責評估、審計的崗位或角色開展，也可以委托外部專業組織開展評估工作。

檢查評估是指組織的上級組織發起的個人信息安全影響評估工作。上級組織是對組織有直接領導關系或負有監督管理責任的組織。檢查評估也可以委托外部專業組織開展評估。

在確定評估規模，選定評估方法、評估工作形式后，評估實施的具體流程可參照第5章內容。