5.2 評估準備工作

5.2.1 組建評估團隊

組織確認并任命負責進行個人信息安全影響評估的人員(評估人)。此外，組織還要指定人員負責簽署評估報告。

評估人明確規定個人信息安全影響評估報告的提交對象、個人信息安全影響評估的時間段、是否會公布評估報告或其摘要。

如有必要評估人需申請團隊支持，例如由技術部門、相關業務部門及法律部門的代表構成的團隊。組織內部個人信息安全影響評估需要組織管理層給予長期支持。

管理層需為個人信息安全影響評估團隊配置必要資源。

5.2.2 制定評估計劃

計劃需清楚規定完成個人信息安全影響評估報告所進行的工作、評估任務分工、評估計劃表。此外，計劃還需考慮到待評估場景中止或撤銷的情況。具體操作時考慮以下方面：

a)人員、技能、經驗及能力；

b)執行各項任務所需時間；

c)進行評估每一步驟所需資源，如自動化的評估工具等。

注：涉及的場景復雜、耗用資源多時，建議對原有方案進行更新迭代，針對常規評估活動或涉及待評估場景復雜度低等情形時，可沿用原有計劃或簡化該步驟。

如涉及相關方咨詢，計劃需說明在何種情況下需要咨詢相關方、將咨詢哪些人員以及具體的咨詢方式(例如通過公眾意見調查、研討會、焦點小組、公眾聽證會、線上體驗等等)。

管理層需為個人信息安全影響評估團隊配置必要資源。

5.2.3 確定評估對象和范圍

從以下三個方面描述評估的對象和范圍：

a)描述系統基本信息，包括但不限于：

1)處理個人信息的目的和類型；

2)對支撐當前或未來業務流程的信息系統的描述；

3)履行信息系統管理職責的部門或相關人員，以及其職責或履行水平；

4)關于個人信息處理方式、處理范圍的說明、有權訪問個人信息的角色等；

5)如預計委托第三方處理，或與第三方共享、轉讓信息系統的個人信息，說明上述第三方身份、第三方接人信息系統的情況等。

b)描述系統設計信息，包括但不限于：

1)功能(或邏輯)結構概覽；

2)物理結構概覽；

3)包含個人信息的信息系統數據庫、表格和字段的清單和結構；

4)按組件和接口劃分的數據流示意圖；

5)個人信息生命周期的數據流示意圖，例如個人信息的收集、存儲、使用和共享等；

6)描述通知個人信息主體的時間節點以及取得個人信息主體同意的時間節點和工作流

7)可對外傳輸個人信息的接口清單；

8)個人信息處理過程中的安全措施。

c)描述處理流程和程序信息，包括但不限于：

1)信息系統的身份與用戶管理概念；

2)操作概念，包括信息系統或其中部分結構采用現場運行、外部托管，或云外包的方式；

3)支持概念，包括列示可訪問個人信息的第三方范圍、其所擁有的個人信息訪問權限、其可訪問個人信息的位置等；

4)記錄概念，包括已登人信息的保存計劃；

5)備份與恢復計劃；

6)元數據的保護與管理；

7)數據保存與刪除計劃及存儲介質的處置。

5.2.4 制定相關方咨詢計劃

相關方包括但不限于：

– 員工，例如人力資源、法律、信息安全、財務、業務運營職能、通信與內部審計(尤其是在監管環境下)相關人員；

–個人信息主體和消費者代表；

–分包商和業務合作伙伴；

–系統開發和運維人員；

–對于評估有相應擔憂的其他組織人員。

為保證評估流程的透明，實現降低安全風險的目標，評估人需詳細確認進入評估程序的內部或外部相關方。相關方與待評估的個人信息處理活動具有直接的利益關系，相關方可以是擁有或可能獲取個人信息訪問權限的組織或個人。

評估人需確認相關方的分類，然后具體確認各類相關方中的特定組織或個人。如果相關方為個人，則該個人宜盡可能具有代表性。

個人信息的范圍與規模，以及業務重要性、成本收益等因素，對于確定恰當的相關方非常重要。如對大型個人信息處理活動進行評估，則可能存在較多相關方。在這種情況下，社會團體(如消費者權益保護組織)可能被確認為相關方。相反，一些小型評估，可能不需要確認寬泛的相關方清單。

制定咨詢計劃需明確不同的相關方所受的影響、后果(如果已知)以及所采取的用于降低不利影響的安全控制措施等相關問題。計劃中還包含咨詢范圍及計劃表。

咨詢計劃的目標包括但不限于：

a)確定相關方的數量與范圍；

b)相關方參與識別并評估個人權益影響及安全風險的具體方式；

c)就評估報告咨詢相關方意見，以確認報告是否充分反映他們對有關問題的關注。

注：相關方的反饋意見所提出的問題可能與主觀風險認識有關，而非客觀實際風險，但不能忽略這些意見，組織可將這些意見放在更廣泛的相關方管理問題中進行處理，為交流活動提供幫助。

組織在開展個人信息安全影響評估時，可以督促適當的相關方(主要包括分包商和業務合作伙伴)開展個人信息安全影響評估。適當的相關方有義務開展個人信息安全影響評估，或者配合組織開展個人信息安全影響評估，組織可以引用相關方的個人信息安全影響評估報告作為咨詢結果。