個人信息安全影響性評估是做什么的

“個人信息安全影響評估” （personal information security impact assessment，簡稱“PISIA”），在《網絡安全法》、《個人信息保護法（草案）》以及《數據安全法（草案）》中屬于“風險評估”或者“安全評估”的范疇。根據《評估指南》，“個人信息安全影響評估”是指針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。個人信息安全影響評估旨在發現、處置和持續監控個人信息處理過程中對個人信息主體合法權益造成不利影響的風險。

主要流程：

1.評估必要性分析

包括合規差距評估、盡責性風險評估

2.準備工作

包括組建評估團隊、制定評估計劃、確定評估對象和范圍、制定相關方咨詢計劃。

3.數據映射分析

在針對個人信息處理過程進行全面的調研后，形成清晰的數據清單及數據映射圖表。需要結合個人信息處理的具體場景，開展方式可參考《評估指南》附錄C中表C.1《基于處理活動/場景/特性或組件的個人信息映射表》和C.2《個人信息生命周期安全管理》

4.風險源識別

對要素進行簡化，歸納為網絡環境和技術措施、個人信息處理流程、參與人員與第三方、業務特點和規模及安全趨勢。

5.個人權益影響分析

分析特定的個人信息處理活動是否會對個人信息主體合法權益產生影響，以及可能產生何種影響，主要包括四個維度：限制個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、人身財產受損。可參考《評估指南》附錄D.2《評估個人信息主體權益影響程度》。

6.安全風險綜合分析

評價安全事件發生的可能性等級，評價對個人權益影響的程度等級，綜合考慮安全事件可能性和個人權益影響程度兩個要索，綜合分析得出個人信息處理活動的安全風險等級。

7.評估報告

編制評估報告。個人信息安全影響評估報告的內容主要包括：評估所覆蓋的業務場景、業務場景所涉及的具體的個人信息處理活動、負責及參與的部門和人員、己識別的風險、己采用及擬釆用的安全控制措施清單、剩余風險等。

8.風險處置和持續改進

通常情況下可根據風險的等級,采取立即處置、限期處置、權衡影響和成本后處置、接受風險等處置方式。

9.制定報告發布策略

包括選取并實施安全控制措施，持續跟蹤風險處置落實情況，評估剩余風險等。

回答所涉及的環境：聯想天逸510S、Windows 10。