个人信息安全影响性评估是做什么的

“个人信息安全影响评估” （personal information security impact assessment，简称“PISIA”），在《网络安全法》、《个人信息保护法（草案）》以及《数据安全法（草案）》中属于“风险评估”或者“安全评估”的范畴。根据《评估指南》，“个人信息安全影响评估”是指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。

主要流程：

1.评估必要性分析

包括合规差距评估、尽责性风险评估

2.准备工作

包括组建评估团队、制定评估计划、确定评估对象和范围、制定相关方咨询计划。

3.数据映射分析

在针对个人信息处理过程进行全面的调研后，形成清晰的数据清单及数据映射图表。需要结合个人信息处理的具体场景，开展方式可参考《评估指南》附录C中表C.1《基于处理活动/场景/特性或组件的个人信息映射表》和C.2《个人信息生命周期安全管理》

4.风险源识别

对要素进行简化，归纳为网络环境和技术措施、个人信息处理流程、参与人员与第三方、业务特点和规模及安全趋势。

5.个人权益影响分析

分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以及可能产生何种影响，主要包括四个维度：限制个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、人身财产受损。可参考《评估指南》附录D.2《评估个人信息主体权益影响程度》。

6.安全风险综合分析

评价安全事件发生的可能性等级，评价对个人权益影响的程度等级，综合考虑安全事件可能性和个人权益影响程度两个要索，综合分析得出个人信息处理活动的安全风险等级。

7.评估报告

编制评估报告。个人信息安全影响评估报告的内容主要包括：评估所覆盖的业务场景、业务场景所涉及的具体的个人信息处理活动、负责及参与的部门和人员、己识别的风险、己采用及拟釆用的安全控制措施清单、剩余风险等。

8.风险处置和持续改进

通常情况下可根据风险的等级,采取立即处置、限期处置、权衡影响和成本后处置、接受风险等处置方式。

9.制定报告发布策略

包括选取并实施安全控制措施，持续跟踪风险处置落实情况，评估剩余风险等。