12月1日,为贯彻落实《个人信息保护法》精神,强化国家标准实施应用,做好标准推广工作,中国网络安全产业联盟(CCIA)数据安全工作委员会主办第一期《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》国家标准宣贯会,卫士通作为专委会副主任委员单位应邀参会。
《个人信息保护法》对个人信息处理者明确提出了个人信息保护影响评估的要求,《个人信息保护规范》标准在组织的管理要求中,同样提出个人信息安全影响评估工作是个人信息保护责任人和工作机构所要开展的重点工作。《个人信息安全影响评估指南》(以下简称“《指南》”)作为我国个人信息保护标准体系的关键组成部分,规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了特定场景下进行评估的具体方法,为相关工作落地提供了重要的理论支撑。
卫士通公司代表张兆雷作了《个人信息安全影响评估的技术支撑探讨》的发言,他针对隐私影响评估实施流程和实施难点做了深入分析。例如,以什么样的维度快速清晰地进行数据识别和梳理;如何采用技术手段保障调研质量;如何为安全事件可能性分析建立合适的评估模型;如何实现自动化的影响评估等热点问题,提出减少人工参与,采用更多技术手段解决问题的思路。
例如,利用扫描技术快速发现数据资产及活动、威胁和脆弱;利用数据分析技术辅助开展风险评估;利用知识管理技术保存评估结果,发挥评估结果价值。卫士通基于对标准的研究和实施经验,提出了个人信息安全影响评估支撑系统和数据安全服务平台,来解决个人信息安全影响评估准备、调研、评估阶段的难点问题,并开展个人信息安全的合规服务。
中国电子技术标准化研究院网安中心测评实验室副主任何延哲对《指南》进行了解读,腾讯隐私保护经理刘俊河、法务专家薛颖分享了《指南》在应用与合规方面的经验,本次活动共吸引超过700位CCIA数据安全工作委员会委员单位的相关人员在线观看。
