一种数据要素化中评估个人信息安全影响的方法和系统与流程

本发明涉及信息安全评估，尤其涉及一种数据要素化中评估个人信息安全影响的方法和系统。

背景技术：

1、自个人信息安全影响评估指南发布后，个人信息安全影响评估的实施和落地主要采用现场调研以及线下评估的方式。现场调研以及线下评估的方式需要消耗大量的时间成本，由于全部由人工处理，没有固定的标准。尤其是在多场景下的个人线下安全影响评估中，评估的频次和频率很高，无法保证评估的低成本、高效和准确性。在实际应用中，部分厂商将评估流程做到线上，将评估内容做成线上问卷的方式，但评估仍完全依赖人为判断，评估产生的风险没有提供跟踪及处置的功能，无法实现评估风险的闭环。

2、因此，如何提供一种更加高效、低成本且准确的信息安全评估方法，成为亟待解决的技术问题。

技术实现思路

1、有鉴于此，为了克服现有技术的不足，本发明旨在提供一种数据要素化中评估个人信息安全影响的方法和系统。

2、根据本发明的第一方面，提供一种数据要素化中评估个人信息安全影响的方法，其特征在于，包括：

3、设置用于信息安全影响评估的评估问项，根据设置的评估问项生成评估模板，对生成的评估模板中的评估问项进行答复响应，生成各评估问项的结果；

4、判断各评估问项的结果的个人权益影响可能性级别和安全影响级别，根据判断结果获得各评估问项的风险等级；

5、根据各评估问项的风险等级为整体评估任务构建任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估；

6、根据整体任务的评估结果对相关的评估问项进行整改并对整改结果进行审查，生成整改和审查记录，直至整体任务的风险关闭；

7、制定评估报告模板，根据整体任务评估数据和评估报告模板实时生成评估报告。

8、优选的，本发明的数据要素化中评估个人信息安全影响的方法，设置用于信息安全影响评估的评估问项，根据设置的评估问项生成评估模板，包括：根据数据要素化工程的业务工序设置评估问项，根据设置的评估问项生成评估模板，所述评估问项包括数据归集评估问项、数据存储评估问项、数据加工评估问项、数据交换和交易评估问项、数据销毁评估问项、隐私权评估问项以及数据处理者义务评估问项。

9、优选的，本发明的数据要素化中评估个人信息安全影响的方法，对生成的评估模板中的评估问项进行答复响应，生成各评估问项的结果，包括：从数据要素化工程的关键操作日志记录和数据要素化工程的运行数据库中获取响应数据，根据获取的响应数据为评估模板中的评估问项填写结果和结果说明。

10、优选的，本发明的数据要素化中评估个人信息安全影响的方法，判断各评估问项的结果的个人权益影响可能性级别和安全影响级别，包括：

11、根据个人信息安全影响评估指南中的个人权益影响判定准则，判断各评估问项的结果的个人权益影响可能性级别，所述评估问项的结果的个人权益影响可能性级别包括很高级别、高级别、中级别和低级别；

12、根据个人信息安全影响评估指南中的安全影响程度判定准则，判断各评估问项的结果的安全影响级别，所述评估问项的结果的安全影响级别包括严重级别、高级别、中级别和低级别。

13、优选的，本发明的数据要素化中评估个人信息安全影响的方法，根据判断结果获得各评估问项的风险等级，包括：

14、当评估问项的结果的安全影响级别为低级别时，若评估问项的结果的个人权益影响可能性级别为低级别或中级别，将所述评估问项的风险等级判定为低风险等级；若评估问项的结果的个人权益影响可能性级别为高级别或很高级别，将所述评估问项的风险等级判定为中风险等级；

15、当评估问项的结果的安全影响级别为中级别时，若评估问项的结果的个人权益影响可能性级别为中级别，将所述评估问项的风险等级判定为低风险等级；若评估问项的结果的个人权益影响可能性级别为中级别或高级别，将所述评估问项的风险等级判定为中风险等级；若评估问项的结果的个人权益影响可能性级别为很高级别，将所述评估问项的风险等级判定为高风险等级；

16、当评估问项的结果的安全影响级别为高级别时，若评估问项的结果的个人权益影响可能性级别为低级别或中级别，将所述评估问项的风险等级判定为中风险等级；若评估问项的结果的个人权益影响可能性级别为高级别，将所述评估问项的风险等级判定为高风险等级；若评估问项的结果的个人权益影响可能性级别为很高级别，将所述评估问项的风险等级判定为严重风险等级；

17、当评估问项的结果的安全影响级别为严重级别时，若评估问项的结果的个人权益影响可能性级别为低级别，将所述评估问项的风险等级判定为中风险等级；若评估问项的结果的个人权益影响可能性级别为中级别，将所述评估问项的风险等级判定为高风险等级；若评估问项的结果的个人权益影响可能性级别为高级别或很高级别，将所述评估问项的风险等级判定为严重风险等级。

18、优选的，本发明的数据要素化中评估个人信息安全影响的方法，根据各评估问项的风险等级为整体评估任务构建任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估，包括：

19、对各评估问项进行权重赋值，根据评估问项的风险等级为所述评估问项赋予不同的等级百分比值；

20、根据整体任务中存在的最高等级的评估问项的风险等级，为整体任务设置不同的基础分值；

21、计算整体任务中每个评估问项的权重值与所述评估问项的等级百分比值的乘积，对所述乘积求和获得乘积和值，将基础分值与所述乘积和值的差作为整体任务的评估分值；

22、根据整体任务的评估分值对整体任务的风险等级进行评估定级。

23、优选的，本发明的数据要素化中评估个人信息安全影响的方法，根据各评估问项的风险等级为整体评估任务构建任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估，包括：

24、当整体任务中存在严重风险等级的评估问项，将整体任务的基础分值设置为第一基础分值；当整体任务中存在高风险等级的评估问项，将整体任务的基础分值设置为第二基础分值；当整体任务中存在中风险等级的评估问项，将整体任务的基础分值设置为第三基础分值；

25、将评估分值小于第一基础分值的整体任务的风险等级定级为严重风险等级，将评估分值大于等于第一基础分值且小于等于第二基础分值的整体任务的风险等级定级为高风险等级，将评估分值大于第二基础分值且小于第三基础分值的整体任务的风险等级定级为中风险等级。

26、优选的，本发明的数据要素化中评估个人信息安全影响的方法，根据各评估问项的风险等级为整体评估任务构建任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估，包括：当整体任务中的全部评估问项的风险等级均为低风险等级，将所述整体任务的风险等级定级为低风险等级。

27、优选的，本发明的数据要素化中评估个人信息安全影响的方法，根据整体任务的评估结果对相关的评估问项进行整改并对整改进行审查，生成整改和审查记录，直至整体任务的风险关闭，包括：

28、根据整体任务的评估结果筛选需要调整的整体任务，对筛选获得的整体任务中风险等级为中级别、高级别和严重级别的评估问项进行风险整改处置，生成风险整改处置记录；

29、将整改处置后的评估问项代入任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估，当整体任务的评估分值属于整体任务的低风险等级评估分值范围内，停止整改处置。

30、根据本发明的第二方面，提供一种数据要素化中评估个人信息安全影响的系统，包括评估服务端，用于设置用于信息安全影响评估的评估问项，根据设置的评估问项生成评估模板，对生成的评估模板中的评估问项进行答复响应，生成各评估问项的结果；判断各评估问项的结果的个人权益影响可能性级别和安全影响级别，根据判断结果获得各评估问项的风险等级；根据各评估问项的风险等级为整体评估任务构建任务风险等级评估模型，采用任务风险等级评估模型对整体任务进行评估；根据整体任务的评估结果对相关的评估问项进行整改并对整改结果进行审查，生成整改和审查记录，直至整体任务的风险关闭；制定评估报告模板，根据整体任务评估数据和评估报告模板实时生成评估报告。

31、根据本发明的第三方面，提供一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明第一方面所述的方法。

32、本发明的数据要素化中评估个人信息安全影响的方法和系统，具有以下有益技术效果：

33、1.可以根据应用场景对评估问项进行系统和客观地设置，从而提高评估问项在数据要素化工程的业务工序中的适用性。

34、2.根据设置的评估问项生成评估模板，通过评估模板进行结果采集响应，并根据评估问项的风险等级为整体评估任务构建任务风险等级评估模型，可以显著提高信息安全影响评估的效率，实现评估标准的稳定统一。

35、3.根据整体任务的评估结果对相关的评估问项进行整改并对整改结果进行审查，生成整改和审查记录，直至整体任务的风险关闭，显著提高信息安全影响评估的精确程度。

36、4.制定评估报告模板，根据整体任务评估数据和评估报告模板实时生成评估报告，可以进一步提高本发明方法的效率和场景适用性。