（五）进行影响评估

在处理敏感个人信息，利用个人信息进行自动化决策，委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息，向境外提供个人信息等四种情形时，进行个人信息影响评估。评估内容包括个人信息处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的保护措施是否合法、有效并与风险程度相适应。评估基本方法有访谈、检查、测试等。评估报告和处理情况记录应当至少保存三年。

（六）加强风险监测

从人员、流程、技术等安全要素出发，加强风险监测。人员方面，组建一支专业的协同团队，消除安全风险避免安全事件；流程方面，形成良好的管理流程，确保人员发挥作用、监测措施能够落地；技术方面，完善监测技术体系，不断优化升级新型技术工具。

（七）制定应急措施

制定并组织实施个人信息安全事件应急机制。一是采取补救措施。评估事件带来的影响和损害，抑制事件的影响进一步扩大，并恢复数据与服务。二是通知相关部门和个人。通知应当包括个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害，采取的补救措施和个人可以采取的减轻危害的措施，个人信息处理者的联系方式。

（八）定期合规审计

对个人信息保护合规机制的合理性、可行性、有效性等进行审计，评估具体流程合规操作的规范性。由企业自发进行的定期审计，可以由企业内部专人进行，也可以聘请外部第三方机构进行；由个人信息保护职责部门要求进行的外部审计，适用于企业在处理个人信息时面临较大风险或者发生个人信息安全事件。审计完成后形成审计报告，总结内部合规机制运行状况以及提出整改方向。