網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求及專業(yè)機構(gòu)服務(wù)能力要求

根據(jù)《中華人民共和國個人信息保護法》《個人信息保護合規(guī)審計管理辦法》
等法律法規(guī)要求，為指導(dǎo)個人信息保護合規(guī)審計活動，保護個人信息權(quán)益，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務(wù)能力要求》。

 

第一部分：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求》提出了個人信息保護合規(guī)審計原則，規(guī)定了個人信息保護合規(guī)審計的總體要求、實施流程、內(nèi)容和方法，適用于個人信息處理者和專業(yè)機構(gòu)開展個人信息保護合規(guī)審計活動。

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求》的主要內(nèi)容：

1. 適用范圍：適用于個人信息處理者和專業(yè)機構(gòu)開展個人信息保護合規(guī)審計活動。

2. 審計原則：

   • 合法性：審計活動需符合相關(guān)法律法規(guī)。

   • 獨立性：審計人員應(yīng)獨立于被審計對象，確保審計的客觀性。

   • 客觀性：審計應(yīng)基于事實，避免主觀偏見。

   • 公正性：審計結(jié)論應(yīng)基于證據(jù)，確保報告真實、準(zhǔn)確、可靠。

   • 專業(yè)性：具備審計所需的專業(yè)知識、技能等能力。

   • 保密性：對審計活動的所有信息保密，不泄露或非法向他人提供。

3. 實施流程：

   • 審計準(zhǔn)備：確定審計目標(biāo)、范圍、方法等。

   • 審計實施：通過現(xiàn)場和非現(xiàn)場審計相結(jié)合的方式，收集審計證據(jù)。

   • 審計報告：形成審計報告，提出審計意見和建議。

   • 問題整改：對發(fā)現(xiàn)的不合規(guī)事項進行跟蹤，督促被審計對象在規(guī)定期限內(nèi)整改，必要時進行跟蹤審計。

   • 歸檔管理：妥善保管相關(guān)的底稿和審計報告。

4. 審計內(nèi)容：

   • 個人信息處理活動的合法性。

   • 個人信息處理規(guī)則規(guī)范性。

   • 個人信息權(quán)益保障。

   • 個人信息保護內(nèi)部管理制度和操作規(guī)程。

   • 安全技術(shù)措施。

   • 個人信息保護負(fù)責(zé)人及影響評估。

   • 教育培訓(xùn)計劃的制定和實施。

   • 個人信息安全事件應(yīng)急預(yù)案及響應(yīng)處置。

   • 其他

5. 審計頻率：

   • 處理超過1000萬人個人信息的處理者，每兩年至少開展一次審計。

   • 處理超100萬低于1000萬人個人信息的處理者，每三年或四年至少開展一次審計。

   • 處理不超過100萬人個人信息的處理者，宜每五年至少開展一次審計。
      

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計要求》下載：https://drive.weixin.qq.com/s?k=AKoA4geoAAkLaz8IMt

第二部分：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務(wù)能力要求》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務(wù)能力要求》從基本條件、管理能力、專業(yè)能力、人員能力、場所與設(shè)備資源能力五個方面規(guī)范了專業(yè)機構(gòu)提供個人信息保護合規(guī)審計服務(wù)的能力要求，可用于規(guī)范專業(yè)機構(gòu)個人信息保護合規(guī)審計活動；為專業(yè)機構(gòu)建設(shè)服務(wù)能力提供指引，同時也為個人信息處理者選擇專業(yè)機構(gòu)提供參考。

 

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計專業(yè)機構(gòu)服務(wù)能力要求》的主要內(nèi)容：

 

1. 適用范圍：規(guī)范專業(yè)機構(gòu)提供個人信息保護合規(guī)審計服務(wù)的能力要求，適用于指導(dǎo)專業(yè)機構(gòu)建設(shè)服務(wù)能力，也為個人信息處理者選擇專業(yè)機構(gòu)提供參考。

2. 基本條件：

   • 在國內(nèi)注冊，具有獨立法人資格或合規(guī)審查資格的合伙人組織。

   • 法定代表人、高層管理人員及審計人員需具有中國國籍且無犯罪記錄。

   • 機構(gòu)不存在涉法涉訴情況，無未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰或正在接受網(wǎng)絡(luò)安全審查，過去三年內(nèi)未因網(wǎng)絡(luò)安全、數(shù)據(jù)安全或個人信息保護服務(wù)問題被通報。

   • 具備個人信息保護相關(guān)檢查、檢測、評估、咨詢等服務(wù)項目或任務(wù)實施案例。

   • 不存在有關(guān)個人信息保護合規(guī)審計服務(wù)違規(guī)行為。

3. 管理能力：

   • 建立并執(zhí)行專業(yè)機構(gòu)管理責(zé)任制度、人員管理制度、審計方案審核管理制度、工作檔案管理制度、日常監(jiān)督制度、報告審核管理制度、定期自查機制、變更管理制度、項目溝通與應(yīng)急處理機制、活動行為準(zhǔn)則等。

   • 建立合規(guī)審計風(fēng)險控制機制，開展業(yè)務(wù)持續(xù)性保障管理相關(guān)工作。

4. 專業(yè)能力：

   • 具備開展個人信息保護的專業(yè)能力，能夠真實、有效、充分地開展合規(guī)審計。

5. 人員能力：

   • 合規(guī)審計人員與專業(yè)機構(gòu)簽訂勞動合同。

   • 至少有15名具備相關(guān)工作經(jīng)歷的個人信息保護合規(guī)審計人員。

   • 至少有2人具備高級個人信息保護合規(guī)審計人員能力，5人具備中級能力。

   • 設(shè)立專門的個人信息保護合規(guī)審計負(fù)責(zé)人，需具備高級能力，全面負(fù)責(zé)審計工作，并具備相關(guān)專業(yè)知識和工作經(jīng)歷。

   • 對合規(guī)審計人員進行背景審查，審查結(jié)果長期留存并可供認(rèn)證認(rèn)可相關(guān)機構(gòu)查看。

6. 場所與設(shè)備資源能力：

   • 具備開展個人信息保護合規(guī)審計所需的場所和環(huán)境、以及設(shè)備設(shè)施和工具。

 

認(rèn)證工作

目前，專業(yè)機構(gòu)的認(rèn)證工作已經(jīng)啟動，中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心、中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心已備案相關(guān)認(rèn)證規(guī)則，將依據(jù)《專業(yè)機構(gòu)服務(wù)能力要求》和《合規(guī)審計要求》實施認(rèn)證。

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——個人信息保護合規(guī)審計 專業(yè)機構(gòu)服務(wù)能力要求》下載：https://drive.weixin.qq.com/s?k=AKoA4geoAAk4eUs9mT