根據(jù)《中華人民共和國(guó)個(gè)人信息保護(hù)法》《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》
等法律法規(guī)要求，為指導(dǎo)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，保護(hù)個(gè)人信息權(quán)益，全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》。

 

第一部分：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》提出了個(gè)人信息保護(hù)合規(guī)審計(jì)原則，規(guī)定了個(gè)人信息保護(hù)合規(guī)審計(jì)的總體要求、實(shí)施流程、內(nèi)容和方法，適用于個(gè)人信息處理者和專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》的主要內(nèi)容：

1. 適用范圍：適用于個(gè)人信息處理者和專業(yè)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)。

2. 審計(jì)原則：

   • 合法性：審計(jì)活動(dòng)需符合相關(guān)法律法規(guī)。

   • 獨(dú)立性：審計(jì)人員應(yīng)獨(dú)立于被審計(jì)對(duì)象，確保審計(jì)的客觀性。

   • 客觀性：審計(jì)應(yīng)基于事實(shí)，避免主觀偏見(jiàn)。

   • 公正性：審計(jì)結(jié)論應(yīng)基于證據(jù)，確保報(bào)告真實(shí)、準(zhǔn)確、可靠。

   • 專業(yè)性：具備審計(jì)所需的專業(yè)知識(shí)、技能等能力。

   • 保密性：對(duì)審計(jì)活動(dòng)的所有信息保密，不泄露或非法向他人提供。

3. 實(shí)施流程：

   • 審計(jì)準(zhǔn)備：確定審計(jì)目標(biāo)、范圍、方法等。

   • 審計(jì)實(shí)施：通過(guò)現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)審計(jì)相結(jié)合的方式，收集審計(jì)證據(jù)。

   • 審計(jì)報(bào)告：形成審計(jì)報(bào)告，提出審計(jì)意見(jiàn)和建議。

   • 問(wèn)題整改：對(duì)發(fā)現(xiàn)的不合規(guī)事項(xiàng)進(jìn)行跟蹤，督促被審計(jì)對(duì)象在規(guī)定期限內(nèi)整改，必要時(shí)進(jìn)行跟蹤審計(jì)。

   • 歸檔管理：妥善保管相關(guān)的底稿和審計(jì)報(bào)告。

4. 審計(jì)內(nèi)容：

   • 個(gè)人信息處理活動(dòng)的合法性。

   • 個(gè)人信息處理規(guī)則規(guī)范性。

   • 個(gè)人信息權(quán)益保障。

   • 個(gè)人信息保護(hù)內(nèi)部管理制度和操作規(guī)程。

   • 安全技術(shù)措施。

   • 個(gè)人信息保護(hù)負(fù)責(zé)人及影響評(píng)估。

   • 教育培訓(xùn)計(jì)劃的制定和實(shí)施。

   • 個(gè)人信息安全事件應(yīng)急預(yù)案及響應(yīng)處置。

   • 其他

5. 審計(jì)頻率：

   • 處理超過(guò)1000萬(wàn)人個(gè)人信息的處理者，每?jī)赡曛辽匍_(kāi)展一次審計(jì)。

   • 處理超100萬(wàn)低于1000萬(wàn)人個(gè)人信息的處理者，每三年或四年至少開(kāi)展一次審計(jì)。

   • 處理不超過(guò)100萬(wàn)人個(gè)人信息的處理者，宜每五年至少開(kāi)展一次審計(jì)。
      

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)要求》下載：https://drive.weixin.qq.com/s?k=AKoA4geoAAkLaz8IMt

第二部分：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》從基本條件、管理能力、專業(yè)能力、人員能力、場(chǎng)所與設(shè)備資源能力五個(gè)方面規(guī)范了專業(yè)機(jī)構(gòu)提供個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)的能力要求，可用于規(guī)范專業(yè)機(jī)構(gòu)個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)；為專業(yè)機(jī)構(gòu)建設(shè)服務(wù)能力提供指引，同時(shí)也為個(gè)人信息處理者選擇專業(yè)機(jī)構(gòu)提供參考。

 

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)服務(wù)能力要求》的主要內(nèi)容：

 

1. 適用范圍：規(guī)范專業(yè)機(jī)構(gòu)提供個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)的能力要求，適用于指導(dǎo)專業(yè)機(jī)構(gòu)建設(shè)服務(wù)能力，也為個(gè)人信息處理者選擇專業(yè)機(jī)構(gòu)提供參考。

2. 基本條件：

   • 在國(guó)內(nèi)注冊(cè)，具有獨(dú)立法人資格或合規(guī)審查資格的合伙人組織。

   • 法定代表人、高層管理人員及審計(jì)人員需具有中國(guó)國(guó)籍且無(wú)犯罪記錄。

   • 機(jī)構(gòu)不存在涉法涉訴情況，無(wú)未處理的網(wǎng)絡(luò)安全相關(guān)行政處罰或正在接受網(wǎng)絡(luò)安全審查，過(guò)去三年內(nèi)未因網(wǎng)絡(luò)安全、數(shù)據(jù)安全或個(gè)人信息保護(hù)服務(wù)問(wèn)題被通報(bào)。

   • 具備個(gè)人信息保護(hù)相關(guān)檢查、檢測(cè)、評(píng)估、咨詢等服務(wù)項(xiàng)目或任務(wù)實(shí)施案例。

   • 不存在有關(guān)個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)違規(guī)行為。

3. 管理能力：

   • 建立并執(zhí)行專業(yè)機(jī)構(gòu)管理責(zé)任制度、人員管理制度、審計(jì)方案審核管理制度、工作檔案管理制度、日常監(jiān)督制度、報(bào)告審核管理制度、定期自查機(jī)制、變更管理制度、項(xiàng)目溝通與應(yīng)急處理機(jī)制、活動(dòng)行為準(zhǔn)則等。

   • 建立合規(guī)審計(jì)風(fēng)險(xiǎn)控制機(jī)制，開(kāi)展業(yè)務(wù)持續(xù)性保障管理相關(guān)工作。

4. 專業(yè)能力：

   • 具備開(kāi)展個(gè)人信息保護(hù)的專業(yè)能力，能夠真實(shí)、有效、充分地開(kāi)展合規(guī)審計(jì)。

5. 人員能力：

   • 合規(guī)審計(jì)人員與專業(yè)機(jī)構(gòu)簽訂勞動(dòng)合同。

   • 至少有15名具備相關(guān)工作經(jīng)歷的個(gè)人信息保護(hù)合規(guī)審計(jì)人員。

   • 至少有2人具備高級(jí)個(gè)人信息保護(hù)合規(guī)審計(jì)人員能力，5人具備中級(jí)能力。

   • 設(shè)立專門(mén)的個(gè)人信息保護(hù)合規(guī)審計(jì)負(fù)責(zé)人，需具備高級(jí)能力，全面負(fù)責(zé)審計(jì)工作，并具備相關(guān)專業(yè)知識(shí)和工作經(jīng)歷。

   • 對(duì)合規(guī)審計(jì)人員進(jìn)行背景審查，審查結(jié)果長(zhǎng)期留存并可供認(rèn)證認(rèn)可相關(guān)機(jī)構(gòu)查看。

6. 場(chǎng)所與設(shè)備資源能力：

   • 具備開(kāi)展個(gè)人信息保護(hù)合規(guī)審計(jì)所需的場(chǎng)所和環(huán)境、以及設(shè)備設(shè)施和工具。

 

認(rèn)證工作

目前，專業(yè)機(jī)構(gòu)的認(rèn)證工作已經(jīng)啟動(dòng)，中央網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心、中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心已備案相關(guān)認(rèn)證規(guī)則，將依據(jù)《專業(yè)機(jī)構(gòu)服務(wù)能力要求》和《合規(guī)審計(jì)要求》實(shí)施認(rèn)證。

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——個(gè)人信息保護(hù)合規(guī)審計(jì) 專業(yè)機(jī)構(gòu)服務(wù)能力要求》下載：https://drive.weixin.qq.com/s?k=AKoA4geoAAk4eUs9mT