网络安全标准实践指南——个人信息保护合规审计要求及专业机构服务能力要求

根据《中华人民共和国个人信息保护法》《个人信息保护合规审计管理办法》
等法律法规要求，为指导个人信息保护合规审计活动，保护个人信息权益，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计要求》和《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》。

 

第一部分：《网络安全标准实践指南——个人信息保护合规审计要求》

《网络安全标准实践指南——个人信息保护合规审计要求》提出了个人信息保护合规审计原则，规定了个人信息保护合规审计的总体要求、实施流程、内容和方法，适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。

《网络安全标准实践指南——个人信息保护合规审计要求》的主要内容：

1. 适用范围：适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。

2. 审计原则：

   • 合法性：审计活动需符合相关法律法规。

   • 独立性：审计人员应独立于被审计对象，确保审计的客观性。

   • 客观性：审计应基于事实，避免主观偏见。

   • 公正性：审计结论应基于证据，确保报告真实、准确、可靠。

   • 专业性：具备审计所需的专业知识、技能等能力。

   • 保密性：对审计活动的所有信息保密，不泄露或非法向他人提供。

3. 实施流程：

   • 审计准备：确定审计目标、范围、方法等。

   • 审计实施：通过现场和非现场审计相结合的方式，收集审计证据。

   • 审计报告：形成审计报告，提出审计意见和建议。

   • 问题整改：对发现的不合规事项进行跟踪，督促被审计对象在规定期限内整改，必要时进行跟踪审计。

   • 归档管理：妥善保管相关的底稿和审计报告。

4. 审计内容：

   • 个人信息处理活动的合法性。

   • 个人信息处理规则规范性。

   • 个人信息权益保障。

   • 个人信息保护内部管理制度和操作规程。

   • 安全技术措施。

   • 个人信息保护负责人及影响评估。

   • 教育培训计划的制定和实施。

   • 个人信息安全事件应急预案及响应处置。

   • 其他

5. 审计频率：

   • 处理超过1000万人个人信息的处理者，每两年至少开展一次审计。

   • 处理超100万低于1000万人个人信息的处理者，每三年或四年至少开展一次审计。

   • 处理不超过100万人个人信息的处理者，宜每五年至少开展一次审计。
      

《网络安全标准实践指南——个人信息保护合规审计要求》下载：https://drive.weixin.qq.com/s?k=AKoA4geoAAkLaz8IMt

第二部分：《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》

《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求，可用于规范专业机构个人信息保护合规审计活动；为专业机构建设服务能力提供指引，同时也为个人信息处理者选择专业机构提供参考。

 

《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》的主要内容：

 

1. 适用范围：规范专业机构提供个人信息保护合规审计服务的能力要求，适用于指导专业机构建设服务能力，也为个人信息处理者选择专业机构提供参考。

2. 基本条件：

   • 在国内注册，具有独立法人资格或合规审查资格的合伙人组织。

   • 法定代表人、高层管理人员及审计人员需具有中国国籍且无犯罪记录。

   • 机构不存在涉法涉诉情况，无未处理的网络安全相关行政处罚或正在接受网络安全审查，过去三年内未因网络安全、数据安全或个人信息保护服务问题被通报。

   • 具备个人信息保护相关检查、检测、评估、咨询等服务项目或任务实施案例。

   • 不存在有关个人信息保护合规审计服务违规行为。

3. 管理能力：

   • 建立并执行专业机构管理责任制度、人员管理制度、审计方案审核管理制度、工作档案管理制度、日常监督制度、报告审核管理制度、定期自查机制、变更管理制度、项目沟通与应急处理机制、活动行为准则等。

   • 建立合规审计风险控制机制，开展业务持续性保障管理相关工作。

4. 专业能力：

   • 具备开展个人信息保护的专业能力，能够真实、有效、充分地开展合规审计。

5. 人员能力：

   • 合规审计人员与专业机构签订劳动合同。

   • 至少有15名具备相关工作经历的个人信息保护合规审计人员。

   • 至少有2人具备高级个人信息保护合规审计人员能力，5人具备中级能力。

   • 设立专门的个人信息保护合规审计负责人，需具备高级能力，全面负责审计工作，并具备相关专业知识和工作经历。

   • 对合规审计人员进行背景审查，审查结果长期留存并可供认证认可相关机构查看。

6. 场所与设备资源能力：

   • 具备开展个人信息保护合规审计所需的场所和环境、以及设备设施和工具。

 

认证工作

目前，专业机构的认证工作已经启动，中央网信办数据与技术保障中心、中国网络安全审查认证和市场监管大数据中心已备案相关认证规则，将依据《专业机构服务能力要求》和《合规审计要求》实施认证。

《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》下载：https://drive.weixin.qq.com/s?k=AKoA4geoAAk4eUs9mT