合规审计是个人信息保护的重要防线,专业机构能力是审计质量的基石。个人信息保护合规审计服务认证能力要求,统一服务标准、规范认证流程,推动行业专业化、规范化发展,为个人信息权益保护与数字经济健康发展筑牢能力保障。
基本条件
个人信息保护合规审计专业机构应具备的基本条件如下:
a)在中华人民共和国境内注册,并具有独立法人资格;
b)法定代表人、董事、合伙人以及高层管理人员无犯罪记录;
c)未被列入可能影响个人信息保护合规审计服务的负面清单,如失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单和不可靠实体清单等;
d)不存在未处理的网络安全相关行政处罚和正在接受网络安全审查等情形;
e)具备个人信息保护相关检查、检测、评估、咨询等服务项目或任务实施案例;
f) 近3年没有因网络安全服务、数据安全服务、个人信息保护服务问题被有关部门通报;
g)不存在以下个人信息保护合规审计服务违规行为:
1)未遵守法律法规,或者不能诚信正直、公正客观地作出合规审计职业判断;
2)对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等未依法依规予以保密;
3)存在转委托其他机构开展个人信息保护合规审计行为;
4)存在连续三次以上对同一审计对象开展个人信息保护合规审计情况。
合规审计风险控制
合规审计风险分析
专业机构应在开展合规审计前分析合规审计活动的潜在风险,制定应对措施并确认其有效性,对可能产生的风险、应对措施向被审计对象进行风险提示,经其同意后采取影响最小的方式实施,潜在风险包括但不限于:
a)合规审计专业机构因不可抗力导致的任务逾期、被审计对象提供的材料不全导致合规审计结果不准确等方面的风险;
b)合规审计活动可能对个人信息处理活动正常运行造成影响的风险,以及合规审计设备或工具接入可能对被审计对象的系统正常运行造成影响的风险;
c)其他可能危害被审计的个人信息处理者、个人信息处理活动等相关风险。
合规审计风险控制
专业机构应针对合规审计活动可能存在的风险,实施对应的管理和技术措施加以控制:
a)管理措施包括制定应急预案,明确不可抗力可能导致审计逾期情形下的替代方案,加强安全操作和意识培训,完善和宣贯安全操作规程等;
b)技术措施包括采用安全可靠的合规审计工具,对合规审计报告及有关证据材料的全流程留痕、合规审计人员权限管理、加密传输、加密存储等。
技术能力
个人信息保护合规审计专业机构应具备开展个人信息保护合规审计的技术能力,能够真实、有效、充分的开展个人信息保护合规审计。个人信息保护合规审计技术能力要求如下:
a)法律法规和标准规范知识。具备个人信息保护相关法律法规及标准规范的基本知识,熟悉个人信息处理活动及个人信息处理者相关行业领域、主管监管部门和地方区域的相关要求;
b)个人信息处理活动范围识别。能够在个人信息处理者支持下,确定个人信息保护合规审计的对象、范围和边界,明确个人信息保护合规审计涉及的个人信息、个人信息处理活动、业务、信息系统、人员和内外部相关方等;
c)个人信息识别,能够识别个人信息的类型、级别、范围、规模、形态等;
d)个人信息处理环节识别,能够识别个人信息处理活动目的,以及个人信息收集、存储、使用、加工、传输、提供、公开、删除环节的方式、系统、范围等;
e)个人信息处理活动相关方识别,能够识别个人信息处理者与相关方的数据处理关系,以及个人信息处理者与相关方的授权、协议、合同等约定事项;
f)个人信息处理活动保护措施识别和验证,能够识别已采用的网络安全、数据安全、个人信息保护措施等,包括但不限于身份鉴别、访问控制、权限管理、数据备份和恢复、数据防泄露、加密、去标识、匿名化等;能够使用检测工具对保护措施的有效性进行检测;
g)个人信息处理活动检测,能够使用检测工具对个人信息处理者收集使用个人信息情况开展检测;
h)掌握国家标准《数据安全技术个人信息保护合规审计要求》中个人信息保护合规审计内容的判别尺度,熟悉对应审计证据和审计方法,形成个人信息保护合规审计工作细则。
龙域认证凭借多年的行业经验和专业服务,赢得了企业的广泛认可,并成功帮助众多企业顺利解决了评估和申报中的各种难题。如果有需要,龙域认证团队将竭诚为您服务!
热门跟贴