《信息安全技术 个人信息安全 第7部分：内审实施指南》.pdf

信息安全技术个人信息安全第7部分：内审实施指南

1范围

本文件规定了个人信息安全管理体系内审原则、管理、管理机制和实施的基本规则和要求。

本文件适用于自动或非自动处理全部或部分个人信息的机关、企业、事业、社会团体等组织及个人。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

DB21/TXXXX信息安全技术个人信息安全术语

DB21/T1628.1信息安全技术个人信息安全第1部分：要求

DB21/T1628.2信息安全技术个人信息安全第2部分：实施指南

DB21/T2702.1信息安全个人信息安全管理体系评价第1部分：要求

3术语和定义

DB21/TXXXX界定的以及下列术语和定义适用于本文件。

PISMS内审PISMSinternalaudit

PISMS内部审计。运用系统、规范的方法，监督、检查、评价PISMS构建、实施、运行的充分性、有

效性、安全性和适宜性，促进PISMS的改进、完善，保障个人信息主体的权益。

4要求

本文件遵循DB21/T1628.1确立的个人信息管理原则和要求，亦遵循DB21/T1628.2确立的实施细

则，重点描述和指导PISMS内部审计的约束规则。

PISMS内部审计，应同时使用DB21/T1628.1、DB21/T1628.2和本文件，并参照DB21/T1628系列其

它标准。

5原则

客观性

应客观反映PISMS状态，保证内审真实、有效。

目的性

应明确个人信息管理者的发展目标，确立PISMS的实施目的。

职责性

1

应明确内审的管理职能、人员责任和内审机制的功能，保证内审质量。

价值性

应充分考虑个人信息管理者的管理、业务流程价值，提供充分、适宜的内审服务。

6组织机构

最高管理者

最高管理者应是推进PISMS内审，持续改进PISMS的决策者。其责任应包括：

a)确立个人信息安全、保证管理和业务稳定运行的目标和方向；

b)明确PISMS内审的重要性，并给予所需资源等各个方面的完全支持；

c)遵循DB21/T1628.18.2.3，选择有能力的内审代表，组建内审机构，并赋予相应权限，确保

内审实施；

d)对内审过程中可能出现的各种不利因素提供决策支持；

e)内审实施过程中的内部协调；

f)批准内审职责和内审计划，并协调个人信息管理机构，组织实施内审；

g)审核、批准内审报告。如果存在实质性问题，责成个人信息管理机构整改等。

内审代表

内审代表应是由最高管理者选聘的责任主体，依据DB21/T1628.18.2.3，其职责应包括：

a)独立提出和制定PISMS内审计划，并报最高管理者和个人信息管理代表；

b)代表最高管理者组建内审机构并负责日常工作；

c)明确内审人员的职责和工作边界；

d)确定内审所需资源；

e)负责内审实施和实施过程中的组织、管理；

f)协调个人信息管理机构的工作；

g)实施内审过程改进等。

6.2.1内审机构

内审代表应依据DB21/T1628.18.2.3组建内审机构。内审机构组成宜包括：

a)根据个人信息相关关键业务、管理责任主体确定内审人员；

b)个人信息管理机构相关人员；

c)员工代表；

d)外聘专家、学者、社会相关人士；

e)其它专业人士等。

6.2.2责任者

内审代表可以指定必要、适宜的内审责任人：

a)内审机构相关人员；

b)各相关部门内审责任人；

c)其他适宜的相关人员等。

6.2.3机构职责

2

内审机构应遵循DB21/T1628.18.2.3和DB21/T1628.28.4确立的职责：

a)明确PISMS内审的目的，编制内审制度和内审