DB21 T 2702.6—2019 信息安全 个人信息安全管理体系评价 第6部分：资格审核.pdf

1、ICS 35.020 L70 DB21 辽宁省 地 方 标 准 DB21/T 2702.6 2019 信息安全 个人信息安全管理体系评价 第 6 部分：资格审核 Information security-Personal information security management system evaluation part6： Qualification audit 2019 - 09 - 30 发布 2019 - 10 - 30 实施 辽宁省市场监督管理局 发布 DB21/T 2702.6 2019 I 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定

2、义 . 1 4 要求 . 1 5 申请资格 . 1 6 申请条件 . 2 7 受理机构 . 2 8 审核构成 . 4 9 接受申请 . 4 10 资格审核 . 4 11 评估 . 10 12 过程改进 . 10 DB21/T 2702.6 2019 II 前 言 DB21/T 2702 分为 11 部分： 信息安全 个人信息安全管理体系评价 第 1 部分：要求 信息安全 个人信息安全管理体系 评价 第 2 部分：管理指南 信息安全 个人信息安全管理体系 评价 第 3 部分：评价员管理 信息安全 个人信息安全管理体系评价 第 4 部分： 评价指标 信息安全 个人信息安全管理体系评价 第 5 部分

3、：评价方法 信息安全 个人信息安全管理体系评价 第 6 部分：资格 审核 信息安全 个人信息安全管理体系评价 第 7 部分：现场管理 信息安全 个人信息安全 管理体系评价 第 8 部分：保证方法 信息安全 个人信息安全管理体系评价 第 9 部分：仲裁指南 信息安全 个人信息安全管理体系评价 第 10 部分：审批指南 信息安全 个人信息安全管理体系评价 第 11 部分： 资格管理 本部分是 DB21/T 2702 的第 6 部分。 本部分按照 GB/T 1.1 2009标准化工作导则 第 1 部分：标准的结构与编写 给出 的规则 起草 。 本部分由辽宁省工业和信息化厅提出并归口。 本部分主要起草

4、单位：大连软件行业协会、 大连软信咨询服务有限公司、 大连交通大学 、大连市计 算机学会。 本部分主要起草人 ： 郎庆斌、孙鹏、 尹宏、 丁宗安 、 董晶 、 杨万清 、杨莉、 郭玉梅 、 曹剑、司丹 、 孙毅、王小庚 、王鑫 。 本标准发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门 ： 辽宁省工业和信息化厅：沈阳市皇姑区北陵大街 45-2 号， 024-86913384； 起草单位 ： 大连软件行业协会：大连市高新区七贤岭 10 号人才服务大厦 102 室， 0411-8365518

5、1。 DB21/T 2702.6 2019 1 信息安全 个人信息安全管理体系评价 第 6 部分：资格审核 1 范围 个人信息安全管理体系评价系列标准的本 部分 为实施 个人信息安全管理体系评价 申请资格审核 提 供指导和通用规则。 本部分 适用于各类个人信息安全管理体系评价机构，亦为已建立个人信息安全管理体系的个人、企 业、事业、社会团体等组织提供参照。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 DB21/T 1628.1 信息安全 个人信息保护规范 D

6、B21/T 1628.2 信息安全 个人信息安全管理体系 第 2部分：实施指南 DB21/T 2702.1 信息安全 个人信息安全管理体系评价 第 1部分：要求 DB21/T 2702.2 信息安全 个人信息安全管理体系评价 第 2部分： 管理指南 3 术语和定义 DB21/T 1628、 DB21/T 2702界定的以及 下列术语 和 定义适用于本文件。 3.1 资格 qualification 为申请 PISMSE应具备 的 条件和 PISMS活动过程 。 3.2 资格审核 evaluation 分析、判断 、 评估 申请 PISMSE应具备 的 条件 和 PISMS活动 。 4 要求 本

7、 部分 遵循 DB21/T 2702.1 确立 的 PISMSE 的基本 原则和要求，重点描述 和指导申请 PISMSE 资格审 核的约束规范 ，具体要求应符合： a） PISMSE 资格审核， 应 以 DB21/T 1628 系列标准为基准 ； b） PISMSE 资格审核 ，应同时使用 DB21/T 2702.1 和本指南，并参照 DB21/T 2702 系列其它标准 ； c） PISMSE 资格审核 ，亦应同时融合、参照信息安全、质量管理、服务管理等其它标准体系。 5 申请 资格 DB21/T 2702.6 2019 2 5.1 主体 特征 个人信息管理者是申请 PISMSE的主体 ，其

8、 主体 特征 应如 DB21/T 1628.2 9.1节所述： a）合法、有效、独立的机关 、企业、事业、社会团体等组织； b）个人； c）具有民事权利和民事能力，享有民事义务，承担民事责任； d）具有公共管理职能。 5.2 相关资格 个人信息管理者 申请 PISMSE所需的相关资格，主要应包括： a） 法律、法规、标准（规范）的遵从性； b） 组织管理的规范性、科学性； c） 体系管理的充分性、规范性、有效性； d） 员工的个人信息安全认知性； e） 最高管理者、管理者的个人信息安全认知性等。 6 申请条件 6.1 社会角色 在社会形态中， 个人信息管理者 的角色 ，主要应包括： a） 主体

9、 特征 合法、合规； b） 个人信息管理者运行正常， 风险可控； c） 个人信息管理者 遵循 DB21/T 1628.2 9.1.2节 规定，承担相应 的责任和义务 。 6.2 相关条件 个人信息管理者申请 PISMSE应具备的相关申请条件，主要应包括： a） 相关资格确认； b） 申请 PISMSE的个人信息管理者依据个人信息安全相关法规、标准和实际需要构建、实施了 PISMS； c） 申请 PISMSE前未发生个人信息安全相关事故、事件； d） 申请 PISMSE前， PISMS应 正常、安全、有效运行 3个月以上； e） 申请 PISMSE前， PISMS应 经过内审和评估，无重大、实质

10、性安全隐患； f） 申请 PISMSE前存在的个人信息安全隐患、缺陷 应 有效整改、完善； g） 申请 PISMSE的个人信息管理者根据实际需求主动申请 PISMSE等。 7 受理机构 7.1 要求 PISMSE申请，应由评价机构受理。 评价机构依据 DB21/T 2702.1 8.1.2审核申请 PISMSE的个人信息 管理者的资格，确认申请 PISMSE的个人信息管理者具有 PISMSE申请资格： a） 依据 DB21/T 2702.2，评价机构应是管理主体指导、批准设立的管理机构，为管理、实施 PISMSE 派出的评价主体； b） 评价机构应依据 DB21/T 2702.2 6.3.4建

11、立了相对完善的管理机制； DB21/T 2702.6 2019 3 c） 依据 DB21/T 2702.2 6.4，评价机构应具有一定的组织能力，并配备相应的评价员队伍； d） 评价机构应依据 DB21/T 2702.2 第 7章，建立了完善的评价体系，并制定了相应的评价规则； e） 评价机构宜依据 DB21/T 2702.2 第 9章，建立 PISMSE指标体系。 7.2 责任和义务 7.2.1 责任 依据 DB21/T 2702.2，评价机构应承担的责任和义务 主要包括 ： a） 社会责任 ，包括： 1） 客观、真实的事实判定； 2） 权威、有信誉的质量保证； 3） 获得第一方 和第二方充

12、分信任的信用保证； 4） 引导行业自律，保护个人信息主体权益 ； 5） 评价相关方的协调、沟通； 6） 提供安全策略和相应建议。 b） 法律责任 ： 评价主体应承担和履行评价过程中保证个人信息安全的法律责任，避免因评价引发 个人信息主体权益受损。 7.2.2 义务 评价主体应承担的相应义务主要包括： a） 社会义务：为承担和履行社会责任，保证评价的客观、公正、公平展开的评价相关的活动； b） 法律 义务：为承担法律责任，保证评价质量和个人信息主体权益所应遵循的相关法规、标准。 7.3 审核管理 7.3.1 职责 评价机构应遵循 DB21/T 2702.2 6.3.4.4确立的职责。 7.3.2

13、 管理制度 评价机构应遵循 DB21/T 2702.2 6.3.4.5的规则，建立相应的管理制度。 7.3.3 审核活动 7.3.3.1 活动组织 评价机构应遵循 DB21/T 2702.2 6.4.的规则，组织 PISMSE资格审核相关活动 ，主要应包括： a） 明确职责和行为规范：受理活动的行为准则； b） 受理活动：依据相关标准受理 PISMSE申请； c） 资格 审核 ： PISMSE申请者申请资格 审核 ； d） 受理评估：评估受理质量、效果、效率； e） 后处理： 1） 选择适宜的评价人员； 2） 组建现场审核组； 3） 评价 后的 其它 相关工作 。 f） 其它：其它需要完成的工

14、作等。 DB21/T 2702.6 2019 4 7.3.3.2 控制和协调 评价机构应遵循 DB21/T 2702.2 6.5、 6.6节的规则， 控制资格审核过程，协调相关事宜。 8 审核构成 PISMSE资格审核 ，由 2部分构成： a） 资格审查：确认 申请 PISMSE的个人信息管理者 是否具备 PISMSE申请资格； b） 文档审查： 申请 PISMSE的个人信息管理者 提交审查的个人信息管理相关文档 的完整性、规范性、 有效性审查。 9 接受申请 评价机构 应依据 DB21/T 1628、 DB21/T 2702系列标准（包括本标准） 接受 PISMSE申请，并应于 15 日 内

15、 决定是否受理申请： a） 受理申请应书面通知 PISMSE申请者，说明已受理 PISMSE申请，将开展 PISMSE相关活动； b） 不受理申请，应书面通知 PISMSE申请者，说明原因。 10 资格 审核 10.1 资格审查 10.1.1 要求 评价机构 接受 PISMSE申请后，应 组织评价 机构相关人员， 审查、 评估 申请 PISMSE的个人信息管理者 的 申请资格、申请条件 等，以判断 申请 PISMSE的个人信息管理者 是否具备 PISMSE申请资格。并确定是否 受理申请。 10.1.2 审查方式 10.1.2.1 概述 资格审查可以采用多种方式，综合评估申请 PISMSE的个人

16、信息管理者的评价资格，以获得相对公 允 的审查结果。 10.1.2.2 面谈 评价机构人员可在申请 PISMSE的个人信息管理者提交申请时面谈，了解申请 PISMSE的个人信息管 理 者的基本情况、个人信息管理的一般情况，以及个人基本素质等。 面谈可以形成对申请 PISMSE的个人信息管理者的基本认知，但不应形成偏见。 10.1.2.3 检查文档 依据 DB21/T 1628、 DB21/T 2702系列标准，检查 申请 PISMSE的个人信息管理者提交文档的完整性、 规范性、可信性。 10.1.2.4 其它 DB21/T 2702.6 2019 5 可采取其它方式，辅 助资格审查，如利用网络

17、、登录个人信息管理者网站等，了解申请 PISMSE的 个 人信息管理者的基本情况。 10.1.3 申请 资格 10.1.3.1 要求 申请 PISMSE的个人信息管理者申请 PISMSE，应满足第 6章的规定， 并提供相关说明。评价机构可 在 资格审核中初步确认。 10.1.3.2 特征 审查 10.1.3.2.1 应提交的文档 个人信息管理者应提交的文档，主要包括： a） PISMSE申请表； b） 申请 PISMSE的个人信息管理者的 相关资质等； c） 申请 PISMSE的个人信息管理者的 基本情况说明 等 。 10.1.3.2.2 审查 应采用 10.1.2.2、 10.1.2.4的方

18、法，审查、 评估 申请 PISMSE的个人信息管理者 的基本情况、申报基 本 情况的真实性、可信性。 10.1.3.3 相关资格审查 相关资格审查，可采取几种方式 了解、判断、综合评估，初步确认相关资格各项： a） 采用 10.1.2的方法， 综合判断； b） 利用 10.1.3.2.2的 审查 结论等。 10.1.4 文档 检查 10.1.4.1 申报文档 申请 PISMSE的个人信息管理者，应 依据 DB21/T 1628、 DB21/T 2702系列标准准备并提交 PISMSE相关 的文档，主要应包括： a） 依据 DB21/T 1628.1第 7章，提交个人信息管理相关文档，主要应包括

19、： 1） 个人信息管理计划； 2） 个人信息管理相关的文档、 包括记录、 人事关系 等 。 b） 个人信息管理文档与标准对应表； c） 依据 DB21/T 1628.1第 8章、第 9章、第 10章、第 11章，提交 PISMS相关文档： 1） 管理机制相关文档，如制度、培训教育等； 2） 个人信息数据库相关文档和说明； 3） 与管理、业务相关个人信息相关文档，如个人信息获取、处理、提供等； 4） 个人信息安全管理的相关文档 ； 5） 过程管理相关文档，如内审、过程改进等； 6） PISMS的其它相关文档，包括记录、表格 、统计报表 等 。 d） 依据 DB21/T 2702.1 7.1.2，

20、提交 PISMS内审报告和体系运行报告； e） PISMS整改、个人信息安全事故等相关报告； f） PISMS风险管理报告； DB21/T 2702.6 2019 6 g） 其它需要说明的问题等。 10.1.4.2 审查 应采用 10.2的方法，审查、评估 申请 PISMSE的个人信息管理者 提交文档规范性、完整性、真实性 和 可信性。 10.1.5 资格评估 10.1.5.1 要求 应通过 特征检查、文档检查 ， 综合 评估申请 PISMSE的个人信息管理者的申请资格。 10.1.5.2 结论 通过评估获得的资格审查结论，主要应包括： a） 同意受理申请，确认具备 PISMSE资格： 1）

21、提交特征审查的文档真实、有效； 2） 主体资格合法、合规； 3） 申报文档规范、完整、真实、可信 。 b） 存在以下问题之一，应改进、完善后重新评估： 1） 提交特征审查的文档存在缺陷、漏项、不完整； 2） 申报文档不规范等 。 c） 存在以下问题之一， 不予受理 ，并书面通知申请 PISMSE的个人信息管理者，说明原因 ： 1） 申报文档存在重大隐患（如虚报、瞒报等）； 2） 申报文档粗制滥造 等。 10.1.5.3 报告 资格审查结束后应 将 形成 的 资格 审查 结论 ，提交文档审查人员参考。 10.2 受理申请 10.2.1 受理通知 依据 10.5.2结论 a，评价机构同意受理通过资

22、格审查的 申请 PISMSE的个人信息管理者的申请，并书 面通知申请 PISMSE的个人信息管理者 。 10.2.2 受理工作 受理申请 PISMSE的个人信息管理者的 PISMSE申请后，评价机构应选聘具有相应能力的评价人员，审 查申请 PISMSE的个人信息管理者提交的 PISMSE申报文档，并开始 组织 PISMSE相关活动。 10.3 文档审查 10.3.1 概述 文档审查应是 评价机构选聘的评价人员， 依据 DB21/T 2702.1、 DB21/T 2702.确立的资格 审核 规则 和内容， 独立、客观的 理解、评估 申请 PISMSE的个人信息管理者申报的文档， 形成公允的审查结

23、论。 10.3.2 摘要 DB21/T 2702.6 2019 7 10.3.2.1 计划审查 基于 申请 PISMSE的个人信息管理者的基本情况审查，评估 ： a） 个人信息管理计划的完整性、充分性和有效性； b） 资源能力的有效性和效率； c） 最高管理者的认知等 。 10.3.2.2 数据库审查 基于 申请 PISMSE的个人信息管理者的基本情况审查，评估 ： a） 个人信息源识别的充分性； b） 个人信息数据库设计、构建的规范性、合理性、可信性； c） 个人信息数据库管理的合理性、规范性、安全性 等。 10.3.2.3 标准对应审查 基于个人信息管理文档与标准规则对应表审查，评估 ：

24、a） 规则对应的适应性、一致性； b） 申请 PISMSE的个人信息 管理者个人信息安全认知、理解和能力 等。 10.3.2.4 机制审查 基于 PISMS相关文档审查，评估： a） 管理机制的健全性、合理性； b） 管理制度的完整性、符合性和一致性； c） 员工和与个人信息管理相关人员管理的规范性、科学性； d） 宣传教育的有效性； e） 文档管理的规范性、可用性 。 10.3.2.5 业务审查 基于 PISMS相关文档审查，评估： a） 与个人信息相关的管理、业务的可控性、可信性； b） 与个人信息相关的管理、业务关联因素的可控性、安全性（如与社会互联、移动个人信息数据 库等） ； c）

25、个人信息利用（委托、提供、交易 、二次开发等）的可控性、可信性、安全性等 。 10.3.2.6 过程管理审查 基于 PISMS相关文档审查，评估： a） 基于个人信息生命周期的过程管理的有效性、安全性； b） PISMS过程改进的可信性、有效性； c） 内审过程的可控性、充分性等 。 10.3.2.7 体系审查 基于 PISMS运行报告、内审报告等，评估体系管理的充分性、有效性、适宜性 。 10.3.2.8 风险审查 DB21/T 2702.6 2019 8 基于风险管理报告，评估 ： a） 风险识别、分析、管理的可信性、充分性和有效性； b） PISMS的风险可控性、残余风险可控性等。 10

26、.3.3 审查评估 10.3.3.1 评估要求 应基于 10.3.2， 初步评估 文档审查的结果 ，包 括 ： a） 申请 PISMSE的个人信息管理者 个人信息管理的有效性和法规、标准的符合性； b） 明确 审查、评估过程中确认的 需要整改的问 题 ； c） 明确 审查、评估过程中无法确认， 需要 通过 现场审核确认的问题 ； d） 形成文档审查结论等。 10.3.3.2 结论 通过评估获得的文档审查结论，主要应包括： a） 可以通过文档审查： 1） 初步评估 个人信息安全隐患、缺陷等得到有效整改、完善； 2） 无个人信息安全事故； 3） 初步评估个人信息管理、 PISMS运行符合个人信息安

27、全相关法规、标准 。 b） 经过整改、完善后重新评估： 1） 初步评估个人信 息管理、 PISMS运行存在缺陷； 2） 初步评估 个人信息安全隐患、缺陷等未得到有效整改 。 c） 不能通过文档审查： 1） 初步评估个人信息管理、 PISMS运行存在重大缺陷； 2） 初步评估 个人信息安全存在重大隐患、缺陷； 3） 存在重大个人信息安全事故 的可能性 等。 10.4 审核 结论 10.4.1 要求 应整合资格审查、文档审查结论，综合评估 申请 PISMSE的个人信息管理者的申请资格。 10.4.2 审核合格 资格审核满足下列条件的，应予合格： a） 满足 第 6章的申请条件； b） PISMS相

28、关文档规范、完整、真实、有效； c） PISMS实施、运行状 况良好； d） 个人信息管理有效，符合个人信息安全相关标准、法规； e） PISMS运行存在可接受的非实质性问题 ； f） 资格、文档审查合格。 10.4.3 基本合格 资格审核符合下列条件的，应要求个人信息管理者修改、改进、完善后重新提交审核： a） 不能完全满足第 6章的申请条件 ； DB21/T 2702.6 2019 9 b） PISMS相关文档存在缺陷，需要改进、完善； c） PISMS实施、运行存在某些需要改进、完善的问题； d） 存在某些需要现场评价确认的一般性问题 ； e） 资格、文档审查需要改进。 10.4.4 不

29、合格 资格审核中发现存在下列问题，评价机构应退回申报材料，并要 求个人信息管理者重新内审、自我 评价，达到评价要求后重新申请 PISMSE，包括 ： a） 不能满足第 6章的申请条件； b） PISMS相关文档存在重大隐患（如虚报、瞒报等）； c） PISMS实施、运行存在重大缺陷 ： 1） 事故等级较高； 2） 事故处理措施不当； 3） 发生重大个人信息安全事故，且 尚在恢复期 。 d） 资格、文档审查不合格。 注 1： 本节 改写自 DB21/T 2702.1 8.2. 10.5 审核报告 10.5.1 不合格项报告 申请 PISMSE的个人信息管理者申请 PISMSE基本合格的，应形成不

30、合格项报告： a） 资格审核中存在的问题、缺 陷、安全风险等的说明； b） 问题、缺陷、安全风险等的 分析 ； c） 需要现场确认的问题说明； d） 整改建议等。 10.5.2 退回报告 评价机构退回 申请 PISMSE的个人信息管理者申报的 PISMSE材料，应形成不合格退回报告： a） 资格审核中存在的 重大隐患 、缺陷、安全风险等的说明； b） 重大隐患 、缺陷、安全风险等的 分析； c） 退回原因说明； d） 退回后应实施的主要工作说明； e） 整改建议等。 10.5.3 资格审核报告 完成资格、文档审查后，应编制资格审核报告，主要内容包括： a） 申请 PISMSE的个人信息管理者申

31、请资格审查情况 说明； b） 申请 PISMSE的个人信息管理者 提交文档审查情况说明； c）初步评估 PISMS实施、运行状况； d）个人信息安全相关法规、标准的符合性； e） 个人信息安全风险管理情况说明； f） 审核结论 说明 ： 1） 审核合格； DB21/T 2702.6 2019 10 2） 基本合格： 不符合、不满足 PISMSE要求事项说明； 应现场确认问题说明 申请 PISMSE的个人信息管理者整改情况说明； 申请 PISMSE的个人信息管理者 出具的整改报告 。 3） 不合格 不合格说明 ； 退回说明。 注 2： 本节 改写自 DB21/T 2702.1 8.3。 注 3：

32、 资格审核报告格式，可参考 DB21/T 2702.1 附录 E。 11 评估 11.1 要求 评价机构应定期评估资格审核过程，及时处理资格审核 过程中出现的问题、缺陷，改进和完善资格 审核过程 、提升资格审核质量 。 11.2 质量评估 11.2.1 客观性 在资格审核中，应避免因受外界因素、主观思维的影响，评估、判断出现偏差。 在评估资格审核质 量时，应检查、判断资格审核过程的独立性，评估审核方法的客观性。 11.2.2 软评价 在资格审核中，知识、专业、经验等可能影响客观判断、评估。在评估资格审核质量时， 应 基于 审 核人员的知识、专业、经验等，考虑评 价人员的审核视角，评估审核过程的

33、主观认知和客观事实的一致 性。 11.3 效果评估 11.3.1 影响因素 可能影响资格审核效果的主、客观因素 ，继承资格审核过程的独立性、客观性。评价机构应评估影 响因素对审核结果的影响，判断资格审核的 有效性。 11.3.2 评估 评价机构评估资格审核效果，主要应包括： a） 受理过程、审核过程的规范性、科学性及对审核效果的影响； b） 受理人员专业素养对审核效果的影响； c） 审核结论的符合性、科学性和权威性及对审核效果的影响等。 12 过程改进 DB21/T 2702.6 2019 11 应参照 DB21/T 2702.1 第 14章、 DB21/T 2702.2 第 12章 ，采用 PDCA过程方法改进、完善资格审核 过 程。 _