電信和互聯(lián)網(wǎng)個人信息保護能力審計規(guī)范

電信終端產(chǎn)業(yè)協(xié)會發(fā)布I II III 1 1 1 1 2 2 2 2 2 2 2 2 3 3 3 3 4 4 4 4 4 4 4 5 5 5 5 6 6 6 6 6 6 6 7本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定進行系統(tǒng)性的審計人員建設(shè)、能力建設(shè)、規(guī)程建設(shè)，落實個人信息保護工作。1電信和互聯(lián)網(wǎng)個人信息保護能力審計規(guī)范本文件適用于第三方評估機構(gòu)開展評估工作，同時也適用于個人信息處理者進行自評GB/T35273-2020信息安全技術(shù)個人信息第三方應(yīng)用thirdpartyappl服務(wù)中的自動化工具，包括但不限于軟件開發(fā)工具包（SDK）、第三方代碼、組件、腳本、接口、算法4縮略語2HTML：超級文本標記語言（HyperTextMaSDK：軟件開發(fā)工具包（SoftwareDevelopme5概述規(guī)范個人信息處理活動、提升個人信息安全防護水平，促進個開展電信和互聯(lián)網(wǎng)個人信息保護能力審計應(yīng)遵循以應(yīng)明確個人信息保護能力審計流程，確保收集到充分適當?shù)膶徲嬜C據(jù)以對審計事項進行審查和評c）應(yīng)持續(xù)接受培訓(xùn)。包括但不限于相關(guān)法律法規(guī)、行業(yè)標準、組織管理制度、審計對象應(yīng)完整覆蓋個人信息處理活動及相關(guān)保4d）審計過程形成的記錄應(yīng)能對安全事件的處置、應(yīng)急響應(yīng)和事后a）應(yīng)及時處理審計過程中發(fā)現(xiàn)的個人信息違規(guī)使用、濫用a）應(yīng)建立完善的制度體系，對個人信息保護政策、相關(guān)規(guī)程和安全措施的有效性進行審b）應(yīng)建立自動化監(jiān)測記錄個人信息處理活動的能力，審計系統(tǒng)應(yīng)留存相關(guān)審計記錄；b）開展處理活動時，基于個人信息分類分級d）應(yīng)采用加密、安全存儲、訪問控制等安全措施進行個d）應(yīng)提供記錄導(dǎo)出能力，包括但不限于文b）支持對各類風(fēng)險隱患和安全事件的審計參數(shù)配置，如數(shù)據(jù)量級閾值、數(shù)據(jù)類型、安全/非安全d）能夠根據(jù)審計內(nèi)容的要求，形成日常操作和6中對象統(tǒng)計功能，可對敏感對象的訪問行為、操作9個人信息保護能力審計評估談等方法確認評估內(nèi)容的審計內(nèi)容或?qū)徲嫻δ苈鋵嵡闆r出具評估結(jié)論階段應(yīng)包括評估報告和結(jié)論，根據(jù)評估實施內(nèi)容和具體評估指標相符合情況給出說9.2確定評估對象9.3調(diào)研評估對象評估對象確認后，應(yīng)對其相關(guān)的審計內(nèi)容和審計功能分別進行調(diào)研，調(diào)研評估對象要求包括：9.4制定評估計劃評估方應(yīng)合理預(yù)估評估工作復(fù)雜度