DB21T 2702.6-2019信息安全 個(gè)人信息安全管理體系評(píng)價(jià) 第6部分：資格審核

ICS5.020遼寧省地DB21方標(biāo)準(zhǔn)DB/T2702.6—2019價(jià)rmationsecurityPersonalinformationsecuritymanagementsystemevaluation遼寧省市場監(jiān)督管理局發(fā)布 前言個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)全個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)個(gè)人信息安全管理體系評(píng)價(jià)。、王鑫。依法進(jìn)行評(píng)估及復(fù)審。申請(qǐng)資格信息安全個(gè)人信息安全管理體系評(píng)價(jià)第6部分：資格審核個(gè)人信息安全管理體系評(píng)價(jià)系列標(biāo)準(zhǔn)的本部分為實(shí)施個(gè)人信息安全管理體系評(píng)價(jià)申請(qǐng)資格審核提業(yè)、社會(huì)團(tuán)體等組織提供參照。范性引用文件(包括所有的修改單)適用于本文件。DB1/T1628.1信息安全個(gè)人信息保護(hù)規(guī)范DB/T1628.2信息安全個(gè)人信息安全管理體系第2部分：實(shí)施指南DB1/T2702.1信息安全個(gè)人信息安全管理體系評(píng)價(jià)第1部分：要求DB21/T2702.2信息安全個(gè)人信息安全管理體系評(píng)價(jià)第2部分：管理指南定義DB1/T1628、DB21/T2702界定的以及下列術(shù)語和定義適用于本文件。ationPISMSE的條件和PISMS活動(dòng)過程。ion估申請(qǐng)PISMSE應(yīng)具備的條件和PISMS活動(dòng)。4要求，具體要求應(yīng)符合：cPISMSE格審核，亦應(yīng)同時(shí)融合、參照信息安全、質(zhì)量管理、服務(wù)管理等其它標(biāo)準(zhǔn)體系。.1主體特征a)合法、有效、獨(dú)立的機(jī)關(guān)、企業(yè)、事業(yè)、社會(huì)團(tuán)體等組織；b)個(gè)人；d)具有公共管理職能。5.2相關(guān)資格a)法律、法規(guī)、標(biāo)準(zhǔn)(規(guī)范)的遵從性；條件社會(huì)角色a法、合規(guī)；c遵循DB21/T1628.29.1.2節(jié)規(guī)定，承擔(dān)相應(yīng)的責(zé)任和義務(wù)。相關(guān)條件理者申請(qǐng)PISMSE應(yīng)具備的相關(guān)申請(qǐng)條件，主要應(yīng)包括：SfPISMSE的個(gè)人信息安全隱患、缺陷應(yīng)有效整改、完善；gPISMSEPISMSE等。要求；b評(píng)價(jià)機(jī)構(gòu)應(yīng)依據(jù)DB21/T2702.26.3.4建立了相對(duì)完善的管理機(jī)制；eDB1/T2702.2第9章，建立PISMSE指標(biāo)體系。責(zé)任和義務(wù).1責(zé)任DBT2702.2，評(píng)價(jià)機(jī)構(gòu)應(yīng)承擔(dān)的責(zé)任和義務(wù)主要包括：a包括：b)法律責(zé)任：評(píng)價(jià)主體應(yīng)承擔(dān)和履行評(píng)價(jià)過程中保證個(gè)人信息安全的法律責(zé)任，避免因評(píng)價(jià)引發(fā).2義務(wù)體應(yīng)承擔(dān)的相應(yīng)義務(wù)主要包括：審核管理職責(zé)應(yīng)遵循DB21/T2702.26.3.4.4確立的職責(zé)。管理制度DBT6.3.4.5的規(guī)則，建立相應(yīng)的管理制度。審核活動(dòng).1活動(dòng)組織a和行為規(guī)范：受理活動(dòng)的行為準(zhǔn)則；cPISMSE者申請(qǐng)資格審核；核組；關(guān)工作。.2控制和協(xié)調(diào)審核構(gòu)成9接受申請(qǐng)?jiān)u價(jià)機(jī)構(gòu)應(yīng)依據(jù)DB21/T1628、DB21/T2702系列標(biāo)準(zhǔn)(包括本標(biāo)準(zhǔn))接受PISMSE申請(qǐng)，并應(yīng)于15bPISMSE說明原因。面談以及個(gè)人基本素質(zhì)等。DBTDBTPISMSE交文檔的完整性、性?；厩闆r。PISMSEPISMSE提供相關(guān)說明。評(píng)價(jià)機(jī)構(gòu)可在文檔b申請(qǐng)PISMSE的個(gè)人信息管理者的相關(guān)資質(zhì)等；cPISMSE管理者的基本情況說明等。審查性、可信性。查b利用10.1.3.2.2的審查結(jié)論等。aDB21/T1628.1第7章，提交個(gè)人信息管理相關(guān)文檔，主要應(yīng)包括：；cDBT28.1第8章、第9章、第10章、第11章，提交PISMS相關(guān)文檔：庫相關(guān)文檔和說明；相關(guān)個(gè)人信息相關(guān)文檔，如個(gè)人信息獲取、處理、提供等；安全管理的相關(guān)文檔；PISMS的其它相關(guān)文檔，包括記錄、表格、統(tǒng)計(jì)報(bào)表等。ePISMS安全事故等相關(guān)報(bào)告；g題等。審查PISMSE格。合規(guī)；、完整、真實(shí)、可信。整；范等。1)申報(bào)文檔存在重大隱患(如虛報(bào)、瞞報(bào)等)；的資格審查結(jié)論，提交文檔審查人員參考。依據(jù)10.5.2結(jié)論a，評(píng)價(jià)機(jī)構(gòu)同意受理通過資格審查的申請(qǐng)PISMSE的個(gè)人信息管理者的申請(qǐng)，并書PISMSE的個(gè)人信息管理者。文檔審查應(yīng)是評(píng)價(jià)機(jī)構(gòu)選聘的評(píng)價(jià)人員，依據(jù)DB21/T2702.1、DB21/T2702.確立的資格審核規(guī)則請(qǐng)PISMSE的個(gè)人信息管理者申報(bào)的文檔，形成公允的審查結(jié)論。PISMSE的基本情況審查，評(píng)估：bc等。PISMSE的基本情況審查，評(píng)估：b)個(gè)人信息數(shù)據(jù)庫設(shè)計(jì)、構(gòu)建的規(guī)范性、合理性、可信性；c。查信息管理文檔與標(biāo)準(zhǔn)規(guī)則對(duì)應(yīng)表審查，評(píng)估：bPISMSE全認(rèn)知、理解和能力等。a制的健全性、合理性；b管理制度的完整性、符合性和一致性；e性、可用性。b)與個(gè)人信息相關(guān)的管理、業(yè)務(wù)關(guān)聯(lián)因素的可控性、安全性(如與社會(huì)互聯(lián)、移動(dòng)個(gè)人信息數(shù)據(jù)c)個(gè)人信息利用(委托、提供、交易、二次開發(fā)等)的可控性、可信性、安全性等。查b)PISMS過程改進(jìn)的可信性、有效性；c、充分性等。MSbPISMS性等。0.3.2，初步評(píng)估文檔審查的結(jié)果，包括：b確審查、評(píng)估過程中確認(rèn)的需要整改的問題；d等。有效整改、完善；事故；人信息安全隱患、缺陷等未得到有效整改。PISMS；人信息安全存在重大隱患、缺陷；格審查、文檔審查結(jié)論，綜合評(píng)估申請(qǐng)PISMSE的個(gè)人信息管理者的申請(qǐng)資格。予合格：a章的申請(qǐng)條件；ePISMS的非實(shí)質(zhì)性問題；f合格。a全滿足第6章的申請(qǐng)條件；b)PISMS相關(guān)文檔存在缺陷，需要改進(jìn)、完善；d價(jià)確認(rèn)的一般性問題；b)PISMS相關(guān)文檔存在重大隱患(如虛報(bào)、瞞報(bào)等)；cPISMS重大缺陷：d格。b題、缺陷、安全風(fēng)險(xiǎn)等的分析；a審核中存在的重大隱患、缺陷、安全風(fēng)險(xiǎn)等的說明；c)初步評(píng)估PISMS實(shí)施、