信息安全技術個人信息安全 第7部分：內審實施指南

1信息安全技術個人信息安全第7部分：內審實施指南本文件規(guī)定了個人信息安全管理體系內審原則、管理DB21/TXXXX信息安全技術個人信息安全術語DB21/T1628.1信息安全技術個人信息安全第1部分：要求DB21/T1628.2信息安全技術個人信息安全第2部分：實施指南DB21/T2702.1信息安全個人信息安全管理體系評價第1部分：3.1效性、安全性和適宜性，促進PISMS的改進、完善，保障個2最高管理者應是推進PISMS內審，持續(xù)改進PISMS的決策c)遵循DB21/T1628.18.2.3，選擇有能力的內審代表，組建內審機構，并賦予相應權限，確保內審代表應是由最高管理者選聘的責任主體，b)代表最高管理者組建內審機構并負責日常工作；e)負責內審實施和實施過程中的組織、管a)根據個人信息相關關鍵業(yè)務、管理責任主體確定內審人員；3c)內審機構應公平、公正地開展工作，不應受到干擾；e)跟蹤、評估PISMS構建、實施過程的合理性、充分性f)評價管理人員、工作人員的意識、行為、活動；7.2計劃e)PISMS設計、構建充分、適宜、4c)內審可在PISMS構建、實施、運行過程中根據實際情況分階e)應適時評估內審風險、風險影響和結果，明確風險管理措施等。息安全目標、PISMS評價要求和規(guī)則、內審計劃，監(jiān)控、b)PISMS構建、實施完成后，應運行3個月后實施一次審7.3管理機制57,4控制b)內審代表應依據內審計劃，會同個人信息管7.6文檔管理在內審過程中，應依據DB21/T1628.110.5.4，記錄內審相關的所有活動和行為，并依據DB21/T在PISMS設計、構建過程中，內審代表應a)最高管理者的意識和決策；d)個人信息管理計劃的合理性和有效8.1.2PISMS實施在PISMS實施過程中，內審代表應組織內審機構，參與實施審計。主要審計應包b)個人信息管理機構相關責任主體的知識、專業(yè)能力；c)個人信息管理機構相關責任主體的職責和責任；h)個人信息安全風險評估的充分性；68.1.3PISMS運行a)最高管理者及與個人信息相關各主要管理、業(yè)務部門管理者的認知；e)個人信息安全目標、管理策略、管理機制和相關行為的合法性、合規(guī)性：f)個人信息管理相關責任主體、責任人員的效能：h)個人信息生命周期內的安全性評估，可包括：4)個人信息交易、開發(fā)的合法合規(guī)、可控、安全n)違規(guī)、缺陷處理；o)PISMS效能和安全性評估；p)改進、完善意見和建議等。a)服務咨詢的效能：4)服務咨詢人員的處理問題能力等；78.2要求c)遵循DB21/T1628.114.2的規(guī)則，PISMS內審代表應根據相關法律、規(guī)范和實際需求制訂8.3報告PISMS內審實施后，應形成PISMS內審報告。報告應包括：e)各部門、