数据安全技术 个人信息保护合规审计要求.pdf

数据安全技术个人信息保护合规审计要求

1范围

本文件提出了个人信息保护合规审计原则，规定了个人信息保护合规审计的实施要求。

本文件适用于个人信息处理者开展个人信息保护合规审计工作，也可为相关机构对个人信息处理活

动进行个人信息保护合规审计提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T35273—2020信息安全技术个人信息安全规范

3术语和定义

GB/T25069—2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。

3.1

个人信息保护合规审计personalinformationprotectioncomplianceaudit

指针对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督

活动。

3.2

审计证据auditevidence

审计人员获取的能够为个人信息保护合规审计审计结论提供合理基础的全部事实，包括个人信息保

护合规审计过程中收集、使用或发现的记录、事实陈述或其他信息。

3.3

审计对象auditobject

被审计方的个人信息处理活动、信息系统、应用程序以及相关部门、人员和制度等。

3.4

审计依据auditbasis

开展个人信息保护合规审计所依据的法律、行政法规。

3.5

审计方案auditprogram

个人信息保护合规审计实施时的步骤和安排的描述。

1

3.6

审计底稿auditpaper

审计人员对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论作出的

记录。

4个人信息保护合规审计原则

个人信息保护合规审计应遵循合法性、独立性、客观性、全面性、公正性、保密性原则：

a)合法性原则：审计人员应了解并遵守所有适用的法律法规要求，在审计过程中始终遵守审计过

程规范；审计活动的流程及人员应遵从相关法律法规；

b)独立性原则：审计人员应独立于审计活动，与被审计方无利益冲突。对于内部机构自行开展的

审计，实施审计的人员应独立于具体被审计的个人信息处理活动；

c)客观性原则：审计人员收集和记录的审计证据应保证其可信性，应采取科学、透明的方式获得

审计证据，应保证审计证据的真实、完整、有效；

d)全面性原则：审计人员针对审计对象，应进行全面、系统的审计，进行综合、全面、系统的审

查，确保证据充分；

e)公正性原则：审计发现、审计结论和审计报告应真实和准确地反映审计活动；审计人员应报告

在审计过程中遇到的重大障碍，以及审计组和被审计方之间没有解决的分歧。沟通必须真实、

准确、客观、及时、清楚和完整；

f)保密性原则：审计人员应遵守保密协议，审慎使用并保护在审计过程获得的信息和数据。

5个人信息保护合规审计实施要求

5.1个人信息处理者审计工作开展要求

5.1.1个人信息保护合规审计流程

个人信息处理者应定期开展个人信息保护合规审计。个人信息保护合规审计通常包括审计准备、审

计实施、审计报告、问题整改、归档管理等阶段。附录A给出了个人信息保护合规审计参考流程。

5.1.2个人信息保护合规审计实施管理

开展个人信息保护合规审计应加强管理，并满足以下要求：

a)个人信息处理者董事会（审计委员会）、个人信息保护负责人或者主要负责人应对个人信息保

护合规审计体系的建立、运行与维护，以及合规审计的独立性和有效性承担最终责任；

b)应制定个人信息保护合规审计相关管理制度，以制度形式明确个人信息保护合规审计开展的形

式、频率，以及合规审计人员的职责及权限；

c)应确保个人信息保护合规审计的独立性及相关审计履职所需资源及权限，包括合规审计预算和

人力资源计划，以及必要的办公场地、系统、设备等；

d)个人