DB21T 2702.6-2019信息安全 個人信息安全管理體系評價 第6部分：資格審核

ICS5.020遼寧省地DB21方標(biāo)準(zhǔn)DB/T2702.6—2019價rmationsecurityPersonalinformationsecuritymanagementsystemevaluation遼寧省市場監(jiān)督管理局發(fā)布 前言個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價全個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價個人信息安全管理體系評價。、王鑫。依法進(jìn)行評估及復(fù)審。申請資格信息安全個人信息安全管理體系評價第6部分：資格審核個人信息安全管理體系評價系列標(biāo)準(zhǔn)的本部分為實施個人信息安全管理體系評價申請資格審核提業(yè)、社會團體等組織提供參照。范性引用文件(包括所有的修改單)適用于本文件。DB1/T1628.1信息安全個人信息保護(hù)規(guī)范DB/T1628.2信息安全個人信息安全管理體系第2部分：實施指南DB1/T2702.1信息安全個人信息安全管理體系評價第1部分：要求DB21/T2702.2信息安全個人信息安全管理體系評價第2部分：管理指南定義DB1/T1628、DB21/T2702界定的以及下列術(shù)語和定義適用于本文件。ationPISMSE的條件和PISMS活動過程。ion估申請PISMSE應(yīng)具備的條件和PISMS活動。4要求，具體要求應(yīng)符合：cPISMSE格審核，亦應(yīng)同時融合、參照信息安全、質(zhì)量管理、服務(wù)管理等其它標(biāo)準(zhǔn)體系。.1主體特征a)合法、有效、獨立的機關(guān)、企業(yè)、事業(yè)、社會團體等組織；b)個人；d)具有公共管理職能。5.2相關(guān)資格a)法律、法規(guī)、標(biāo)準(zhǔn)(規(guī)范)的遵從性；條件社會角色a法、合規(guī)；c遵循DB21/T1628.29.1.2節(jié)規(guī)定，承擔(dān)相應(yīng)的責(zé)任和義務(wù)。相關(guān)條件理者申請PISMSE應(yīng)具備的相關(guān)申請條件，主要應(yīng)包括：SfPISMSE的個人信息安全隱患、缺陷應(yīng)有效整改、完善；gPISMSEPISMSE等。要求；b評價機構(gòu)應(yīng)依據(jù)DB21/T2702.26.3.4建立了相對完善的管理機制；eDB1/T2702.2第9章，建立PISMSE指標(biāo)體系。責(zé)任和義務(wù).1責(zé)任DBT2702.2，評價機構(gòu)應(yīng)承擔(dān)的責(zé)任和義務(wù)主要包括：a包括：b)法律責(zé)任：評價主體應(yīng)承擔(dān)和履行評價過程中保證個人信息安全的法律責(zé)任，避免因評價引發(fā).2義務(wù)體應(yīng)承擔(dān)的相應(yīng)義務(wù)主要包括：審核管理職責(zé)應(yīng)遵循DB21/T2702.26.3.4.4確立的職責(zé)。管理制度DBT6.3.4.5的規(guī)則，建立相應(yīng)的管理制度。審核活動.1活動組織a和行為規(guī)范：受理活動的行為準(zhǔn)則；cPISMSE者申請資格審核；核組；關(guān)工作。.2控制和協(xié)調(diào)審核構(gòu)成9接受申請評價機構(gòu)應(yīng)依據(jù)DB21/T1628、DB21/T2702系列標(biāo)準(zhǔn)(包括本標(biāo)準(zhǔn))接受PISMSE申請，并應(yīng)于15bPISMSE說明原因。面談以及個人基本素質(zhì)等。DBTDBTPISMSE交文檔的完整性、性?；厩闆r。PISMSEPISMSE提供相關(guān)說明。評價機構(gòu)可在文檔b申請PISMSE的個人信息管理者的相關(guān)資質(zhì)等；cPISMSE管理者的基本情況說明等。審查性、可信性。查b利用10.1.3.2.2的審查結(jié)論等。aDB21/T1628.1第7章，提交個人信息管理相關(guān)文檔，主要應(yīng)包括：；cDBT28.1第8章、第9章、第10章、第11章，提交PISMS相關(guān)文檔：庫相關(guān)文檔和說明；相關(guān)個人信息相關(guān)文檔，如個人信息獲取、處理、提供等；安全管理的相關(guān)文檔；PISMS的其它相關(guān)文檔，包括記錄、表格、統(tǒng)計報表等。ePISMS安全事故等相關(guān)報告；g題等。審查PISMSE格。合規(guī)；、完整、真實、可信。整；范等。1)申報文檔存在重大隱患(如虛報、瞞報等)；的資格審查結(jié)論，提交文檔審查人員參考。依據(jù)10.5.2結(jié)論a，評價機構(gòu)同意受理通過資格審查的申請PISMSE的個人信息管理者的申請，并書PISMSE的個人信息管理者。文檔審查應(yīng)是評價機構(gòu)選聘的評價人員，依據(jù)DB21/T2702.1、DB21/T2702.確立的資格審核規(guī)則請PISMSE的個人信息管理者申報的文檔，形成公允的審查結(jié)論。PISMSE的基本情況審查，評估：bc等。PISMSE的基本情況審查，評估：b)個人信息數(shù)據(jù)庫設(shè)計、構(gòu)建的規(guī)范性、合理性、可信性；c。查信息管理文檔與標(biāo)準(zhǔn)規(guī)則對應(yīng)表審查，評估：bPISMSE全認(rèn)知、理解和能力等。a制的健全性、合理性；b管理制度的完整性、符合性和一致性；e性、可用性。b)與個人信息相關(guān)的管理、業(yè)務(wù)關(guān)聯(lián)因素的可控性、安全性(如與社會互聯(lián)、移動個人信息數(shù)據(jù)c)個人信息利用(委托、提供、交易、二次開發(fā)等)的可控性、可信性、安全性等。查b)PISMS過程改進(jìn)的可信性、有效性；c、充分性等。MSbPISMS性等。0.3.2，初步評估文檔審查的結(jié)果，包括：b確審查、評估過程中確認(rèn)的需要整改的問題；d等。有效整改、完善；事故；人信息安全隱患、缺陷等未得到有效整改。PISMS；人信息安全存在重大隱患、缺陷；格審查、文檔審查結(jié)論，綜合評估申請PISMSE的個人信息管理者的申請資格。予合格：a章的申請條件；ePISMS的非實質(zhì)性問題；f合格。a全滿足第6章的申請條件；b)PISMS相關(guān)文檔存在缺陷，需要改進(jìn)、完善；d價確認(rèn)的一般性問題；b)PISMS相關(guān)文檔存在重大隱患(如虛報、瞞報等)；cPISMS重大缺陷：d格。b題、缺陷、安全風(fēng)險等的分析；a審核中存在的重大隱患、缺陷、安全風(fēng)險等的說明；c)初步評估PISMS實施、