科技伦理之个保审计与机构资质备忘
2023-12-15 20:21:52
浏览量:0
TL;DR
个保审计办法:国家网信办于2023年8月3日公开发布了《个人信息保护合规审计管理办法(征求意见稿)》,要求 100 万用户以上企业每年至少进行一次个人信息保护合规审计,以下的至少两年审计一次,每个公司要成立个人数据保护部门。 专业机构选择:国家网信办等国务院有关部门联合建立专业机构评价机制,以推荐目录制推荐个保审计的专业机构。 个保审计机构资质:暂时没有明文规定,但可以参考的审计相关资质,包含:会计/法律事务所、软件安全、数据安全、DAMA证书和信息安全审计服务资质等。 可参考的专业机构:信通院云大审计与治理部的数字审计团队,是比较对口的组织。
个保审计背景概要
在2023年8月3日,国家网信办正式公布了《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《办法》),同时发布了《个人信息保护合规审计参考要点》(以下简称《要点》)。
这份《办法》的意见征集期限定于同年的9月2日结束。根据《办法》的规定,对于处理超过100万用户个人信息的企业,规定其必须每年至少进行一次个人信息保护合规审计;对于用户数量不足100万的企业,则每两年至少进行一次此类审计。
在个人信息保护领域,普遍存在的问题并非规定的不足,而是规定过多且缺乏统一性和易于实施的特性,这种情况对数字经济的整体发展构成了阻碍。《办法》及《要点》对审计的要求涵盖了互联网大型企业几乎所有业务活动的方方面面,例如个人信息的全流程处理、内部管理制度及操作规程等。
但在评估平台规则的公平性、是否存在不正当竞争等方面的要求,则超出了个人信息保护的范畴,导致一次审计和一份报告难以覆盖如此广泛的内容。
为此,第三方专业机构需依据《中华人民共和国个人信息保护法》(简称《个保法》)和其他相关法律、行政法规以及国家标准开展审计工作。
国家网信办及其他国务院相关部门共同协调,建立了专业机构的评价机制。依此机制,专业机构每年将接受评估和评价,以形成推荐目录。企业被建议从该目录中挑选合适的专业机构进行个人信息保护合规审计。
如何学习充分了解隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解数据保护导论、监管机构等知识及考核
企业在处理个人信息的业务活动中,必须坚守包括合法、正当、诚信、最小必要性、有限使用、知情同意、目标明确以及对个人信息保护权益的响应等一系列原则。
这些原则不仅是合规要求的基础,而且要求企业不仅将这些原则具体应用于处理个人信息的各个业务场景,还需要基于这些合规原则,构建和强化自身的个人信息合规治理和管理能力。
一些企业已经开始采取行动响应这些要求,例如蚂蚁集团在2022年下半年成立了个人信息保护监督委员会,而腾讯和携程也公开招募了“个人信息保护外部监督员”。
这些举措体现了《要点》中对于独立机构在个人信息保护方面监督职责的明确指导。
审计机构资质要求
为确保个人信息保护合规审计的高标准和有效性,国家网信办与其他国务院相关部门共同建立了一套专业机构评价体系。这一机制的核心是对专业机构进行年度评估,以及形成并更新一个推荐的专业机构目录,鼓励企业从中选择合适的审计机构来执行合规审计工作。
根据《个人信息保护合规审计管理办法(征求意见稿)》第十四条的规定,从事个人信息保护合规审计的专业机构应当保持诚信、正直,并公正客观地进行审计评估。这些机构在审计过程中获取的信息,只能用于审计目的,严禁用于其他用途,并应对这些信息承担保密责任。
同时,这些机构需要采取适当的技术和其他必要措施来确保数据安全,并禁止将审计工作外包给第三方。此外,这些机构在执行审计职责时不得无端干预信息处理者的正常业务活动。如有提供虚假或不实报告的行为,将面临被永久排除出推荐目录的严重后果。
在审计类资质方面,推荐的参考资质包括但不限于会计/法律事务所、软件安全、数据安全、DAMA证书、数据检测类证书等。具体到信息安全审计服务资质要求,则涵盖了以下几方面:
专业资质:必须具备相关的安全资质,如信息安全管理体系认证、信息安全产品认证等;聘请具备相关高级认证的专业网络安全技术人员,确保充足的专业知识和技术力量。 服务能力:包括提供安全咨询和风险评估服务的能力,制定有效的解决方案;拥有完善的安全审计方法和工具,能够全面、系统地进行网络安全分析、评估和检测;以及能够编写清晰、准确、简洁的审计报告。 机构管理:对员工进行背景核查,保证其职业操守和诚信;定期进行安全知识培训,提升员工安全意识和专业技能;建立健全的质量和服务管理体系,持续改进服务质量和客户满意度。 补充资质:包括CISP国家注册信息安全专业人员认证、个人信息保护专业人员(CCRC-PIPP)认证、国际信息系统审计协会(ISACA)的CDPSE认证,以及国际隐私专业人员协会(IAPP)提供的各类隐私保护认证。这些认证覆盖了网络安全和个人数据保护的多个方面,适用于不同行业和领域的从业人员。
我是否满足报考IAPP的资格呢?点击下方立即测试,并有机会获得最新的资料网课及学员笔记!
较符合团队与结构介绍
国内,要成为合格的信息审计公司,必须满足一系列严格的标准和要求。以中国信息通信研究院(简称中国信通院)为例,该院通过了中国信息安全测评中心的细致评审和考核,并在CNAS、通信网络安全服务能力、ISO9001、ISO20000等资质证书的基础上,获得了信息安全服务资质证书(信息系统审计类一级)。
这显示出中国信通院在基本资质、能力、信息系统审计过程能力、项目和组织过程能力等方面达到了信息安全服务资质系统审计一级的标准,并具备了提供信息安全服务和进行信息系统审计的综合能力。
此外,信息审计公司还需要具备以下几个关键条件:
专业的审计顾问团队:团队成员需具备广泛的领域知识、专业资格认证、必要的审计技能和丰富的审计项目经验,以确保高效地实施和交付审计项目。 高端内部专家资源:中国信通院自有的内部专家团队涵盖数字经济、数字治理与法律、网络与数据安全、大数据与人工智能、两化融合等多个领域,能够为审计项目提供必要的法律和技术支持。 丰富的外部专家智库:中国信通院建立了包括科研院所知名学者、行业协会领导、资深技术专家等在内的多领域外部专家库,与这些专家共同探讨新技术和新应用在审计中的挑战和解决方案。 经验丰富的数字审计:中国信通院云大所审计与治理部的数字审计团队具备深厚的专业能力和丰富的实践经验,专注于创新。团队成员大多来自四大会计师事务所,拥有金融、电信、能源、汽车、互联网、制造业、快消品等行业的IT合规咨询和审计经验。此外,他们还掌握专业的审计方法、执行技巧、质量控制,并持有CISA、CIA、CISP、CDPSE、PMP、ISO 27001 LA等专业资质证书。
IAPP CIPM认证,该认证侧重于开发、实施、维护和管理隐私计划。CIPM则主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。
标准认证:
IAPP CIPM 已获得 ANSI / ISO 标准 17024:2012 认证
适用于以下人群:
该认证专为日常实施和管理隐私法规的专业人员以及参与风险管理、隐私管理、审计或隐私分析的专业人员而设计
由于中国考生人数逐年增加,CIPM在2022年7月起增加了中文考试的选项。
这些条件不仅体现了审计公司在专业技能和经验上的要求,同时也展示了其在法律政策、技术检测、行业知识等方面的深度和广度。
数据审计一般流程
