ICS 33.050 CCS M 30 团体标准 T/TAF 139 —2022 电信和互联网个人信息保护能力审计规范 Telecommunications and internet personal information protection compliance audit specification 2022-11-25发布 2022-11-25实施 电信终端产业协会 发布 T/TAF 139—2022 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 概述 ................................ ................................ ................. 2 5.1 审计目标 ................................ ................................ ......... 2 5.2 审计原则 ................................ ................................ ......... 2 5.3 审计范围 ................................ ................................ ......... 2 5.4 审计框架 ................................ ................................ ......... 2 6 审计管理 ................................ ................................ ............. 2 6.1 审计制度 ................................ ................................ ......... 2 6.2 审计流程 ................................ ................................ ......... 2 6.3 审计岗位 ................................ ................................ ......... 3 6.4 审计人员 ................................ ................................ ......... 3 6.5 审计对象 ................................ ................................ ......... 3 6.6 审计方法 ................................ ................................ ......... 3 6.7 审计报告 ................................ ................................ ......... 4 6.8 审计问题整改 ................................ ................................ .....4 6.9 审计评估 ................................ ................................ ......... 4 7 全生命周期审计内容 ................................ ................................ ...4 7.1 个人信息处理者义务 ................................ ............................... 4 7.2 个人权利实现方式 ................................ ................................ .4 7.3 个人信息处理活动 ................................ ................................ .4 8 审计工具功能 ................................ ................................ ......... 5 8.1 审计记录管理 ................................ ................................ .....5 8.2 审计策略管理 ................................ ................................ .....5 8.3 自动化审计功能 ................................ ................................ ...5 8.4 溯源追溯功能 ................................ ................................ .....6 9 个人信息保护能力审计评估 ................................ ............................. 6 9.1 总体要求 ................................ ................................ ......... 6 9.2 确定评估对象 ................................ ................................ .....6 9.3 调研评估对象 ................................ ................................ .....6 9.4 制定评估计划 ................................ ................................ .....6 9.5 实施评估 ................................ ................................ ......... 6 9.6 出具评估结论 ................................ ................................ .....7 T/TAF 139—2022 II 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位：中国信息通信研究院、北京快手科技有限公司、南昌黑鲨科技有限公司、维沃移 动通信有限公司、上海兆言网络科技有限公司、小米通讯技术有限公司、荣耀终端有限公司、北京奇虎 科技有限公司、蚂蚁科技集团股份有限公司、阿里 巴巴（中国）有限公司、北京三星通信技术研究有限 公司、华为技术有限公司、北京抖音信息服务有限公司、广州视源电子科技股份有限公司、联想（北京） 有限公司、北京三快在线科技有限公司。 本文件主要起草人： 杜云、陈鑫爱、王浩仟、汪海、落红卫、王昕、刘陶、傅山、贾宝国、宋恺、 王艳红、邓佑军、王嘉义、王宇晓、沈彭军、赵之成、贾科、赵盈洁、郑云、钱雷、顾泽宇、杜文博、 赵晓娜、姚一楠、彭晋、林冠辰、黄天宁、吴越、衣强、李实、杜蕾、肖洋