ICS 35.020 L70 DB21 辽 宁 省 地 方 标 准 DB21/T 2702.6—2019 信息安全 个人信息安全管理体系评价 第 6 部分：资格审核 Information security-Personal information security management system evaluation part6：Qualification audit 2019 - 09 - 30 发布 辽宁省市场监督管理局 2019 - 10 - 30 实施 发 布 DB21/T 2702.6—2019 目 次 前言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 要求 .............................................................................. 1 5 申请资格 .......................................................................... 1 6 申请条件 .......................................................................... 2 7 受理机构 .......................................................................... 2 8 审核构成 .......................................................................... 4 9 接受申请 .......................................................................... 4 10 资格审核 ......................................................................... 4 11 评估 ............................................................................ 10 12 过程改进 ........................................................................ 10 I DB21/T 2702.6—2019 前 言 DB21/T 2702 分为 11 部分： —信息安全 个人信息安全管理体系评价 第 1 部分：要求 —信息安全 个人信息安全管理体系评价 第 2 部分：管理指南 —信息安全 个人信息安全管理体系评价 第 3 部分：评价员管理 —信息安全 个人信息安全管理体系评价 第 4 部分：评价指标 —信息安全 个人信息安全管理体系评价 第 5 部分：评价方法 —信息安全 个人信息安全管理体系评价 第 6 部分：资格审核 —信息安全 个人信息安全管理体系评价 第 7 部分：现场管理 —信息安全 个人信息安全管理体系评价 第 8 部分：保证方法 —信息安全 个人信息安全管理体系评价 第 9 部分：仲裁指南 —信息安全 个人信息安全管理体系评价 第 10 部分：审批指南 —信息安全 个人信息安全管理体系评价 第 11 部分：资格管理 本部分是 DB21/T 2702 的第 6 部分。 本部分按照 GB/T 1.1—2009《标准化工作导则 第 1 部分：标准的结构与编写》给出的规则起草。 本部分由辽宁省工业和信息化厅提出并归口。 本部分主要起草单位：大连软件行业协会、大连软信咨询服务有限公司、大连交通大学、大连市计 算机学会。 本部分主要起草人：郎庆斌、孙鹏、尹宏、丁宗安、董晶、杨万清、杨莉、郭玉梅、曹剑、司丹、 孙毅、王小庚、王鑫。 本标准发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门：辽宁省工业和信息化厅：沈阳市皇姑区北陵大街 45-2 号，024-86913384； 起草单位：大连软件行业协会：大连市高新区七贤岭 10 号人才服务大厦 102 室，0411-83655181。 II DB21/T 2702.6—2019 信息安全 个人信息安全管理体系评价 第 6 部分：资格审核 1 范围 个人信息安全管理体系评价系列标准的本部分为实施个人信息安全管理体系评价申请资格审核提 供指导和通用规则。 本部分适用于各类个人信息安全管理体系评价机构，亦为已建立个人信息安全管理体系的个人、企 业、事业、社会团体等组织提供参照。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 DB21/T 1628.1 信息安全 个人信息保护规范 DB21/T 1628.2 信息安全 个人信息安全管理体系 第2部分：实施指南 DB21/T 2702.1 信息安全 个人信息安全管理体系评价 第1部分：要求 DB21/T 2702.2 信息安全 个人信息安全管理体系评价 第2部分：管理指南 3 术语和定义 DB21/T 1628、DB21/T 2702界定的以及下列术语和定义适用于本文件。 3.1 资格 qualification 为申请PISMSE应具备的条件和PISMS活动过程。 3.2 资格审核 evaluation 分析、判断、评估申请PISMSE应具备的条件和PISMS活动。 4 要求 本部分遵循 DB21/T 2702.1 确立的 PISMSE 的基本原则和要求，重点描述和指导申请 PISMSE 资格审 核的约束规范，具体要求应符合： a）PISMSE 资格审核，应以 DB21/T 1628 系列标准为基准； b）PISMSE 资格审核，应同时使用 DB21/T 2702.1 和本指南，并参照 DB21/T 2702 系列其它标准； c）PISMSE 资格审核，亦应同时融合、参照信息安全、质量管理、服务管理等其它标准体系。 5 申请资格 1 DB21/T 2702.6—2019 5.1 主体特征 个人信息管理者是申请PISMSE的主体，其主体特征应如DB21/T 1628.2 9.1节所述： a）合法、有效、独立的机关、企业、事业、社会团体等组织； b）个人； c）具有民事权利和民事能力，享有民事义务，承担民事责任； d）具有公共管理职能。 5.2 相关资格 个人信息管理者申请PISMSE所需的相关资格，主要应包括： a）法律、法规、标准（规范）的遵从性； b）组织管理的规范性、科学性； c）体系管理的充分性、规范性、有效性； d）员工的个人信息安全认知性； e）最高管理者、管理者的个人信息安全认知性等。 6 申请条件 6.1 社会角色 在社会形态中，个人信息管理者的角色，主要应包括： a）主体特征合法、合规； b）个人信息管理者运行正常，风险可控； c）个人信息管理者遵循DB21/T 1628.2 9.1.2节规定，承担相应的责任和义务。 6.2 相关条件 个人信息管理者申请PISMSE应具备的相关申请条件，主要应包括： a）相关资格确认； b）申请PISMSE的个人信息管理者依据个人信息安全相关法规、标准和实际需要构建、实施了PISMS； c）申请PISMSE前未发生个人信息安全相关事故、事件； d）申请PISMSE前，PISMS应正常、安全、有效运行3个月以上； e）申请PISMSE前，PISMS应经过内审和评估，无重大、实质性安全隐患； f）申请PISMSE前存在的个人信息安全隐患、缺陷应有效整改、完善； g）申请PISMSE的个人信息管理者根据实际需求主动申请PISMSE等。 7 受理机构 7.1 要求 PISMSE申请，应由评价机构受理。评价机构依据DB21/T 2702.1 8.1.2审核申请PISMSE的个人信息 管理者的资格，确认申请PISMSE的个人信息管理者具有PISMSE申请资格： a）依据DB21/T 2702.2，评价机构应是管理主体指导、批准设立的管理机构，为管理、实施PISMSE 派出的评价主体； b）评价机构应依据DB21/T 2702.2 6.3.4建立了相对完善的管理机制； 2 DB21/T 2702.6—2019 c）依据DB21/T 2702.2 6.4，评价机构应具有一定的组织能力，并配备相应的评价员队伍； d）评价机构应依据DB21/T 2702.2 第7章，建立了完善的评价体系，并制定了相应的评价规则； e）评价机构宜依据DB21/T 2702.2 第9章，建立PISMSE指标体系。 7.2 责任和义务 7.2.1 责任 依据DB21/T 2702.2，评价机构应承担的责任和义务主要包括： a）社会责任，包括： 1）客观、真实的事实判定； 2）权威、有信誉的质量保证； 3）获得第一方和第二方充分信任的信用保证； 4）引导行业自律，保护个人信息主体权益； 5）评价相关方的协调、沟通； 6）提供安全策略和相应建议。 b）法律责任：评价主体应承担和履行评价过程中保证个人信息安全的法律责任，避免因评价引发 个人信息主体权益受损。 7.2.2 义务 评价主体应承担的相应义务主要包括： a）社会义务：为承担和履行社会责任，保证评价的客观、公正、公平展开的评价相关的活动； b）法律义务：为承担法律责任，保证评价质量和个人信息主体权益所应遵循的相关法规、标准。 7.3 审核管理 7.3.1 职责 评价机构应遵循DB21/T 2702.2 6.3.4.4确立的职责。 7.3.2 管理制度 评价机构应遵循DB21/T 2702.2 6.3.4.5的规则，建立相应的管理制度。 7.3.3 审核活动 7.3.3.1 活动