6.25.1 个人信息保护工作的方针🫴、目标、原则
a) 审计内容☆🩷:个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; b) 审计证据:个人信息保护管理制度、操作规程

c) 审计方法:
1) 查阅个人信息保护的有关管理制度和操作规程🌏;
2) 查验是否符合法律、行政法规和有关强制性要求,是否明确个人信息保护工作的方针👐🏽、目 标🔇、 原则等;
3) 访谈个人信息保护工作有关负责人📺,是否了解有关规定要求,对个人信息保护工作的方针👩✈️、 目标、 原则等做出清晰的解释。
6.25.2 个人信息保护组织架构👰🏻、人员配备、行为规范、管理责任
a) 审计内容🤾🏿♀️:个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信 息保 护责任相适应👴🏿💦;
b) 审计证据🧑🏻🎄:个人信息保护管理制度😅、机构设立或人员任命文件🧑🍳、流程审批记录、日志记录等

c) 审计方法:
1) 查阅个人信息保护管理制度等相关文档👨👧,是否明确个人信息保护组织架构👨🦽➡️、人员配备✊🏼、行 为 规范、管理责任👇🏿🐱;
2) 查阅机构设立或人员任命文件等🧔🏽♂️,查验个人信息保护工作的负责机构的设置、组织负责人🆎、 机 构负责人、工作人员岗位设置。
3) 查阅管理程序文档,是否为个人信息对外共享、数据出境、影响评估等重要事项设置管控 卡 点,进行审核和记录👯♂️;
4) 核查个人信息的访问控制措施,查看业务系统、数据库、审计平台等日志记录和告警信息⇾, 查看 违规记录和处置记录🌁。

6.25.3 个人信息分类
a) 审计内容:是否根据个人信息的种类🏨、来源🧑🏿🎤、敏感程度、用途等,对个人信息进行分类;
b) 审计证据:数据分类分级🍾、数据资产制度文件、数据分级分类目录、数据资产清单、数据防护 策略 GB/T XXXXX—XXXX 31 等文件🧜🏿📰,数据库、数据资产管理系统等记录🏌️; GB/T XXXXX—XXXX 32 c)
审计方法:
1) 查阅数据分类分级、数据资产梳理等相关制度文件,是否明确个人信息处理者实施数据分 类 分级的依据和方法;
2) 查阅数据分类分级目录👨🏼🎤、数据资产清单,是否对个人信息资产进行全面的梳理和记录🧑🏻🦼。
3) 查阅数据防护策略等技术文档或方案,是否针对不同等级的数据设置合理的防护措施。
4) 访谈有关人员🦋,能否对个人信息的来源、用途以及数据定级进行清晰的说明。
5) 查阅个人信息处理者是否采用人工或自动化的方式🧚,核查数据库表字段,以验证数据资产 清 单内容的准确性🧑🏻🍳👧🏼。
6.25.4 个人信息安全事件应急响应机制
a) 审计内容:是否建立个人信息安全事件应急响应机制🕞🏃🏻♂️;
b) 审计证据👴🏽:个人信息管理制度➜🙄、个人信息安全事件应急预案、操作流程⏲、事件处置记录等
c) 审计方法🖐🏽:
1) 查阅有关文档或记录,查验个人信息处理是否建立对个人信息安全事件的定义和事件定级方式, 安全事件的发现、处置和报告的流程。
2) 查阅安全事件处置记录和日志🏉,记录内容是否包含发现事件的时间🪄、原因⏳、涉及的个人信息的 类型和数量🫱🏿,发生事件的系统和设备以及有关责任方,采取的阻断或补救措施,对个人信息主体 可能造成的影响等🪲。

3) 通过互联网或威胁情报等方式,搜集个人信息处理者近一年内可能发生的信息泄露事件🔴, 访谈有关人员,了解事件的真实性和处置情况👨🏿。
6.25.5 个人信息保护影响评估、合规审计制度
a) 审计内容🤸🏽♂️:是否建立个人信息保护影响评估🧏🏼♀️、合规审计制度;
b) 审计证据😧:个人信息管理制度、个人信息影响评估报告𓀌、合规审计报告
c) 审计方法:
1) 查阅个人信息管理制度🗾,审阅个人信息保护影响评估⚈、合规审计的规定。查阅个人信息保护 影响评估🧑🏻🎨、合规审计报告或记录👨🏼🎨,是否包括发起影响评估的原因、评估结果和审批流程, 合规审计 的结果和问题整改情况。

6.25.6
通畅的个人信息保护投诉举报受理流程
a) 审计内容:是否建立畅通的个人信息保护投诉举报受理流程;
b) 审计证据:个人信息管理制度↖️、个人信息保护投诉举报受理记录
c) 审计方法:
1) 查阅个人信息管理制度🐃,审查处理个人信息投诉💽、举报的规定🧜🏽♂️,负责受理的部门、处理流 程、 响应时间和完成处理的最长时限⚇𓀁;查阅投诉、举报的处理记录;
2) 验证投诉、举报渠道的有效性✤。
6.25.7 合理的个人信息处理操作权限
a) 审计内容:是否合理制定个人信息处理操作权限;
b) 审计证据: 权限管理机制👆🏻、授权审批记录

c) 审计方法📣:
1) 查阅个人信息处理者涉及个人信息的业务系统、数据库的权限管理机制及已有账号权限清 单;
2) 访谈业务系统🪨、数据库账号权限审批⛹🏻♀️、审计岗位人员;
3) 查验有关人员在业务系统、数据库的查阅、复制、传输个人信息的授权审批记录,判断是 GB/T XXXXX—XXXX 33 否存在超出最小必要范围的授权。
6.25.7 个人信息保护安全教育和培训
a) 审计内容:是否制定实施个人信息保护安全教育和培训计划;
b) 审计证据:个人信息管理制度🫄🏽、个人信息保护安全教育和培训计划和记录
c) 审计方法:
1) 查阅个人管理制度,审阅开展个人信息保护安全教育和培训的规定,培训周期和参与培训的人员🫗。
2) 查阅培训材料和记录,确认培训的实施与培训计划的一致性。
6.25.8 个人信息保护负责人及相关人员履职评价制度
a) 审计内容👅:是否建立个人信息保护负责人及相关人员履职评价制度;
b) 审计证据:个人信息管理制度➞、人员履职和考核的评价记录等
c) 审计方法🧑🏼🍼🖼:
1) 查阅个人管理制度,规定个人信息保护负责人及相关人员职责和考核评价要求。
2) 访谈考评负责人员,了解评价方法和评价内容
6.25.9 个人信息违法处理责任制度
a) 审计内容🫅🏿☎️:是否建立个人信息违法处理责任制度;
b) 审计证据❔:个人信息管理制度、违规行为处置记录等
c) 审计方法:
1) 查阅个人信息管理制度,审阅违规行为的定义和处罚办法,审阅违规行为处置记录🕌。

CCRC-PIPCA个人信息保护合规审计认证马老师: 135-2173-0416/133-9150-9126
2) 访谈有关负责人👩🏻🏫,了解发生个人信息违规处置或者违规行为的情况。
