DB21T 2702.1-2016 信息安全 个人信息安全管理体系评价 第1部分：要求　　

DB21DB21/T2702.1—2016信息安全个人信息安全管理体系评价InformationSecurity-PersonalInformationsecuritymanagementsystemevaluation-Part1-Requirements2016-09-27发布2016-11-27实施辽宁省质量技术监督局发布I V 1 1 1 1 4 5 5 5 7 ——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价——信息安全个人信息安全管理体系评价本部分主要起草单位：大连软件行业协会、大连交通大学.1个人信息安全管理体系评价personalinformationsecuritymanagementsystem由独立、公正的第三方评价机构，基于DB21/T1628系列标准，系统、全评估个人信息安全管理体系评价实施、运行状况的标准符合性、一致性和目4评价管理24.1评价原则4.2.1要求4.2.2.1构成个人信息安全工作委员会是为推进个人信息安全、实施PISMSE设立a）委员会应由主管机构、相关行业、相关企业代表，及专家、学者和b）委员会应设立若干职能单元，履行委员会的各项职能，如法规组、仲裁组、宣传组、国际交流4.2.2.2职能c）研究、制定、解释、修改、实施个人信息安全4.2.3评价机构34.2.3.1构成a）评价机构的构成应包括专家、学者、专业人4.2.3.2职能44.3评价体系5.2.1要求b）应合理设计评价指标，关注评价指标之间、评价指标项之间的关联关系，避免5.2.2结构55.2.3构成个人信息管理者应在PISMS运行3个月后实施6评价机构应依据个人信息安全相关法规、标准和其它相关法规、标准，审核申请PISMSE的个人信评价机构应依据个人信息安全相关法规、标准和其它相关法规、标准，审查申请PISMSE的个人信7资格审核合格后，评价机构应组建PISMSE现场审核组，实地判断、评估个人信息管理者PISMS实现场审核组组长应根据资格审核报告、个人信息管理者实际和相关法规、标准等编制PISMSE89.2.1要求在PISMSE现场审核中，审核组应以会议的形式完成现场审核准备，及审核组内部、审核组与个人9.2.3进入现场审核组应在进入现场后召开由审核人员和个人信息管理者与个人信息安全相关责任人参加的工作审核组应在现场审核结束后召开由审核人员和个人信息管理者与个人信息安全相关责任人参加的9b）个人面谈：根据调查内容选择适宜的样本人员，调查个人对个人信息安全的理解和PISMS对个9.3.2文档检查9.4.1要求接受调查的样本人员应真实、客观地说明相关问题，避免自身利益考虑9.4.2.1要求应在PISMSE现场审核中实施质量控制，避免和减少调查偏差，以真实反映个人信息管理者的b）应明确现场审核任务、内容和问题，设计现场审核方案和现场调查表；a）应适时召开工作例会，分析、研究、讨论不明确的、无法确认的或含糊不清的问题，及时发现9.4.3调查偏差9.4.4沟通交流9.5.1要求）；）；3）存在短期内可修改、纠正的非实质问题，应经整改后再9.6.2整改报告现场审核完成后，存在9.5.3a）2）、3）问题的个人信息管理者，应在问题解决后形成整PISMSE人员应包括IT、信息安全、管理等相关领域及相关行业或领域的专家、学者、专业技术人PISMSE人员，应根据业务能力、专业能力和从业经验等划分不同的评价资格等级，并明确相应的应建立与PISMSE相关的记录、文档、规章、文件、合同等的备案管理制度，并应根据实际需要改a）通过PISMSE的个人信息管理者，应履行个人标准和PISMSE要求，则应取消相应的PISMSE申请资格，并限定整改周期c）个人信息管理者通过PISMSE后，出现个人信息安全重大事故，应通过复审确认，取消相应的PISMSE申请资格，并限定整改周期，经整改后重应通过复审确认，取消相应的PISMSE申请资格，并限定整改周期