无捆绑,限时免费

截至目前已有326+人申请

关注公众号回复【数网免费版】即可下载安装包

返回



近年来,个人信息泄露事件频发,黑客攻击、内部泄露、数据贩卖等行为导致泄露风险持续攀升,不仅侵害公民隐私权、财产权,更可能被用于网络诈骗、身份盗用等,威胁社会稳定,影响数字经济健康发展。对此,国家出台了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关政策法规,通过立法规范数据处理活动,强化监管执法,推动企业落实主体责任,形成个人信息保护的宏观治理体系。
 

近日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——个人信息保护合规审计》,提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的总体要求、实施流程、内容和方法。本文件适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。

 

一、内容概览:合规审计要求



1. 审计原则:合规审计的基石
个人信息处理者和专业机构开展个人信息保护合规审计,应遵循合法性、独立性、客观性、公正性、专业性、保密性六大原则,确保审计的权威性和有效性。



2. 总体要求:合规审计的框架
应遵循五大方面的要求:管理要求、证据管理、人员管理、频率要求、文件要求构建合规审计的完整体系。



3. 实施流程:合规审计的步骤
流程包括准备阶段、实施阶段、报告阶段、整改阶段、归档阶段5个阶段,指导合规审计的顺利实施。



4. 审计内容和方法:合规审计的重点
主要围绕个人信息处理活动的合法性,个人信息处理规则规范性,个人信息处理者履行告知个人信息处理规则义务,与其他个人信息处理者共同处理个人信息,委托处理个人信息、因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息等26项审计内容和方法。

更多原文介绍可查看:关于发布《网络安全标准实践指南——个人信息保护合规审计要求》的通知


 

二、从管理层面:加强个人信息保护合规性


从管理层面,个人信息处理者应从以下方面着手:

1.建立健全管理制度与组织架构
制定并完善个人信息保护管理制度,明确组织架构、人员配备及职责分工,确保个人信息保护工作有章可循。设立个人信息保护负责人,负责整体合规审计工作,并赋予其相应的职责和权力。

2. 定期开展合规审计
根据个人信息处理规模和风险等级,设定合理的合规审计频率,定期自行开展或委托专业机构进行审计。确保审计过程独立、客观,审计结果真实反映个人信息保护状况。

3. 加强个人信息处理活动管理
确保基于个人同意处理个人信息,取得充分知情前提下的自愿、明确同意,并在处理目的、方式、种类变更时重新取得同意。规范个人信息处理规则,真实、准确、完整地告知个人信息处理情况,并采取对个人权益影响最小的方式处理个人信息。

4.强化合作与出境管理
在与其他个人信息处理者合作时,明确各自权利义务,建立个人信息权益保护机制。对于个人信息出境,根据数据规模和类型履行相应的安全评估、签订标准合同或进行个人信息保护认证等手续,确保合规性。

5.保障个人权利与应急响应
建立便捷的个人行使权利的申请受理机制,确保个人能够便捷地查阅、复制、转移、更正、补充、删除其个人信息。制定个人信息安全事件应急预案,定期培训和演练,确保在发生安全事件时能够及时、有效地进行处置。

6. 持续培训与公开披露
对管理人员、技术人员、操作人员及全员开展个人信息保护相关的安全教育和培训,提升全体员工的个人信息保护意识和技能。定期披露个人信息保护组织架构、内部管理情况、保护措施和成效等信息,增强透明度,接受社会监督。

 

三、从技术层面:建立和完善数据安全治理体系


个人信息处理者一方面要在管理上加强个人信息保护方面的合规性,另一方面要从技术上逐步建立和完善企业数据安全治理体系。

可以从以下方面展开:

1.数据分类与加密
对个人信息进行分类管理,根据敏感程度采取不同的保护措施。对敏感个人信息进行加密处理,确保数据在传输和存储过程中的安全性。

2.访问控制与权限管理
实施严格的访问控制策略,确保只有授权人员才能访问个人信息。定期审查和更新权限设置,避免权限滥用和非法访问。

3.数据备份与恢复
定期对个人信息进行备份,确保在数据丢失或损坏时能够迅速恢复。测试备份数据的完整性和可用性,确保在需要时能够正常使用。

4.安全监测与应急响应
部署安全监测系统,实时监测个人信息处理活动的安全状况。制定应急响应预案,明确在发生安全事件时的处置流程和责任分工。定期组织应急演练,提高应对安全事件的能力。

5.持续的技术创新与升级
关注数据安全领域的最新技术动态,及时引入新技术提升数据安全保护能力。定期对现有安全系统进行升级和优化,以适应不断变化的安全威胁。
 

四、数据安全:安胜有“一套”


近年来,安胜在国家顶层法规指引下,以“数据安全”为核心,推出了围绕数据全生命周期并涵盖管理策略防护技术的安全服务体系,协助企业从技术上打通数据孤岛,解决数据开放共享链条上的安全顾虑。从监管者和使用者的角度出发,提供全方位的数据安全咨询、数据安全建设、数据安全运营为一体的数据安全服务解决方案



安胜提供包括数据分类分级“数网”数据资产梳理与数据库扫描系统数据加密与脱敏(“数盾”数据库加密系统,“数芯”数据动态/静态脱敏系统)数据访问审计与监控(“数审”数据库审计系统)、数据库防火墙与安全管控(“数御”数据库防火墙系统、“数坝”终端数据泄漏防护系统)、威胁检测与应急响应等相关产品,为企业强化数据安全技术防护体系,有效防范安全威胁和泄露风险。

同时,安胜积极推动智能化、流程化、行业化的数据安全场景落地,提供涵盖数据安全顶层规划、分类分级、风险评估、跨境评估等20多项的安全服务能力,保障全链路全场景的数据安全。

1.数据分类分级服务
安胜的数据安全分类分级服务,面向组织数据和个人信息,开展数据资产发现与梳理工作。从业务角度出发,对企业数据进行分类分级标识,形成数据分类分级目录,随后对数据目录进行审核、上报备案,并实施动态更新管理。

服务流程是基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。



2.数据安全风险评估服务

安胜的数据安全风险自评估服务,依据国家及行业要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据的安全风险,评估数据安全全生命周期的各项指标,分析问题并提出数据安全管理和技术防护措施建议。



来源:全国网络安全标准化技术委员会秘书处


 

分享文章
下一篇:喜讯 | 安胜入选《2025网络安全产业图谱》多个细分领域