十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。合规审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于：

（一）个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定；

（二）个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应；

（三）是否根据个人信息的种类、来源、敏感程度、用途等，对个人信息进行分类；

（四）是否建立个人信息安全事件应急响应机制；

（五）是否建立个人信息保护影响评估制度、合规审计制度；

（六）是否建立畅通的个人信息保护投诉举报受理流程；

（七）是否合理制定个人信息处理操作权限；

（八）是否制定实施个人信息保护安全教育和培训计划；

（九）是否建立个人信息保护负责人及相关人员履职评价制度；

（十）是否建立个人信息违法处理责任制度；

（十一）法律、行政法规规定的其他事项。

二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施，并对个人信息处理者采取的技术措施的有效性进行评价，评价内容包括但不限于：

（一）是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性；

（二）是否采取加密、去标识化等安全技术措施，确保在不借助额外信息的情况下，消除或者降低个人信息的可识别性；

（三）采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限，减少个人信息在处理过程中未经授权的访问和滥用风险。

二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时，应当重点对下列事项进行评价：

（一）是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，是否对相应人员的个人信息保护意识和技能进行考核；

（二）培训内容、方式、对象、频率等能否满足个人信息保护需要。

二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的，应当重点审查下列事项：

（一）个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关法律、行政法规；

（二）个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调个人信息处理者内部相关部门与人员；

（三）个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议；

（四）个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施；

（五）个人信息处理者是否公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送保护部门。

二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时，应当重点对影响评估开展情况和评估内容进行审查：

（一）是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估；

（二）是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估；

（三）是否对个人权益的影响及安全风险进行评估；

（四）是否对所采取的保护措施的合法性、有效性，以及与风险程度的适应性进行评估。

二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时，应当对应急预案的全面性、有效性、可执行性作出评价，包括但不限于下列内容：

（一）是否结合业务实际，对面临的个人信息安全风险作出系统评估和预测；

（二）总体要求、基本策略，组织机构、人员，技术、物资保障，指挥处置程序，应急和支持措施等是否足以应对预测的风险；

（三）是否对相关人员进行应急预案培训，定期对应急预案进行演练。

二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的，应当重点审查下列事项：

（一）是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案；

（二）是否建立通报渠道，在安全事件发生后按照相关规定及时通知保护部门和个人；

（三）是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。

二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的，应当重点审查下列事项：

（一）平台规则是否与法律、行政法规相抵触；

（二）平台规则个人信息保护条款的有效性，是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务；

（三）平台规则的执行情况，是否通过抽样等方式验证平台规则被有效执行。

总共5页  [1] [2] [3] 4 [5] 
上一页  下一页