个人信息安全管理体系评价申请须知(初审)

   2020-09-17   点击次数:738次
标签:

申请单位申请个人信息安全管理体系评价时,请先阅读DB21/T 1628系列标准,并参阅DB21/T 2702.1《信息安全 个人信息安全管理体系评价 第1部分:要求》、DB21/T 2702.2《信息安全 个人信息安全管理体系评价 第2部分:管理指南》和《参考材料》中的相关文件。


一、申请资格

申请单位应具备以下条件:

(一)申请单位按照DB21T/ 1628.1-2016《信息安全 个人信息保护规范》(以下简称“规范”)和DB21T/ 1628系列其它标准要求,建立本单位个人信息安全管理体系,并依据标准建立机构职能、管理职责、管理机制、规章制度等,并形成完整、有效的基于个人信息生命周期的个人信息收集、处理、使用、利用及体系过程管理的管理、控制流程;

(二)申请单位申请评价前,应至少实施一次全员个人信息安全管理体系培训,并评估培训效果,形成培训报告;

(三)申请单位申请评价前,应实施、运行个人信息安全管理体系3个月以上,并通过个人信息安全管理体系内审,形成个人信息安全管理体系运行报告;

(四)申请单位无重大、实质性个人信息安全事件、事故。

申报单位存在以下任何一项缺陷,评价管理办公室将不受理所提交的材料:

1、在申请日前三个月内发生过重大个人信息安全事件、事故的;

2、个人信息安全管理体系评价不合格,且申请时未满3个月的;

3、抽查、复审不合格,申请时未满3个月的;

4、申报资料内容虚假被查处,且申请时未满3个月的;

5、因故被取消PIPA资格,且申请时未满1年的。


二、应提交的申请材料

符合上述条件的申请单位,可以向评价办公室提出个人信息安全管理体系评价申请。

申请个人信息安全管理体系评价必须提交以下材料:

(一)个人信息安全管理体系评价资料申请书(初审)

(二)个人信息安全管理体系评价申报表(初审)(首页单位盖章、内页法人签字盖章。电子版和纸质文件各一份)

(三)单位内部建立的书面化个人信息管理文档一套,主要包括:

1、组织机构相关文档;

2、基本规章,应符合DB21T/ 1628.1DB21T/ 1628.2和其它标准的要求;

3、个人信息数据库的构成、管理、应用的相关文档,符合DB21T/ 1628.3和其它标准的要求;

4、个人信息安全风险管理的相关文档,符合DB21T/ 1628.5和其它标准的要求;

5、管理体系运行和规章制度实施过程中的关联记录(除《个人信息安全管理体系评价资料申请书》中要求提交的《个人信息管理记录表(总账)》和《个人信息安全风险管理表》为实际记录的表以外,其它均为记录模版)、文档,包括:

1)个人信息收集、利用、保管、销毁等生命周期管理过程使用的记录;

2)个人信息安全风险实施过程中使用相关的记录;

3)培训教育和内审实施过程使用的相关记录;

4)信息安全管理方面使用的管理记录;

5)投诉、意见、事故处理、持续改善等方面的管理措施使用的相关记录;

6)管理过程中涉及的其它关联记录及文档;

注:提供的关联记录和文档应与《个人信息安全管理体系评价申报表》附表六、附表七一致。

(四)个人信息安全管理体系运行报告书(最高领导者签字);

(五)单位营业执照复印件(盖公章);

(六)单位宣传手册或简介。


三、其它要求

1、提交的申报资料除《个人信息安全管理体系评价申报表》需电子文档(word)外,其它均为A4纸质打印文档,纸质文档装订(活页)后,提交评价管理办公室。

2、所有提交的规章应按照 DB21T/ 1628.4的格式要求编制。

3、申报同时请准备好评价费。收费标准详见《个人信息安全管理体系评价收费标准》

4、评价管理办公室受理企业提交的申请后,开始资格审核。在资格审核过程中,如果因企业自身原因,文件修改超过3个月(含3个月)而没有重新提交的,评价管理办公室将终止审核,退回受理材料,取消原受理号。


四、受理窗口

个人信息安全管理体系评价管理办公室

受理人:宋悦

电话: 0411-88255657-7

邮箱: songy@dsia.org.cn

地址: 大连市高新园区七贤岭汇贤街10号人才服务大厦102室(大连软件行业协会)