自2021年《个人信息保护法》第54条和第64条中明确了合规审计要求,个人信息保护合规审计就引起了广泛关注。
2023年8月国家网信办发布的《个人信息保护合规审计管理办法(征求意见稿)》;
2024年7月12日,全国网络安全标准化技术委员会发布了国家标准《数据安全技术 个人信息保护合规审计要求》征求意见稿;
2024年7月25日,中国网络空间安全协会发布由中央网信办数据与技术保障中心负责起草的团体标准《个人信息保护合规审计技术能力及工具要求》征求意见稿;
由此,个人信息保护合规审计的制度箭在弦上,蓄势待发!企业开展个保合规审计的重要性越发凸显。
以下是解读团标《个人信息保护合规审计技术能力及工具要求》
《个人信息保护合规审计技术能力及工具要求》是由中国网络空间安全协会提出并归口管理的团体标准。主要起草单位:中央网信办数据与技术保障中心、中国科学院信息工程研究所、中电科网络安全科技股份有限公司
该标准规定了个人信息保护合规审计技术能力及工具要求,包括个人信息保护合规审计技术能力要求和个人信息保护合规审计工具要求。
该标准适用于规范个人信息处理者使用技术工具开展个人信息保护合规自审计工作,也适用于专业机构使用技术工具开展第三方合规审计工作,同时也可为技术工具的开发方、测试方、建设方提供指导和参考
,有利于个人信息处理者合规技术的规范化和标准化,提高个人信息处理活动合规水平。
该团体标准主要包括以下核心内容:
一、个人信息保护合规审计技术能力要求
-
-
合规审计证据要求:包括证据的格式及内容、采集及传输、存储及保全的要求。
-
合规审计分析能力要求:包括基础处理、个人信息处理场景的关联分析以及基于审计项的关联分析能力。
-
-
内容及格式要求:支持多种文件格式,包括日志、文档、图像、音频和视频等。
-
内容要求:包括操作系统日志、安全日志、应用日志、网络日志、业务系统日志等各种审计证据。
-
日志审计证据内容格式要求:包括日志条目ID、时间戳、级别/类型、日志消息、来源/类别等详细信息。
-
基础处理能力:支持对审计证据进行预处理和各种数据处理能力,如日志处理、文本处理等。
-
个人信息处理场景关联分析:支持基于日志生成执行证据和分析企业基础信息。
-
基于审计项的分析能力:支持生成日志统计信息,识别异常行为,并通过自然语言处理等技术处理审计证据。
-
内容要求:包括法律法规库、审计策略模型库、最佳实践库、合规审计评价库等内容,涵盖审计项、法律政策、业务系统日志、违规行为案例等。
-
可扩展要求:支持更新和升级,利用机器学习、深度学习等技术持续整合新的审计知识。
二、个人信息保护合规审计工具要求
-
-
-
管理功能:审计任务管理模块、审计项管理模块和审计证据管理模块。
-
基础服务:接口管理模块、安全保护模块、配置管理模块、日志管理模块、审计知识库。
-
审计任务管理要求:支持建立包含审计计划、审计方案、审计人员等的审计流程,支持创建个人信息保护合规审计项目、自定义审计项等功能。
-
基本功能:支持多类型审计证据收集、格式要求支持、内容要求支持、采集策略配置、自动持续收集、安全传输保障、非易失性存储和备份功能。
-
以下是全文:
