工作联动 | 个人信息保护合规审计自审计能力评价活动启动 - 新鲜讯息

近日，国家网信办通过答记者问（以下简称“答记者问”）形式释放权威信号，帮助各组织准确把握《个人信息保护合规审计管理办法》（以下简称《管理办法》）及办法附件《个人信息保护合规审计指引》。全国网络安全标准化技术委员会秘书处在前期《数据安全技术个人信息保护合规审计要求》国家标准研制基础上，研制了《网络安全标准实践指南——个人信息保护合规审计要求》《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》两项网络安全实践指南，为我国个人信息保护合规审计制度构建提供了具体落地方案。

答记者问作为《管理办法》的官方解读，重点回应了实务中核心关切问题，则化身“操作说明书”，不仅细化了审计流程、审计内容和方法等环节，更提供了标准化的审计底稿模板和报告模板参考，为《管理办法》的实施执行提供了具体操作支撑。

为了切实推进个人信息保护合规审计工作，数安标准强基助力计划（DSEP）联合CCIA数据安全工作委员会在2025年5月发起了，在前期标准研究和试点的基础上，诚邀个人信息保护合规审计相关单位和专家，对标合规审计政策法规要求，共同研究合规审计的重难点问题，探索合规审计操作指南与应用实践，推进业界共识，发掘优秀案例，助力个人信息保护合规审计工作高质量发展。

同时，合规审计专题工作将启动“个人信息保护合规审计自审计能力评价”（简称“PCA-SC”）专题活动，形成优秀实践案例成果并面向社会发布，以进一步推动企业切实履行合规审计义务，形成长效合规审计机制和能力。

根据《管理办法》要求，个人信息处理者应当依据法律法规要求开展个人信息保护合规审计活动，以规范个人信息处理活动，提升个人信息保护能力，保障公民个人权益。依据《个人信息保护合规审计管理办法》《网络安全标准实践指南——个人信息保护合规审计要求》，总结个人信息保护合规审计试点工作经验，合规审计专题工作制定了《个人信息保护合规审计自审计能力建设及评价指南》（以下简称“《评价指南》”），《评价指南》指出，个人信息处理者应当建立健全个人信息保护合规审计管理体系和治理能力，主要针对组织制度、合规审计实施、合规审计支撑、工作融合和价值呈现等方面开展能力评价。

♦ 在组织制度上，强调个人信息保护合规审计融入整体策略。管理制度明确审计频率、依据，保障贯彻与修订。组织架构设独立审计部门，鼓励多部门协作，按情况配专职人员，同时提供充足预算与有效沟通协调机制。

♦ 在合规审计实施方面，注重审计规范性，标准化审计模板，严格规范流程与内容。重视审计人员管理，对数量配备和行为规范有要求。审计方案清晰且经评审，证据真实有效，底稿记录完整规范。

♦ 在合规审计支撑方面，需为合规审计提供全面的资源与技术保障。在资源上，确保审计设备、工具的充足与先进；在技术上，引入前沿的数据分析、风险评估等技术，助力审计工作高效、精准开展，提升审计质量与效率。

♦ 在工作融合和价值呈现方面，促使个人信息保护合规审计与日常业务深度融合，在业务流程中及时发现并解决合规问题。通过审计成果为组织决策提供有力支持，提升组织的个人信息保护水平，增强用户信任，展现审计工作的价值。

《评价指南》指出，个人信息保护合规审计自审计能力评价共分为三个等级：

基础级

组织具备一定的个人信息保护合规审计能力，发布了组织层面的合规审计制度，能够开展个人信息保护合规审计，已在组织相关业务场景主动推进了个人信息保护合规审计工作。

规范级

组织具备足够的个人信息保护合规审计能力，通过构建合规审计管理体系和培养审计人员能力，使个人信息保护合规审计实施独立化、规范化、标准化、可重复执行，还能不断优化、充分协调内外审计相关活动，并在组织内部有序开展个人信息保护合规审计工作。

卓越级

组织具备完备的个人信息保护合规审计能力，形成了独立运行、依托内外部专业队伍或机构相结合的合规审计工作机制，采取自动化工具或平台支撑取证固证、过程管理、报告管理等工作，将合规审计与组织其他个人信息保护、数据安全和网络安全工作融合以避免重复工作，能快速发现和消除安全风险和弥补合规差距，并已在组织范围内对涉及的业务场景开展了合规审计并进行持续监督。

DSEP“个人信息保护合规审计”

自审计能力评价报名表

请有意愿参加DSEP个人信息保护合规审计自审计能力评价的单位点击获取报名表并反馈至dsep@cesi.cn

DSEP以我国数字产业化、产业数字化的高质量发展和高水平安全需求为导向，落实《数据安全法》《个人信息保护法》等法律法规要求，拟实现“强基”“助力”“同轨”三个目标，即支撑我国数据安全法律法规落地应用，夯实数据安全基础和合规底线；赋能数字产业化、产业数字化高质量发展，助力行业等提升数据安全能力水平；依托数据安全和个人信息保护国家标准实施，提供数据安全合规和能力提升的标准化、规范化路径。

PCA-SC专题活动充分践行了DSEP深化标准与技术融合，强化标准与实践衔接，树立数据安全治理标杆的理念，将助力个人信息处理者明晰合规工作方向、掌握标准应用方法，避开弯路，跨过障碍，以安全合规为基，充分利用个人信息为用户、组织和社会创造更大价值。

后续，DSEP合规审计专题将依托于DSEP和CCIA数安委工作机制，持续发布合规审计相关实操指引，助力企业构建科学合规体系，共筑个人信息保护生态屏障，欢迎关注。

如需了解专题工作详情，可通过公众号留言或下述邮箱与我们取得联系。

邮箱：[email protected]

数安标准强“基”助“力”计划

（DSEP）

数安标准强“基”助“力”计划（DSEP），由中国电子技术标准化研究院发起，以我国数字产业化、产业数字化的高质量发展和高水平安全需求为导向，落实《数据安全法》《个人信息保护法》等法律法规要求，依托数据安全和个人信息保护国家标准体系，打造基于标准的“政、产、学、研、用”深度融合平台，建立集政策支撑、标准验证、应用开发、宣贯培训、示范推广、效果评估等一体化标准应用推广机制，为各行业领域、地方区域和组织机构筑牢数据安全合规底线、提升数据安全能力提供标准化路径，充分发挥国家标准对数字经济高质量发展的基础性、规范性和引领性作用。

有意愿参加DSEP计划的单位可联系邮箱[email protected]获取报名表。