上海银行信息安全

    上图为我国目前有关个人信息保护的发文2021年《个人信息保护法》第五十四条***次在法律层面确立个人信息处理者的合规审计义务，但当时缺乏具体操作指引。这一空白在2025年得以填补——《网络数据安全管理条例》《未成年人网络保护条例》及《个人信息保护合规审计管理办法》相继开始实施，构建了层次分明、覆盖完整的监管框架。原文参考：《个人信息保护法》第五十四条个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第六十四条履行个人信息保护职责的部门在履行职责中，发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈，或者要求个人信息处理者委托机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施，进行整改，消除**。《网络数据安全管理条例》第二十七条网络数据处理者应当定期自行或者委托机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。《未成年人网络保护条例》第三十七条个人信息处理者应当自行或者委托机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。协助企业搭建《个人信息保护管理制度》、开展员工合规培训，确保审计成果真正转化为企业的 “合规能力”。上海银行信息安全

    不得重复要求个人信息处理者委托机构开展个人信息保护合规审计。文章内容提到的两大要点：审计方式自行审计强制审计开展方式1、个人信息处理者内部机构开展2、委托机构开展由保护部门要求个人信息处理者委托机构开展审计频率1.对于处理超过1000万个人信息的个人信息处理者，应当每两年至少开展一次2.处理不超过1000万人个人信息的，应当定期开展：3.处理100万至1000万人个人信息的建议每三至四年开展一次审计4.处理少于100万人个人信息的建议每五年开展一次审计。1.发现个人信息处理活动存在严重影响个人的权益或者严重缺乏安全措施等较大风险的。2.个人信息处理活动可能侵害众多个人的权益的;3.发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。如需了解详情，欢迎联系我们。 南京证券信息安全解决方案审计须严格对标现行法律法规及监管动态，结论具备法律证明力。

    并将审计情况及时报告网信等部门。要点总结：个人信息保护合规审计的两种新式：1.个人信息处理者自行开展合规审计2.按照履行个人信息保护职责的部门要求，委托机构开展合规审计2.***政策发布——《个人信息保护合规审计管理办法》《个人信息保护合规审计管理办法》中明确事项：Ø明确个人信息处理者自行开展合规审计和按照履行个人信息保护职责的部门要求委托机构开展合规审计的条件，合规审计机构的选择和合规审计的频次。Ø明确开展合规审计的个人信息处理者应当履行的义务，规定个人信息处理者按照履行个人信息保护职责的部门要求开展合规审计的，应当为机构正常开展合规审计工作提供必要支持并承担审计费用，在限定时间内完成合规审计，报送合规审计报告并进行整改。Ø明确机构在合规审计中的义务，规定机构应当具备开展合规审计的能力，遵守法律法规，明确同一机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。Ø明确履行个人信息保护职责的部门对个人信息处理者开展合规审计情况进行监督检查，任何**、个人有权对合规审计中的违法活动向履行个人信息保护职责的部门进行投诉、举报。

    以便企业能够根据风险等级制定相应的应对策略。第五阶段：评估总结——开出良方评估总结阶段是整个数据安全风险评估工作的收官之作。编制评估报告，系统总结评估过程和发现的问题。提出针对性的处置建议，根据风险等级和实际情况，为企业制定切实可行的改进方案。同时，进行残余风险分析，明确在采取处置措施后仍然存在的剩余风险以及相应的应对措施，确保企业能够持续保持数据安全状态。结束语04数据安全风险评估的落地不仅是合规要求，更是企业构建**竞争力的关键。通过数据分类分级、跨部门协同、技术适配和全员参与，企业可有效管控数据风险，同时释放数据价值。未来，随着监管力度加强和技术演进，数据安全管理将更趋精细化。而安言咨询作为外部智囊，将持续为企业提供前瞻性解决方案，助力其在安全与创新的平衡中稳健前行。信息安全管理体系的有效运行依赖于全员参与和持续改进。

    个人信息保护合规审计重磅解读（一）——个人信息保护合规审计的背景（一）“个人信息保护合规审计”概念***次出现于《中华*****个人信息保护法》，该法提出个人信息处理者应当定期进行合规审计，以及相关监管部门可依法要求个人信息处理者委托机构对其个人信息处理活动进行合规审计等，但并未明确个人信息保护合规审计的具体概念、方法、范围等实施要点。为进一步细化与落实指导上述个人信息保护法规定的义务工作的开展执行，2023年8月，**网信办制定并出台了《个人信息保护合规审计管理办法(征求意见稿)》:2025年2月14日《个人信息保护合规审计管理办法》正式发布，并将于2025年5月1日正式生效。接下安言将通过以下三期为各位带来***的个人信息保护合规审计解读l个人信息保护合规审计的背景l个人信息保护合规审核的开展l个人信息保护合规审计的实际及总结1.个人信息保护的监管环境近年来，随着数字经济纵深发展，个人信息保护与数据利用的矛盾日益突出，全球监管环境呈现明显强化趋势。我国个人信息保护合规审计制度以《个人信息保护法》为基石，经历从原则性规定到实施细则的演进过程，形成了四级制度体系：法律-行政法规-部门规章-标准规范。审计范围需延伸至第三方合作方，并推动行业最佳实践和标准互认，降低生态合规成本。天津网络信息安全评估

个人信息保护合规审计包含：审计计划、审计准备、审计实施、审计报告、问题整改、归档管理，这六个阶段。上海银行信息安全

    个人信息保护合规审计重磅解读（二）——个人信息保护合规审计的开展文接上期“引用上一期的链接”，在明确了个人信息保护合规审计的背景后，本次为大家带来个人信息保护合规审计的开展。1.规划审计流程和了解审计权限个人信息保护合规审计的审计规划：1)明确审计目标与审计对象：与管理层进行沟通明确审计目标，明确审计工作重点。根据审计目标选定合适的审计对象（业务场景、应用形态、处理环节等），初步摸排合规情况。2)制定审计计划组建团队：初步调研审计对象，制定审计计划，组建相关部门团队开展审计工作。3)执行审计工作：综合采用访谈、文件审阅、系统调用等多种手段梳理个人信息处理活动，识别相关法律法规规定，依据法律法规规定进行评价。4)编制与出具审计报告：撰写审计报告，与利益相关方沟通确认审计报告内容，出具审计报告，对审计报告进行解读。5)制定整改计划并实施：就审计工作发现的问题确定处置方案，制定整改计划并实施。上海银行信息安全