《數(shù)據(jù)合規(guī)管理體系 要求》由中國電子信息行業(yè)聯(lián)合會發(fā)布���,是我國數(shù)據(jù)合規(guī)領(lǐng)域的首個標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可幫助企業(yè)建立和完善數(shù)據(jù)全流程合規(guī)和監(jiān)管規(guī)則體系���,落實貫穿數(shù)據(jù)治理全過程的合規(guī)要求,提升企業(yè)數(shù)據(jù)治理與合規(guī)運營能力�����。
《數(shù)據(jù)合規(guī)管理體系》標(biāo)準(zhǔn)包括:
1���、組織體系
指企業(yè)為實現(xiàn)數(shù)據(jù)合規(guī)管理目標(biāo)而建立的組織結(jié)構(gòu)和職責(zé)分工,主要包括制定組織結(jié)構(gòu)�、確定相應(yīng)崗位��、明確職責(zé)分工���、規(guī)劃組織活動等�。
2���、制度體系
指企業(yè)為確保數(shù)據(jù)合規(guī)管理的有效性和可持續(xù)性而制定的一系列規(guī)章制度和標(biāo)準(zhǔn)����,主要包括數(shù)據(jù)分類分級制度�����、數(shù)據(jù)安全事件響應(yīng)制度等����。
3�、運行體系
指企業(yè)為實現(xiàn)數(shù)據(jù)合規(guī)管理目標(biāo)而建立的一系列流程和控制措施���,主要包括風(fēng)險識別與應(yīng)對機制����,合規(guī)審查機制���、數(shù)據(jù)安全影響評估機制、違規(guī)問題整改機制�����、合規(guī)有效性評價等�。
4��、保障體系
指企業(yè)為確保數(shù)據(jù)合規(guī)管理的可靠性和安全性而采取的一系列措施,主要包括合規(guī)考評與獎懲機制�����、違規(guī)舉報與問責(zé)機制����、合規(guī)管理信息化建設(shè)等。
申請條件:
1�、申請方應(yīng)具有明確的法律地位�����;
2、申請組織已建立數(shù)據(jù)合規(guī)管理體系并有效運行至少3個月���;
3�����、申請組已進行了一次完整的內(nèi)部審核和管理評審��;
4�、申請組織近一年來應(yīng)未發(fā)生過嚴(yán)重的數(shù)據(jù)安全����、信息安全�����、食品安全��、環(huán)境事故����、職業(yè)健康安全�、社會責(zé)任等方面不合格/不合規(guī)事件;
5���、申請組織近一年未因負(fù)面情況而被其他相關(guān)認(rèn)證機構(gòu)撤銷認(rèn)證證書��;
6�、提供數(shù)據(jù)合規(guī)要求清單����、數(shù)據(jù)合規(guī)義務(wù)清單����;
7、提供數(shù)據(jù)合規(guī)風(fēng)險的識別����、分析和評價的結(jié)果;
8�����、提供近一年的數(shù)據(jù)合規(guī)報告。
認(rèn)證范圍:
適用于所有類型的組織����,不論其類型�、規(guī)模�����、性質(zhì)��,也不論其是公共性質(zhì)��、私營性質(zhì)或非營利性組織。
資料清單:
1、組織基本信息:
營業(yè)執(zhí)照�����、組織架構(gòu)�、聯(lián)系方式。
2���、數(shù)據(jù)合規(guī)戰(zhàn)略相關(guān)資料:
闡述組織的數(shù)據(jù)合規(guī)愿景��、目標(biāo)�、規(guī)劃等。
3�����、數(shù)據(jù)合規(guī)組織和人員相關(guān)資料:
數(shù)據(jù)安全��、數(shù)據(jù)合規(guī)負(fù)責(zé)人及機構(gòu)設(shè)置��、人員職責(zé)�����、人員招聘和培訓(xùn)等相關(guān)資料����。
4�����、數(shù)據(jù)合規(guī)制度相關(guān)資料:
必要的文件包括闡述數(shù)據(jù)合規(guī)策略的文件�����、規(guī)定數(shù)據(jù)合規(guī)職能的文件、識別數(shù)據(jù)合規(guī)義務(wù)的文件�����、數(shù)據(jù)合規(guī)風(fēng)險評估和應(yīng)對數(shù)據(jù)合規(guī)風(fēng)險措施的文件���、舉報調(diào)查相關(guān)文件等���。
5�����、數(shù)據(jù)合規(guī)技術(shù)與工具相關(guān)資料:
組織采取的適當(dāng)措施來執(zhí)行數(shù)據(jù)安全、合規(guī)管理落地����,保障數(shù)據(jù)生存周期全過程的安全�、合規(guī)����,例如:數(shù)據(jù)安全采集工具����、數(shù)防泄露系統(tǒng)�、數(shù)據(jù)庫加密系統(tǒng)���、數(shù)據(jù)備份/恢復(fù)工具、數(shù)據(jù)資產(chǎn)梳理及分類分級工具���、數(shù)據(jù)安全運營��、監(jiān)測����、評估系統(tǒng)和平臺等。
6����、數(shù)據(jù)合規(guī)績效評估相關(guān)資料:
數(shù)據(jù)合規(guī)的關(guān)鍵績效指標(biāo)、數(shù)據(jù)合規(guī)報告�。
(以上材料清單僅供參考����,具體要求根據(jù)組織實際情況而有所不同。)
認(rèn)證流程:
確認(rèn)體系搭建體系——簽訂合同預(yù)付款提交申請——第一階段審核/文件審核——第二階段審核/現(xiàn)場審核——整改�����,通過拿證——每年監(jiān)督——三年到期再認(rèn)證
證書樣本:
