ISACA个人信息保护能力 成熟度评估最佳实践指南 2 ISACA个人信息保护能力成熟度评估最佳实践指南 目录 3 摘要 4 ISACA个人信息保护能力成熟度评估指南 4 / 编制背景 5 / 编制方法论 5 / 主要内容 6 / 评估目的 6 / 评估范围 7 致谢 8 关于ISACA ©2023 ISACA®. All rights reserved. 3 ISACA个人信息保护能力成熟度评估最佳实践指南 摘要 根据个人信息保护相关法律法规要求，并结合不同行业的最佳实践，ISACA兼顾个人信息保护要求与不 同行业监管要求的同时，寻求数据要素利用与隐私保护的平衡，为组织个人信息保护能力成熟度评估项目落 地提供一个最佳实践指南，为组织开展个人信息保护能力成熟度评估工作提供协助和实用工具。 ©2023 ISACA®. All rights reserved. 4 ISACA个人信息保护能力成熟度评估最佳实践指南 ISACA个人信息保护能力成熟度 评估最佳实践指南 一、编制背景 我国已将数据列为新型生产要素，大力推进数据产权、流通交易、收益分配和安全治理，解决数据资源 开发利用不足和无序滥用的矛盾，针对个人信息的非法采集、滥用、泄露等严峻形势，不断强化对个人信息 保护的监管与执法力度，并进行制度创新的探索。近年来，继欧盟《一般数据保护条例》（General Protection Data Regulation，GDPR）之后，全球个人信息保护立法盛行。2021年8月20日，十三届全国人大 常委会第三十次会议表决通过《中华人民共和国个人信息保护法》（Personal Information Protection Law, PIPL，以下简称“个保法”），自2021年11月1日起施行。它是中国第一部有关个人信息保护的 综合性专门立法。个保法不仅适用于中华人民共和国境内，也适用于境外，涉及数据出境等具体问题。 《个保法》是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，而根据宪法制定的 法规。该法规定了巨额的行政罚款，最高可达人民币五千万元或者上一年度营业额百分之五的罚款。 同时《个保法》也提出了针对组织内部个人信息保护实践开展定期审计的要求，而通过开展个人信息保 护能力成熟度评估可以很好地支持审计的合规要求，落实完善组织内部个人信息保护机制，持续对个人信息 处理活动进行监督和管理。开展个人信息保护能力成熟度评估，是组织约束自身行为和配合监督管理的重要 手段，有助于及时预防和制止违法的个人信息处理活动，充分地维护个人信息主体权益，也有助于企业更好 满足《个保法》的相关法律合规要求。但是由于我国当前对个人信息保护的合规要求较为分散，使得组织在 开展个人信息保护能力成熟度评估工作中面临着巨大的挑战。 ISACA中国技术委员会汇聚不同行业、不同领域的专家学者的专业知识，以及多位专家在个人信息保护 能力成熟度评估实践中的经验，并在兼顾个人信息保护要求与不同行业监管要求的同时，寻求数据要素利用 与隐私保护的平衡，为组织个人信息保护能力成熟度评估项目落地提供一个最佳实践指南。 ©2023 ISACA®. All rights reserved. 5 ISACA个人信息保护能力成熟度评估最佳实践指南 二、编制方法论 《ISACA个人信息保护能力成熟度评估最佳实践指南》（以下简称“本指南”）根据个人信息保护相 关法律法规要求，并结合不同行业的最佳实践，为组织个人信息保护能力成熟度评估工作提供通用最佳实 践指南，以协助组织开展个人信息保护能力成熟度评估工作。请注意，由于不同行业监管要求存在差异， 因此组织在开展个人信息保护能力成熟度评估工作时，还需要根据自身所在行业监管要求，对本指南的内 容进行定制化修改。 三、主要内容 本指南提供完整的个人信息保护能力成熟度评估最佳实践指南。个人信息保护能力成熟度评估除了涉 及广义范围对个人信息处理者应履行的义务要求外，还涉及狭义范围（或传统）对个人信息生命周期的安 全管理和安全技术的要求。为了便于组织更好地落实对上述内容的评估工作，本指南分为“基于个人信息 生命周期的安全管理”和“个人信息日常安全运营和保障”两个部分，每部分均针对特定评估重点进行说 明并提供相关指导建议和最佳实践： - 《ISACA个人信息保护能力成熟度评估最佳实践指南（上）——基于个人信息生命周期的安全管理》 侧重于对组织个人信息生命周期的安全保障能力成熟度进行评估，涵盖个人信息治理框架、个人信息 收集、个人信息传输、个人信息存储、个人信息使用、个人信息删除六个领域，包括了20个控制目 标，共计71个控制点。 - 《ISACA个人信息保护能力成熟度评估最佳实践指南（下）——个人信息日常安全运营和保障》侧重 于对组织履行个人信息处理者义务能力成熟度进行评估，涵盖个人信息保护制度体系、组织架构与管 理模式、员工管理与培训、第三方合作机构管理、安全技术措施、个人信息主体权利响应、个人信息 保护影响评估、应急响应与事件处置、安全合规监督或自查九个领域，包括了26个控制目标，共计 85个控制点。 ©2023 ISACA®. All rights reserved. 6 ISACA个人信息保护能力成熟度评估最佳实践指南 四、评估目的 个人信息保护能力成熟度评估，旨在为组织管理层提供如何有效治理、监控和管理个人信息保护能力 的评估机制，为组织开展个人信息保护能力成熟度评估工作提供通用性实践指南。评估侧重于个人信息保 护治理、响应机制和支持流程，协助组织进行风险管理，订立改进策略。包括：（1）向管理层提供对其 个人信息保护相关制度和流程及其运营有效性的评估；（2）识别可能导致违反个人信息保护要求和未识 别到的控制目标；（3）评估组织的个人信息保护能力成熟度和持续管理的有效性。 五、评估范围 评估工作的开展围绕以下两个方面：（1）为落实个人信息保护合规所需的实施控制点；（2）为持续落 实个人信息保护合规所需的维持控制点。 评估人员在开展个人信息保护能力成熟度评估的过程中，应明确需要评估的组织职能、业务场景、系统 和资产。 配套的工作簿为支持个人信息保护能力成熟度评估工作涉及的一系列控制目标、控制点和测试步骤。建 议组织应根据所在行业监管要求并结合自身业务特点，对本指南内容进行审查和定制化修订后进行使用。 ©2023 ISACA®. All rights reserved. 7 ISACA个人信息保护能力成熟度评估最佳实践指南 致谢 ISACA向以下人员致谢（排名不分先后）： 首席开发人员 蔡俊磊 CISA, CISM, CRISC, CGEIT, CDPSE, CCAK 万豪国际集团 余小兵 刘瑄 CISA, CDPSE CISA, CISM 南京审计大学 宝格丽(上海)商贸有限公司 专家评审 Samuel Sinn 陈伟 CISA, CRISC 唐雅琪 CISA, CDPSE FIP, CIPP/E, CIPM, ISO 27001 LA 北京谷安天下科技有限公司 安永（中国）企业咨询有限公司 支云龙 CISA, CISM, CRISC, CDPSE 丰田汽车金融（中国）有限公司 陈钟 顾呈页 CISA 中国建设银行 阮祺康 CISA 北京大学 安永（中国）企业咨询有限公司 高大为 闫振平 CISA 开发人员 普华永道 CISA, CDPSE 信永中和 微众银行 金磐石 周佳敏 CISA CISA 中国建设银行 ISACA中国专家委员会 刘涤西 庄玉良 上海电信 海关总署 南京审计大学 吴更生 李倩 统筹 孙锦泉 CISA CISA, CDPSE 中信银行信用卡中心 CISA 腾讯控股有限公司 蔡俊磊 CISA, CISM, CRISC, CGEIT, CDPSE, CCAK 万豪国际集团 ©2023 ISACA®. All rights reserved. 8 ISACA个人信息保护能力成熟度评估最佳实践指南 关于ISACA 半个多世纪以来，ISACA®(www.isaca.org)致力于推动全 球技术领域的人才、专业知识和学习的不断进步。ISACA为个 人提供知识、证书和教育，构建全球化的专业社区，以促进个 人的职业进步和企业的数字化转型，并使企业能够培训和建立 高质量的团队。作为享誉全球的专业机构和学习组织，ISACA 1700 E. Golf Road, Suit 400 Schaumburg, IL 60173, USA Phone: +1.847.660.5505 Fax: +1.847.253.1755 拥有超过 170,000 名成员，分布在信息和网络安全、治理、 Support: support.isaca.org 鉴证、风险和隐私等工作领域，通过技术推动创新。ISACA在 Website: www.isaca.org 188 个国家和地区设 有 220 多个分会。 ISACA中国办公室成立于2017年，是ISACA在美国以外建 立的第一个直属机构，旨在服务ISACA在中国大陆的持证人员 ISACA中国办公室 以及IT和安全行业的专业人士，引进ISACA全球先进的标准、 地址：北京市东城区隆福寺街95号 框架体系和知识，并向全球同行输出中国业界的最佳实践。 隆福文创园 1 号楼 WeWork5 层 103 室 邮箱: ISACAChina@isaca.org 客服：18515911939(同微信) 免责申明 ISACA中国办公室设计并编制了《ISACA个人信息保护能 力成熟度评估最佳实践指南》 ( 下称“作品”)，主要用作专业 人员的学习资料。ISACA中国办公室无法保证使用本作品就一 定能够实现成功的结果。本作品不应被视为包含所有适用的信 息、程序和测试，不排除在其它信息、程序和测试的合理指导 下获得同样结果的可能。在确定任何具体信息、程序或测试的 适宜性时，专业人员应就具体的情况(特定的系统或信息技术环 境)做出自己专业性的判断。 ©2023 ISACA®. 所有权保留。如有引用或转裁，请标注来源。 ©2023 ISACA®. All rights reserved. ISACA官方公众号 CMMI官方公众号