《数据合规管理体系 要求》由中国电子信息行业联合会发布,是我国数据合规领域的首个标准。该标准可帮助企业建立和完善数据全流程合规和监管规则体系,落实贯穿数据治理全过程的合规要求,提升企业数据治理与合规运营能力。
《数据合规管理体系》标准包括:
1、组织体系
指企业为实现数据合规管理目标而建立的组织结构和职责分工,主要包括制定组织结构、确定相应岗位、明确职责分工、规划组织活动等。
2、制度体系
指企业为确保数据合规管理的有效性和可持续性而制定的一系列规章制度和标准,主要包括数据分类分级制度、数据安全事件响应制度等。
3、运行体系
指企业为实现数据合规管理目标而建立的一系列流程和控制措施,主要包括风险识别与应对机制,合规审查机制、数据安全影响评估机制、违规问题整改机制、合规有效性评价等。
4、保障体系
指企业为确保数据合规管理的可靠性和安全性而采取的一系列措施,主要包括合规考评与奖惩机制、违规举报与问责机制、合规管理信息化建设等。
申请条件:
1、申请方应具有明确的法律地位;
2、申请组织已建立数据合规管理体系并有效运行至少3个月;
3、申请组已进行了一次完整的内部审核和管理评审;
4、申请组织近一年来应未发生过严重的数据安全、信息安全、食品安全、环境事故、职业健康安全、社会责任等方面不合格/不合规事件;
5、申请组织近一年未因负面情况而被其他相关认证机构撤销认证证书;
6、提供数据合规要求清单、数据合规义务清单;
7、提供数据合规风险的识别、分析和评价的结果;
8、提供近一年的数据合规报告。
认证范围:
适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共性质、私营性质或非营利性组织。
资料清单:
1、组织基本信息:
营业执照、组织架构、联系方式。
2、数据合规战略相关资料:
阐述组织的数据合规愿景、目标、规划等。
3、数据合规组织和人员相关资料:
数据安全、数据合规负责人及机构设置、人员职责、人员招聘和培训等相关资料。
4、数据合规制度相关资料:
必要的文件包括阐述数据合规策略的文件、规定数据合规职能的文件、识别数据合规义务的文件、数据合规风险评估和应对数据合规风险措施的文件、举报调查相关文件等。
5、数据合规技术与工具相关资料:
组织采取的适当措施来执行数据安全、合规管理落地,保障数据生存周期全过程的安全、合规,例如:数据安全采集工具、数防泄露系统、数据库加密系统、数据备份/恢复工具、数据资产梳理及分类分级工具、数据安全运营、监测、评估系统和平台等。
6、数据合规绩效评估相关资料:
数据合规的关键绩效指标、数据合规报告。
(以上材料清单仅供参考,具体要求根据组织实际情况而有所不同。)
认证流程:
确认体系搭建体系——签订合同预付款提交申请——第一阶段审核/文件审核——第二阶段审核/现场审核——整改,通过拿证——每年监督——三年到期再认证
证书样本:
