合规刚需｜个人信息保护合规审计服务认证规则

认证依据

TC260-PG-20254A《网络安全标准实践指南--个人信息保护合规审计专业机构服务能力要求》。

TC260-PG-20255A《网络安全标准实践指南--个人信息保护合规审计要求》。

认证模式

服务管理审核+服务能力确认+服务足迹测评+获证后监督。

领域划分

单一领域：个人信息保护合规审计。

认证程序

认证申请

认证申请人在申请认证时，应至少提交以下资料：

(1)认证申请书；

(2)法律地位证明材料；

(3)对认证要求符合性的自评价结果及相关证明文档；

(4)其他需要的文件。

认证机构对申请资料进行评审后作出受理或不予受理决定，并向认证申请方反馈。

若决定受理，认证机构根据认证申请资料确定认证方案，并通知认证申请方。

认证评价

认证机构应实施服务管理审核、服务能力确认和服务足迹测评，并服务管理审核和服务能力确认依据 TC260-PG-20254A《网络安全标准实践指南--个人信息保护合规审计 专业机构服务能力要求》开展，服务足迹测评依据 TC260-PG-20255A《网络安全标准实践指南--个人信息保护合规审计要求》开展。

认证决定

认证机构应对认证申请资料、评价报告和其他相关资料进行复核，并做出认证决定，对符合认证要求的，颁发认证证书；对暂不符合认证要求的，可要求认证申请方限期整改，整改后仍不符合的，以书面形式通知认证申请方终止认证。

如发现认证申请方、专业机构存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时，认证不予通过。

获证后监督

监督的频次和方式

认证机构在认证证书有效期内，通过认证评价对获得认证的专业机构进行持续监督，年度监督审核至少每个日历年进行一次，初次认证后的第一次监督审查在认证决定日期起 12 个月内进行。

监督的内容

监督至少应包括服务管理审核和服务能力确认，且在一个认证周期内至少开展一次服务足迹测评，监督采用条款抽样的方式开展，抽样条款的数量应不低于认证依据条款的 1/3。

获证后监督结果的评价

认证机构对证后监督报告和其他相关资料信息进行综合评价，做出认证决定，认证决定通过的，可继续保持认证证书；不通过的，认证机构根据相应情形作出暂停直至撤销认证证书的处理。

再认证

认证机构在认证证书到期前对获证专业机构进行再认证，再认证过程与初次认证保持一致，再认证可采用条款抽样的方式开展，抽样条款应不低于认证依据条款的 2/3。

认证时限

认证时限是指自作出受理决定之日起至作出认证决定所实际发生的工作日，一般为 60 个工作日（不包含整改时间）。

龙域认证凭借多年经验与专业服务，帮众多企业攻克评估申报难题，获高度认可。龙域认证团队始终以客户需求为导向，提供高效解决方案。期待为您服务！