| 文件编号 | ESTC-PIIMS-001 | 版本 | 2026/01 |
1 适用范围和目的
本规则适用于规范东方信检验认证有限公司(以下简称“东方信/ESTC”)开展个人可识别信息保护管理体系认证活动。
本规则依据国家适用法规和认可规范要求,对个人可识别信息保护管理体系认证实施过程作出具体规定,明确东方信/ESTC对认证过程的管理责任,保证认证活动的规范有效。2 规范性文件的引用
GB/T 2702.1-2017/ISO/IEC 17021-1:2015《合格评定 管理体系审核认证机构要求 第1部分:要求》
3 缩略词
东方信/ESTC:东方信检验认证有限公司
PII:个人可识别信息
PIIMS:个人可识别信息保护管理体系
PIMS:隐私信息管理体系
ISMS:信息安全管理体系
4 认证依据
个人可识别信息保护管理体系认证以下列标准为依据
---ISO/IEC 29151:2017信息技术---安全技术---个人可识别信息保护实施规范
---ISO/IEC 27701:2025信息安全 网络安全和隐私保护---隐私信息管理体系---要求与指南
5.5.1 个人可识别信息保护管理体系认证适用对象及基本要求
个人可识别信息保护管理体系认证适用于所有类型和规模的作为P11控制者的组织,包括公共和私营组织、政府机构以及处理PII的非营利组织。申请组织应:
(1)取得合法主体资格,认证申请时管理体系运行应满3个月;
(2)取得相关法律法规定的行政许可和强制性认证(适用时),并处于有效期内;
(3)当前未被执法监管部门责令停业整顿;
(4)当前未被列入“国家企业信用信息公示系统”和“信用中国”发布的严重违法失信名单;
(5)一年内未发生重大及以上级别的网络安全事件;
注:网络安全事件级别依据GB/T 20986判定。
(6)认证申请组织应理解和接受本规则及相关认证认可法律法规和规则的要求。
5.1.2 初次认证和再认证时,申请认证的组织至少提交以下资料:
(1)认证申请书及其附件,包括申请认证范围、申请组织的基本信息(其名称、联系人信息、物理场所地址等信息),并对认证机构的资质、诚信守法、认证人员身份背景、适用的与保守国家秘密或维护国家安全有关的法律法规等保密要求作出说明;
(2)法律地位的证明文件(企业法人营业执照等);
(3)体系范围覆盖的活动所涉及法律法规要求的行政许可证明、资质证书等的复印件;
(4)与认证标准相适应的体系文件(如手册、程序文件等);
(5)最近一次内审报告和管理评审报告;
(6)与认证标准相适应的适用性声明(SoA);
(7)PII控制和(或)处理流程图;
(8)PII安全风险评估报告;
(9)PII保护策略清单和风险处置计划;
(10)ISMS/CSSMS/PIMS/PIIMS/DSMS/DSSMS认证申请专项信息表。
本机构实施的认证规则均已按照《国家认监委关于加强认证规则管理的公告》(2025年第9号)要求备案,如需查阅全文内容请联系运营部
电话号码:0571-85223473
邮箱:3503326194@qq.com
