5.2 审计人员要求

 5.2.1 专业能力要求 从事个人信息保护合规审计的审计人员在专业能力方面，应满足以下要求： a) 应了解并熟练掌握个人信息保护相关法律、行政法规、监管要求，能够准确判断被审计对象个 人 信息保护措施的合法性、有效性； b) 应熟悉个人信息保护合规审计流程、审计方法、审计要点及个人信息保护技术措施，能够严格 按 照审计流程完成审计工作； c) 宜具备个人信息保护相关领域专业能力的资质认证。5.2.2 职业道德要求

5.2.2 独立性要求 审计人员在实施个人信息保护合规审计时，应保持审计工作的独立性，并满足以下要求： a) 内部机构审计人员应回避自身负责的业务内容，独立于被审计对象的个人信息处理活动，且其 工 作不受被审计对象的约束； b) 外部专业机构审计人员同被审计对象及其工作人员不得存在亲属关系、利益往来、法律纠纷等 可 能影响其做出公正、独立审计结论的利害关系； c) 不应参加可能影响其独立履行审计职责的活动，不应接受任何可能影响其独立性判断的财物； d) 审计人员产生影响审计独立性行为的，应立即向审计组提交书面说明，审计组应暂时回避或终 GB/T XXXXX—XXXX 4 止其审计工作。被审计方认为审计人员应当回避的，可以向审计组书面提出申请并说明理由， 理由成立的，审计组应暂时回避或终止该审计人员的审计工作，理由不能成立的，应当书面向申 请人答复。

 5.2.3 客观性要求 审计人员在实施个人信息保护合规审计时，应保持审计工作的客观性，并满足以下要求： a) 应保证收集和使用审计证据的适当性、充分性、可靠性、可信性、真实性、有效性，应采用合 法、 科学、透明的方式获取审计证据； b) 应依据充分、客观、完整的审计证据出具审计结论，不应歪曲事实、隐瞒审计发现，不应做出 有误 导性或含糊的陈述； c) 不应参加可能影响其做出客观判断的活动，不应利用职权接受任何可能影响其做出客观判断的 财 物； d) 应主动、及时向审计组书面报告所获得的审计证据，避免影响到审计工作整体的客观评价。

5.2.4 公正性要求 审计人员在实施个人信息保护合规审计时，应保持审计工作的公正性，并满足以下要求： a) 应实事求是，做出不带偏见的、符合实际的中立判断； b) 在审计过程中遇到重大障碍或审计人员之间产生意见分歧的，应及时向审计组提交真实、准确、 完 整的书面报告。

 5.2.5 保密性要求 审计人员在实施个人信息保护合规审计时，应保持审计工作的保密性，并满足以下要求： a) 外部审计机构应在审计工作开展前与被审计对象签订保密协议，约定双方在审计信息保密层面 的 责任义务，并设定违约条款； b) 内部审计机构应遵守公司内部相关保密要求； c) 应严格按照保密协议或公司内部章程的要求保护审计数据，不应超出审计目的使用审计数据； d) 应在确保遵守被审计对象内部信息安全要求的前提下，正常开展审计工作； e) 未经被审计单位书面授权或法律另有规定的，不应向任何第三方披露任何审计数据。

CCRC-PIPCA个人信息保护合规审计人员认证北京青蓝智慧科技马老师:135-2173-0416

5.2.6 审计报告要求审计人员应将个人信息保护合规审计发现的安全问题准确记录在审计底稿中，审计底稿应内容完整、记录清晰、结论明确，客观地反映审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。附录 C 给出了审计底稿模板。审计人员应在审计完成后撰写审计报告，审计报告是发表审计意见的书面文件，应包括但不限于审计概况、审计依据、审计结论、审计发现、审计意见、审计建议等。内部机构出具的审计报告应由审计组长签名，并提交给相应负责人；专业机构出具的审计报告应由专业机构负责人、合规审计负责人签名并加盖公章。