6.28.1 个人信息保护负责人的工作经历和专业知识

a) 审计内容：个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关 法律、

行政法规；

b) 审计证据：个人信息保护管理制度、个人信息保护负责人身份和背景、个人信息保护负责人工 作经

历

c) 审计方法：

1) 查验个人信息保护管理制度是否明确任命个人信息保护负责人。

2) 查验个人信息保护负责人身份、背景、工作经历，是否有个人信息保护相关专业知识、管 理

经验和工作经历。

6.28.2 个人信息保护负责人的职责和权力

GB/T XXXXX—XXXX

35

a) 审计内容：个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调组织内 个人

信息处理相关部门与人员；

b) 审计证据：个人信息保护岗位责任书或相关制度管理文件

c) 审计方法：

1) 查验个人信息保护岗位责任书或相关制度管理文件，是否清晰明确个人信息保护负责人的 职责，是否赋予个人信息保护负责人行使个人信息保护职责的权限。

6.28.3 重大事项决策建议权

a) 审计内容：个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议；

b) 审计证据：个人信息保护岗位责任书或相关制度管理文件，会议记录，决策记录、审批记录

c) 审计方法：

1) 查验个人信息保护岗位责任书或相关制度管理文件，是否明确个人信息保护负责人在个人 信息处理重大事项时的决策权、建议权。

2) 查验相关会议记录、决策记录、审批记录，个人信息保护负责人是否对个人信息处理重大 事项进行决策或建议。

6.28.4 不合规操作的制止和纠正

a) 审计内容：个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进 行制

止和采取必要的纠正措施；

b) 审计证据：个人信息保护岗位责任书或相关制度管理文件，会议记录，决策记录、审批记录

c) 审计方法：

1) 查验个人信息保护岗位责任书或相关制度管理文件，个人信息保护负责人的岗位职责范围 是否可以覆盖对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施。

2) 查验相关会议记录、决策记录、审批记录，个人信息保护负责人是否对组织内部个人信息 处理的不合规操作进行制止和采取必要的纠正措施。

6.28.5 个人信息保护负责人相关信息的公开和报送

a) 审计内容：个人信息处理者是否按规定公开个人信息保护负责人的联系方式，并将个人信息保 护负

责人的姓名、联系方式等报送保护部门。

b) 审计证据：隐私政策、企业社会责任报告、官方网站、报送机制

c) 审计方法：

1) 查验隐私政策或企业社会责任报告或官网，是否按规定公开个人信息保护负责人的联系方 式。

CCRC-PIPCA个人信息保护合规审计认证,北京青蓝智慧科技马老师:135-2173-0416/133-9150-9126

2) 查验个人信息保护负责人的姓名、联系方式报送机制，是否按规定报送履行个人信息保护 职责的部门。