申报单位申请PIPA时,请先阅读《个人信息保护评价管理办法》和《参考材料》中的相关文件。
一.申报资格
申报单位应具备以下条件:
(一) 申报单位按照DB21T/ 1628.1-2012《信息安全 个人信息保护规范》(以下简称“规范”)要求建立本单位个人信息安全管理体系(方针、组织机构、规章制度建立等),并在单位内开展实施个人信息安全管理体系至少三个月;
(二) 申报单位在申请前至少要实施一次全员的个人信息安全管理体系的培训和内审;
(三) PIPA办公室将不受理符合下述任何一项的申报单位提交的材料:
-
在申请日前三个月内发生过重大个人信息安全事故的
-
经过个人信息保护评价而不合格的,申请时未满3个月的
-
抽查、复审不合格,申请时未满3个月的
-
申报材料内容虚假被查处的,申请时未满3个月的
-
因故被取消PIPA资格的,申请时未满1年的
二.提交的申报材料
申报单位符合上述条件的,可以向PIPA办公室提出申请。申报时必须提交以下材料:
(四) 单位内部建立的书面化个人信息安全管理体系(PISMS)文档一套:
a) 基本规章(应包括“规范”10.1.1要求的内容),具体规章名称参考如下:
-
个人信息保护方针
-
个人信息安全管理体系基本规定
-
个人信息管理相关机构职能与职责规定
-
个人信息管理规定
-
个人信息安全风险管理规定
-
个人信息安全管理措施规定
-
文档管理规定
-
宣传教育管理规定
-
内审管理规定
-
违反个人信息保护规章制度的处罚规定
-
持续改进管理规定
-
意见与建议管理规定
-
个人信息事故应急管理规定
- ××部门或特殊岗位管理细则
b) 管理体系运行和规章制度实施过程中关联记录(除《检查表》中要求提交的《个人信息管理台帐(总帐)》和《个人信息安全风险管理台帐》为实际记录的外,其它均为记录模版)、文档,包括:
-
个人信息收集、利用、保管、销毁等生命周期管理过程使用的记录
-
个人信息安全风险实施过程中使用相关的记录
-
培训教育和内审实施过程使用的相关记录
-
信息安全管理方面使用的管理记录
-
投拆、意见、事故处理、持续改善等方面的管理措施使用的相关记录
-
其它管理过程中涉及的关联记录及文档
注:提供的关联记录和文档应符合《个人信息保护评价申报表》之“单位个人信息保护规章制度与《规范》主要条款对应表”里填写的内容相一致。
(五) 个人信息安全管理体系运行评估报告书(最高领导者签字)
(六) 单位营业执照复印件(盖公章)
(七) 单位宣传手册或简介
三.其它要求
-
提交的申报材料除“个人信息保护评价申报表”需电子文档(word)外,其它的均为A4纸质打印文档,纸质文档装订(活页)后,提交PIPA办公室。
-
-
申报同时请准备好评价费。收费标准详见《个人信息保护评价(PIPA)收费标准》。
-
PIPA办公室受理企业提交的申请后,开始文件审查。在文件审查过程中如果因企业自身原因,文件修改超过3个月(含3个月)而没有重新提交的,PIPA办公室将终止审核,退回受理材料,取消原受理号。
四.受理窗口
大连软件行业协会PIPA管理办公室
联系方式:
受理人:宋悦
电 话:0411-88255657-7
邮 箱:songy@dsia.org.cn
|