您的位置:360文档中心› GDPR通用数据保护条例认证规则

GDPR通用数据保护条例认证规则

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

编号:BMS-SC-051 GDRP通用数据保护条例认证规则版本:A

发行日期:20190528 GDPR通用数据保护条例认证规则

目录

1.标准简介

2.适用范围

3. 认证基本原则

4. 对认证人员的要求

5. 申请和合同评审程序

6.审核准备

7. 初次认证审核

8. 审核实现

9.认证决定

10. 暂停、撤销和取消

11. 受理申诉和投诉

12. 认证记录管理

附录 A 通用数据保护条例认证人天计算表

必维认证(北京)有限公司 1

编号:BMS-SC-051 GDRP通用数据保护条例认证规则版本:A

发行日期:20190528

1 标准简介

2018年5 月25日正式生效的GDRP通用数据保护条例旨在加强对个人(自然人)数据隐私的保护,并统一之前欧盟区内分散化的个人数据保护法律法规。GDPR是迄今为止覆盖面最广的全球性数据隐私保护法规,任何处理欧盟公民个人数据的组织都必须遵守该条例,无论该组织设立地是否在欧盟。新条例的通过意味着欧盟对个人信息保护及监管,达到了前所未有的高度,堪称史上最严格的数据保护条例。

2 适用范围

2.1本规则用于规范必维认证(北京)有限公司(以下简称“必维”)对申请认证和获证的各类组织按照GDRP《通用数据保护条例-要求》建立通用数据保护技术标准管理体系的认证活动。

2.2本规则是对必维从事基于通用数据保护条例建立的技术标准管理体系认证活动的基本要求,公司各部门从事该项认证活动应当遵守本规则。

3 认证基本原则

3.1公正性:保持公正,是提供第三方认证的必要条件。公司通过合同评审、技术评审、审核准备和实现等过程控制,确保审核过程是公正的、客观的。

3.2 能力:能力是指经证实的应用知识和技能的本领。公司通过审核人员管理机制,保障的人员能力是提供可建立信心的认证审核的必要条件。

3.3 责任:公司基于合理抽样、足够的客观证据基础上进行审核和评价,并在此基础上做出认证决定。

3.4 开放性:为确保诚信性与可信性,公司采用透明运营的方式,公布有关通用数据保护条例认证审核过程和状态的适宜、及时的信息,或提供获取上述信息的公开渠道。

3.5 保密性:公司采取措施对任何关于客户的专有信息予以保密,但对于享有

必维认证(北京)有限公司 2

编号:BMS-SC-051 GDRP通用数据保护条例认证规则版本:A

发行日期:20190528

获取充分评价认证审核符合性所需的信息的特别权利是必不可少的。

3.6 对投诉的回应:公司依据《投诉和申诉流程》,对投诉和申诉进行调查和适当处理。

4 对认证人员的要求

为了确保审核能力,公司基于ISO 19011的要求,对符合通用数据保护条例要求的技术标准管理体系审核员、主任审核员、技术专家进行资格审批和管理。成为审核员,需要满足以下条件要求:

4.1 职业素养的要求

审核人员应具备以下职业素养:

1)独立性:保持独立性和客观性,不带偏见,无利益冲突。

2)道德行为:诚信、正直、保守秘密和谨慎。

3)公正表达:真实准确反映审核活动、发现、结论和报告。

4)职业素养:具备职业谨慎和判断力,具备从事审核、认证所需的技能。

5)思想开明:即愿意考虑不同意见或观点。

6)坚韧不拔:即能够采取负责任的及合理的行动,即使这些行动可能是非常规的和有时可能导致分歧和冲突

7)基于证据的方法:在一个系统的审核过程中,得出可信的和可重现的审核结论的合理方法

注:独立性、道德行为、公正表达和职业素养等原则参考了GB/T 19011-2011

中的相应内容。

4.2 审核员及主任审核员的能力

必维依据 ISO 17021要求,对每个技术领域所需的能力,对相关具体的认证方案,认证活动中的职责和作用进行了确定。审核员的能力使用能力审查表格被必维确认和记录。

必维认证(北京)有限公司 3

编号:BMS-SC-051 GDRP通用数据保护条例认证规则版本:A

发行日期:20190528

通用数据保护条例审核员通常是具有ISO 9001主任审核员资格或ISO27001主任审核员资格, 经培训并获得数据保护认证主任审核员证书, 经有资格的人员批准成为GDPR审核员或主任审核员.

4.3 产品经理

基于培训和经验的基础上,由公司管理层任命。

4.4 技术专家

技术专家可以为审核组提供技术支持与特定的法规知识输入及相关的专业知识。

4.5 认证决定能力

公司POV(否决权)的职能是进行认证申请评审和做出认证决定。POV由技术经理进行资格批准。

5申请和合同评审

5.1 认证申请

收到潜在客户的要求,当地的销售人员会向组织发送《GDRP认证申请表》,便于组织提供认证所需的信息。

5.2审核人天的确定

5.2.1 初审人天确定标准

基于通用数据保护条例有效人员,计算审核需要的人天表(以下简称附表1)。审核人天包括现场审核人天和非现场时间,非现场包括审核策划,文件评审和审核报告的时间。一阶段审核人天通常为整个初审人天的20%-25%。一、二阶段审核之间的间隔不得超过6个月,即二阶段的第一天审核不应该在一阶段审核结束180天之后进行。

5.2.2 审核人日计算的调整因素

审核人天的增加或减少需要考虑客户特定的复杂程度(是否多地址、体系、过程、产品和服务)。具体见BV销售文件。

必维认证(北京)有限公司 4

相关文档
最新文档