The post 國家標準《信息安全技術 網絡數據處理安全要求》11月1日起實施 first appeared on 信息安全咨詢公司.
]]>The post 國家標準《信息安全技術 網絡數據處理安全要求》11月1日起實施 first appeared on 信息安全咨詢公司.
]]>The post GB/T 41479—2022《網絡數據處理安全要求》解讀及應用建議 first appeared on 信息安全咨詢公司.
]]>根據2022年4月15日國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告(2022年第6號),全國信息安全標準化技術委員會歸口的10項國家標準正式發布。其中包括了一項數據安全方面的重點標準:GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》,是數據安全國家標準的核心標準之一,引起了社會的廣泛關注。本標準查閱和獲取方式附后!
本文由標準的牽頭編制單位中國網絡安全審查技術與認證中心的標準參編專家,針對該標準的編制背景、適用范圍、主要內容、關鍵問題等方面進行解讀,并提出應用實施建議,供各界參考:
數據安全審計
GB/T 41479-2022 《信息安全技術?網絡數據處理安全要求》
01? 編制背景
目前,數據安全成為熱點,國際國內均希望通過法律手段加強數據安全保障,一方面要保障國家安全,另一方面要保障公眾權益,同時還要推動數據的應用,保障組織的權益,相關的法律法規也相繼出臺。
為了落實網絡運營者在進行網絡數據處理時的法律責任,特別是落實《數據安全法》的要求,保障網絡運營者的運營數據安全,合法有序利用數據,中國網絡安全審查技術與認證中心牽頭,聯合中國電子技術標準化研究院等單位,研制了《信息安全技術 網絡數據處理安全要求》。
02? 標準主要內容
標準給出了網絡數據處理安全的總體要求、技術要求、管理要求以及突發公共衛生安全事件時的數據處理安全要求。
1.在標準第4章總體要求中,首先明確了網絡數據處理安全的數據識別是基礎、分類分級是根本、風險防控是核心、審計追溯是底線的四項基本原則,即需要完整識別需要保護的數據形成數據保護清單目錄;根據網絡運營者的實際在符合法律法規要求的前提下,對數據進行分類分級管理;全面分析安全影響和安全風險,積極采取有效措施保障數據安全;在整個數據處理過程保證完整的審計日志,確保處理可追溯。
2.標準主要要求體現在第5章中,該部分在進行安全影響分析和風險評估的通則要求基礎上,提出了數據處理安全的技術要求:
(1)標準5.2至5.8中,對應《數據安全法》中提出的數據處理(收集、存儲、使用、加工、傳輸、提供、公開)活動,明確了相應的安全要求:
數據收集方面,對網絡運營者收集個人信息提出了安全要求,并在個人信息保護政策、征得個人信息主體同意、不強制誤導收集等方面進行了細化,針對個人信息收集的具體要求,引用了GB/T 35273—2020的具體內容。此外,在網絡運營者應用標準時,如通過App收集個人信息,相關安全要求見GB/T 41391—2022;
GB/T 41391—2022查閱渠道:標準應用 | (附查閱渠道)GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路
數據存儲方面,對網絡運營者存儲網絡數據提出了安全要求,如安全措施、存儲期限及個人生物特征識別信息的存儲等;同時對于數據接收方存儲數據提出以合同約定安全措施的要求;
數據使用方面,針對定向推送及信息合成及第三方應用管理二方面對網絡運營者提出了要求;
數據加工方面,要求網絡運營者在開展轉換、匯聚、分析等數據加工活動的過程中,知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的,應立即停止加工活動。
數據傳輸方面,對網絡運營者傳輸重要數據及個人敏感信息的安全措施提出了要求,同時對于數據接收方傳輸數據提出以合同約定安全措施的要求;
數據提供方面,從向他人提供及數據出境二類數據提供場景提出了數據安全要求。在向他人提供場景下,要求提供前進行安全影響分析及風險評估,并針對提供個人信息、共享/轉讓重要數據、委托第三方處理數據,及發生收購/兼并/重組/破產情況下的具體要求進行了細化;
數據公開方面,提出公開市場預測、統計等信息的場景下,不應危害國家安全、公共安全、經濟安全和社會穩定。
(2)標準5.9中,提出了私人信息和可轉發信息的處理方式要求;
(3)標準5.10中,提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求,響應了《個人信息保護法》中對個人信息主體權益進行充分保護的相關要求;
(4)標準5.11中,提出了投訴、舉報受理處置的要求,這是平臺責任的角度對網絡運營者提出的具體要求;
(5)標準5.12中,提出了訪問控制與審計的要求;
(6)標準5.13中,提出了數據刪除和匿名化處理,對數據介質銷毀及個人信息的刪除及匿名化等場景下的要求進行了明確。
3.標準第6章中,從數據安全責任人、人力資源能力保障與考核、事件應急處置等三個方面提出了數據處理安全管理要求。但組織可以參考信息安全管理體系要求等相關國際、國家標準完善數據安全管理架構。
4.本標準專門針對突發公共衛生事件專項預案啟動Ⅰ級(特別重大)、Ⅱ級(重大)響應的事件時的數據處理安全要求,以規范性附錄的形式提出了要求,效用與正文等同。附錄就個人信息服務協議、個人信息收集、個人信息調用、人臉識別驗證、信息查閱服務、公開/向他人提供個人信息及改變個人信息用途、應對工作結束后的個人信息處理、日志留存等方面提出了具體要求。
03? 標準應用
(一)提升數據處理安全性
網絡運營者應用標準規范網絡數據處理活動,從而落實《數據安全法》等相關法律對數據安全保護的要求,履行社會責任。
(二)開展數據安全管理認證(DSM)
《數據安全法》第十八條明確指出,國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
網絡運營者應用提升其數據處理安全性的基礎上,通過第三方認證來證明其滿足標準中提出的數據安全基線要求,從而給予社會、公眾和客戶信心。
2022年6月5日,國家市場監督管理總局與國家互聯網信息辦公室聯合發布《關于開展數據安全管理認證工作的公告》(閱讀原文可查看),鼓勵網絡運營者通過認證方式規范網絡數據處理活動,加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立,并按照《數據安全管理認證實施規則》實施認證。《數據安全管理認證實施規則》中,明確數據安全管理認證的依據為GB/T 41479—2022《信息安全技術 網絡數據處理安全要求》。
The post GB/T 41479—2022《網絡數據處理安全要求》解讀及應用建議 first appeared on 信息安全咨詢公司.
]]>The post 數據安全管理認證實施規則 first appeared on 信息安全咨詢公司.
]]>
數據安全認證咨詢
1 適用范圍
本規則依據《中華人民共和國認證認可條例》制定,規定了對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。
2 認證依據
GB/T 41479《信息安全技術 網絡數據處理安全要求》及相關標準規范。
上述標準原則上應當執行國家標準化行政主管部門發布的最新版本。
3 認證模式
數據安全管理認證的認證模式為:
技術驗證+現場審核+獲證后監督
4 認證實施程序
4.1 認證委托
認證機構應當明確認證委托資料要求,包括但不限于認證委托人基本材料、認證委托書、相關證明文檔等。
認證委托人應當按認證機構要求提交認證委托資料,認證機構在對認證委托資料審查后及時反饋是否受理。
認證機構應當根據認證委托資料確定認證方案,包括數據類型和數量、涉及的數據處理活動范圍、技術驗證機構信息等,并通知認證委托人。
4.2 技術驗證
技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和認證委托人出具技術驗證報告。
4.3 現場審核
認證機構實施現場審核,并向認證委托人出具現場審核報告。
4.4 認證結果評價和批準
認證機構根據認證委托資料、技術驗證報告、現場審核報告和其他相關資料信息進行綜合評價,作出認證決定。對符合認證要求的,頒發認證證書;對暫不符合認證要求的,可要求認證委托人限期整改,整改后仍不符合的,以書面形式通知認證委托人終止認證。
如發現認證委托人、網絡運營者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時,認證不予通過。
4.5 獲證后監督
4.5.1 監督的頻次
認證機構應當在認證有效期內,對獲得認證的網絡運營者進行持續監督,并合理確定監督頻次。
4.5.2 監督的內容
認證機構應當采取適當的方式實施獲證后監督,確保獲得認證的網絡運營者持續符合認證要求。
4.5.3 獲證后監督結果的評價
認證機構對獲證后監督結論和其他相關資料信息進行綜合評價,評價通過的,可繼續保持認證證書;不通過的,認證機構應當根據相應情形作出暫停直至撤銷認證證書的處理。
4.6 認證時限
認證機構應當對認證各環節的時限作出明確規定,并確保相關工作按時限要求完成。認證委托人應當對認證活動予以積極配合。
5 認證證書和認證標志
5.1 認證證書
5.1.1 認證證書的保持
認證證書有效期為3年。在有效期內,通過認證機構的獲證后監督,保持認證證書的有效性。
證書到期需延續使用的,認證委托人應當在有效期屆滿前 6個月內提出認證委托。認證機構應當采用獲證后監督的方式,對符合認證要求的委托換發新證書。
5.1.2 認證證書的變更
認證證書有效期內,若獲得認證的網絡運營者名稱、注冊地址,或認證要求、認證范圍等發生變化時,認證委托人應當向認證機構提出變更委托。認證機構根據變更的內容,對變更委托資料進行評價,確定是否可以批準變更。如需進行技術驗證和/或現場審核,還應當在批準變更前進行技術驗證和/或現場審核。
5.1.3 認證證書的注銷、暫停和撤銷
當獲得認證的網絡運營者不再符合認證要求時,認證機構應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內可申請認證證書暫停、注銷。
認證機構應當采用適當方式對外公布被暫停、注銷和撤銷的網絡運營者認證證書。
5.2 認證標志
“ABCD”代表認證機構識別信息。
5.3 認證證書和認證標志的使用
在認證證書有效期內,獲得認證的網絡運營者應當按照有關規定在廣告等宣傳中正確使用認證證書和認證標志,不得對公眾產生誤導。
6 認證實施細則
認證機構應當依據本規則有關要求,細化認證實施程序,制定科學、合理、可操作的認證實施細則,并對外公布實施。
7 認證責任
認證機構應當對現場審核結論、認證結論負責。
技術驗證機構應當對技術驗證結論負責。
認證委托人應當對認證委托資料的真實性、合法性負責。
The post 數據安全管理認證實施規則 first appeared on 信息安全咨詢公司.
]]>The post 申請DSMM認證,需要哪些部門參加 first appeared on 信息安全咨詢公司.
]]>The post 申請DSMM認證,需要哪些部門參加 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證的適用范圍有哪些 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證的適用范圍有哪些 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證評價方法 first appeared on 信息安全咨詢公司.
]]>
DSMM認證評價
The post DSMM認證評價方法 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證貫標流程 first appeared on 信息安全咨詢公司.
]]>
DSMM認證流程
The post DSMM認證貫標流程 first appeared on 信息安全咨詢公司.
]]>The post 初次申請DSMM認證可以申請幾級 first appeared on 信息安全咨詢公司.
]]>申請什么級別主要依據企業的實際情況來判斷,沒有硬性規定初次申請級別的限制。
大部分組織適合申請DSMM2級,DSMM3級適合具有較高數據安全實踐水平的組織申請,DSMM4級適合在數據安全領域建設水平領先的組織申請,DSMM5級暫不開放申請。
The post 初次申請DSMM認證可以申請幾級 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證每個級別有什么區別 first appeared on 信息安全咨詢公司.
]]>L1非正式執行:執行非正式過程,隨機、無序、被動執行安全過程,依賴個人經驗,無法復制。
L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行,但沒有形成體系化,可驗證過程執行與計劃一致,跟蹤、控制執行的進展。
L3充分定義:在組織級別實現了安全過程的規范執行,標準過程進行制度化,過程可重復執行,執行結果可核查。
L4量化控制:建立了量化目標,安全過程可度量。
L5持續優化:根據組織的整體目標,不斷改進和優化組織能力和安全過程有效性。
The post DSMM認證每個級別有什么區別 first appeared on 信息安全咨詢公司.
]]>The post DSMM認證體系的架構 first appeared on 信息安全咨詢公司.
]]>
DSMM認證體系架構
The post DSMM認證體系的架構 first appeared on 信息安全咨詢公司.
]]>