The post 國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》11月1日起實施 first appeared on 信息安全咨詢公司.

根據(jù)2022年4月15日國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告（2022年第6號），全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的10項國家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項數(shù)據(jù)安全方面的重點標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專家，針對該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問題等方面進(jìn)行解讀，并提出應(yīng)用實施建議，供各界參考：

數(shù)據(jù)安全審計

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點，國際國內(nèi)均希望通過法律手段加強數(shù)據(jù)安全保障，一方面要保障國家安全，另一方面要保障公眾權(quán)益，同時還要推動數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺。

為了落實網(wǎng)絡(luò)運營者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時的法律責(zé)任，特別是落實《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運營者的運營數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)、分類分級是根本、風(fēng)險防控是核心、審計追溯是底線的四項基本原則，即需要完整識別需要保護的數(shù)據(jù)形成數(shù)據(jù)保護清單目錄；根據(jù)網(wǎng)絡(luò)運營者的實際在符合法律法規(guī)要求的前提下，對數(shù)據(jù)進(jìn)行分類分級管理；全面分析安全影響和安全風(fēng)險，積極采取有效措施保障數(shù)據(jù)安全；在整個數(shù)據(jù)處理過程保證完整的審計日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險評估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸、提供、公開）活動，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對網(wǎng)絡(luò)運營者收集個人信息提出了安全要求，并在個人信息保護政策、征得個人信息主體同意、不強制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對個人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)時，如通過App收集個人信息，相關(guān)安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路

數(shù)據(jù)存儲方面，對網(wǎng)絡(luò)運營者存儲網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲期限及個人生物特征識別信息的存儲等；同時對于數(shù)據(jù)接收方存儲數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對定向推送及信息合成及第三方應(yīng)用管理二方面對網(wǎng)絡(luò)運營者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動的過程中，知道或者應(yīng)知道可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的，應(yīng)立即停止加工活動。

數(shù)據(jù)傳輸方面，對網(wǎng)絡(luò)運營者傳輸重要數(shù)據(jù)及個人敏感信息的安全措施提出了要求，同時對于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場景提出了數(shù)據(jù)安全要求。在向他人提供場景下，要求提供前進(jìn)行安全影響分析及風(fēng)險評估，并針對提供個人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開方面，提出公開市場預(yù)測、統(tǒng)計等信息的場景下，不應(yīng)危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求，響應(yīng)了《個人信息保護法》中對個人信息主體權(quán)益進(jìn)行充分保護的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報受理處置的要求，這是平臺責(zé)任的角度對網(wǎng)絡(luò)運營者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問控制與審計的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對數(shù)據(jù)介質(zhì)銷毀及個人信息的刪除及匿名化等場景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國際、國家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專門針對突發(fā)公共衛(wèi)生事件專項預(yù)案啟動Ⅰ級（特別重大）、Ⅱ級（重大）響應(yīng)的事件時的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個人信息服務(wù)協(xié)議、個人信息收集、個人信息調(diào)用、人臉識別驗證、信息查閱服務(wù)、公開/向他人提供個人信息及改變個人信息用途、應(yīng)對工作結(jié)束后的個人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運營者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，從而落實《數(shù)據(jù)安全法》等相關(guān)法律對數(shù)據(jù)安全保護的要求，履行社會責(zé)任。

（二）開展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國家促進(jìn)數(shù)據(jù)安全檢測評估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評估、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動。

網(wǎng)絡(luò)運營者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過第三方認(rèn)證來證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求，從而給予社會、公眾和客戶信心。

2022年6月5日，國家市場監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵網(wǎng)絡(luò)運營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，加強網(wǎng)絡(luò)數(shù)據(jù)安全保護。從事數(shù)據(jù)安全管理認(rèn)證活動的認(rèn)證機構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實施規(guī)則》實施認(rèn)證?！稊?shù)據(jù)安全管理認(rèn)證實施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

The post GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議 first appeared on 信息安全咨詢公司.

數(shù)據(jù)安全認(rèn)證咨詢

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》制定，規(guī)定了對網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動進(jìn)行認(rèn)證的基本原則和要求。

2 認(rèn)證依據(jù)

GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

上述標(biāo)準(zhǔn)原則上應(yīng)當(dāng)執(zhí)行國家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。

3 認(rèn)證模式

數(shù)據(jù)安全管理認(rèn)證的認(rèn)證模式為：

技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督

4 認(rèn)證實施程序

4.1 認(rèn)證委托

認(rèn)證機構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求，包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書、相關(guān)證明文檔等。

認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機構(gòu)要求提交認(rèn)證委托資料，認(rèn)證機構(gòu)在對認(rèn)證委托資料審查后及時反饋是否受理。

認(rèn)證機構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案，包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動范圍、技術(shù)驗證機構(gòu)信息等，并通知認(rèn)證委托人。

4.2 技術(shù)驗證

技術(shù)驗證機構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實施技術(shù)驗證，并向認(rèn)證機構(gòu)和認(rèn)證委托人出具技術(shù)驗證報告。

4.3 現(xiàn)場審核

認(rèn)證機構(gòu)實施現(xiàn)場審核，并向認(rèn)證委托人出具現(xiàn)場審核報告。

4.4 認(rèn)證結(jié)果評價和批準(zhǔn)

認(rèn)證機構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗證報告、現(xiàn)場審核報告和其他相關(guān)資料信息進(jìn)行綜合評價，作出認(rèn)證決定。對符合認(rèn)證要求的，頒發(fā)認(rèn)證證書；對暫不符合認(rèn)證要求的，可要求認(rèn)證委托人限期整改，整改后仍不符合的，以書面形式通知認(rèn)證委托人終止認(rèn)證。

如發(fā)現(xiàn)認(rèn)證委托人、網(wǎng)絡(luò)運營者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實施的行為時，認(rèn)證不予通過。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認(rèn)證機構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)，對獲得認(rèn)證的網(wǎng)絡(luò)運營者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認(rèn)證機構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄嵤┇@證后監(jiān)督，確保獲得認(rèn)證的網(wǎng)絡(luò)運營者持續(xù)符合認(rèn)證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評價

認(rèn)證機構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評價，評價通過的，可繼續(xù)保持認(rèn)證證書；不通過的，認(rèn)證機構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書的處理。

4.6 認(rèn)證時限

認(rèn)證機構(gòu)應(yīng)當(dāng)對認(rèn)證各環(huán)節(jié)的時限作出明確規(guī)定，并確保相關(guān)工作按時限要求完成。認(rèn)證委托人應(yīng)當(dāng)對認(rèn)證活動予以積極配合。

5 認(rèn)證證書和認(rèn)證標(biāo)志

5.1 認(rèn)證證書

5.1.1 認(rèn)證證書的保持

認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。

證書到期需延續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前 6個月內(nèi)提出認(rèn)證委托。認(rèn)證機構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對符合認(rèn)證要求的委托換發(fā)新證書。

5.1.2 認(rèn)證證書的變更

認(rèn)證證書有效期內(nèi)，若獲得認(rèn)證的網(wǎng)絡(luò)運營者名稱、注冊地址，或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時，認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機構(gòu)提出變更委托。認(rèn)證機構(gòu)根據(jù)變更的內(nèi)容，對變更委托資料進(jìn)行評價，確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗證和/或現(xiàn)場審核，還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗證和/或現(xiàn)場審核。

5.1.3 認(rèn)證證書的注銷、暫停和撤銷

當(dāng)獲得認(rèn)證的網(wǎng)絡(luò)運營者不再符合認(rèn)證要求時，認(rèn)證機構(gòu)應(yīng)當(dāng)及時對認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請認(rèn)證證書暫停、注銷。

認(rèn)證機構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對外公布被暫停、注銷和撤銷的網(wǎng)絡(luò)運營者認(rèn)證證書。

5.2 認(rèn)證標(biāo)志

“ABCD”代表認(rèn)證機構(gòu)識別信息。

5.3 認(rèn)證證書和認(rèn)證標(biāo)志的使用

在認(rèn)證證書有效期內(nèi)，獲得認(rèn)證的網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書和認(rèn)證標(biāo)志，不得對公眾產(chǎn)生誤導(dǎo)。

6 認(rèn)證實施細(xì)則

認(rèn)證機構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求，細(xì)化認(rèn)證實施程序，制定科學(xué)、合理、可操作的認(rèn)證實施細(xì)則，并對外公布實施。

7 認(rèn)證責(zé)任

認(rèn)證機構(gòu)應(yīng)當(dāng)對現(xiàn)場審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。

技術(shù)驗證機構(gòu)應(yīng)當(dāng)對技術(shù)驗證結(jié)論負(fù)責(zé)。

認(rèn)證委托人應(yīng)當(dāng)對認(rèn)證委托資料的真實性、合法性負(fù)責(zé)。

The post 數(shù)據(jù)安全管理認(rèn)證實施規(guī)則 first appeared on 信息安全咨詢公司.

The post 申請DSMM認(rèn)證，需要哪些部門參加 first appeared on 信息安全咨詢公司.

The post DSMM認(rèn)證的適用范圍有哪些 first appeared on 信息安全咨詢公司.

DSMM認(rèn)證評價

The post DSMM認(rèn)證評價方法 first appeared on 信息安全咨詢公司.

DSMM認(rèn)證流程

The post DSMM認(rèn)證貫標(biāo)流程 first appeared on 信息安全咨詢公司.

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。
大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM5級暫不開放申請。

The post 初次申請DSMM認(rèn)證可以申請幾級 first appeared on 信息安全咨詢公司.

The post DSMM認(rèn)證每個級別有什么區(qū)別 first appeared on 信息安全咨詢公司.

DSMM認(rèn)證體系架構(gòu)

The post DSMM認(rèn)證體系的架構(gòu) first appeared on 信息安全咨詢公司.