關(guān)于開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作的公告

數(shù)據(jù)安全認(rèn)證咨詢

國(guó)家市場(chǎng)監(jiān)督管理總局 國(guó)家互聯(lián)網(wǎng)信息辦公室公告2022年第18號(hào)

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《中華人民共和國(guó)認(rèn)證認(rèn)可條例》有關(guān)規(guī)定，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家互聯(lián)網(wǎng)信息辦公室決定開(kāi)展數(shù)據(jù)安全管理認(rèn)證工作，鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》（見(jiàn)附件）實(shí)施認(rèn)證。

特此公告。

附件：數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則

國(guó)家市場(chǎng)監(jiān)督管理總局 國(guó)家互聯(lián)網(wǎng)信息辦公室
2022年6月5日

國(guó)家市場(chǎng)監(jiān)督管理總局、中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求（GB/T 41479-2022）》，將于11月1日施行。
標(biāo)準(zhǔn)自2019年立項(xiàng)、2020年8月面向社會(huì)公開(kāi)征求意見(jiàn)至今，經(jīng)歷多次修改審定，從責(zé)任界定、平臺(tái)處理等多個(gè)角度提出了規(guī)范，更加符合當(dāng)下網(wǎng)絡(luò)數(shù)據(jù)處理的現(xiàn)實(shí)，更加務(wù)實(shí)。
該項(xiàng)標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等數(shù)據(jù)處理的安全技術(shù)與管理要求；適用于網(wǎng)絡(luò)運(yùn)營(yíng)者規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理，以及監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理進(jìn)行監(jiān)督管理和評(píng)估。

此次標(biāo)準(zhǔn)的具體內(nèi)容從數(shù)據(jù)識(shí)別、分級(jí)分類、風(fēng)險(xiǎn)防控、審計(jì)追溯等方面提出數(shù)據(jù)處理的總體要求，包括技術(shù)要求、管理要求等。

●?數(shù)據(jù)識(shí)別

在標(biāo)準(zhǔn)第4.1條中明確要求，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)識(shí)別數(shù)據(jù)處理中涉及的數(shù)據(jù)，包括個(gè)人信息、重要數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)保護(hù)目錄并及時(shí)更新。

●?分類分級(jí)

在標(biāo)準(zhǔn)第4.2條中明確要求，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)，對(duì)所識(shí)別的數(shù)據(jù)進(jìn)行分類分級(jí)管理。

●?訪問(wèn)控制

在標(biāo)準(zhǔn)第5.12條中提及，網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展數(shù)據(jù)處理活動(dòng)時(shí)，明確相關(guān)人員的訪問(wèn)權(quán)限，防止未授權(quán)訪問(wèn)。對(duì)重要數(shù)據(jù)、個(gè)人信息的關(guān)鍵操作（修改、拷貝、刪除、下載等），涉及內(nèi)部審批和審計(jì)流程。

●?安全審計(jì)

在標(biāo)準(zhǔn)第4.2條中明確要求，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)數(shù)據(jù)處理的全生命周期進(jìn)行記錄，確保數(shù)據(jù)處理可審計(jì)、可追溯。

●?風(fēng)險(xiǎn)防控

標(biāo)準(zhǔn)第5.7條，網(wǎng)絡(luò)運(yùn)營(yíng)者在傳輸、提供 重要數(shù)據(jù)和敏感個(gè)人信息時(shí)，采取加密、脫敏等技術(shù)。

信息安全咨詢公司