The post 數(shù)據(jù)安全管理認(rèn)證實施規(guī)則 first appeared on ISO27001信息安全咨詢公司.
]]>1 適用范圍
本規(guī)則依據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》制定,規(guī)定了對網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動進(jìn)行認(rèn)證的基本原則和要求。
2 認(rèn)證依據(jù)
GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。
上述標(biāo)準(zhǔn)原則上應(yīng)當(dāng)執(zhí)行國家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。
3 認(rèn)證模式
數(shù)據(jù)安全管理認(rèn)證的認(rèn)證模式為:
技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督
4 認(rèn)證實施程序
4.1 認(rèn)證委托
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求,包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書、相關(guān)證明文檔等。
認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料,認(rèn)證機(jī)構(gòu)在對認(rèn)證委托資料審查后及時反饋是否受理。
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案,包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動范圍、技術(shù)驗證機(jī)構(gòu)信息等,并通知認(rèn)證委托人。
4.2 技術(shù)驗證
技術(shù)驗證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實施技術(shù)驗證,并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗證報告。
4.3 現(xiàn)場審核
認(rèn)證機(jī)構(gòu)實施現(xiàn)場審核,并向認(rèn)證委托人出具現(xiàn)場審核報告。
4.4 認(rèn)證結(jié)果評價和批準(zhǔn)
認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗證報告、現(xiàn)場審核報告和其他相關(guān)資料信息進(jìn)行綜合評價,作出認(rèn)證決定。對符合認(rèn)證要求的,頒發(fā)認(rèn)證證書;對暫不符合認(rèn)證要求的,可要求認(rèn)證委托人限期整改,整改后仍不符合的,以書面形式通知認(rèn)證委托人終止認(rèn)證。
如發(fā)現(xiàn)認(rèn)證委托人、網(wǎng)絡(luò)運營者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實施的行為時,認(rèn)證不予通過。
4.5 獲證后監(jiān)督
4.5.1 監(jiān)督的頻次
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi),對獲得認(rèn)證的網(wǎng)絡(luò)運營者進(jìn)行持續(xù)監(jiān)督,并合理確定監(jiān)督頻次。
4.5.2 監(jiān)督的內(nèi)容
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄嵤┇@證后監(jiān)督,確保獲得認(rèn)證的網(wǎng)絡(luò)運營者持續(xù)符合認(rèn)證要求。
4.5.3 獲證后監(jiān)督結(jié)果的評價
認(rèn)證機(jī)構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評價,評價通過的,可繼續(xù)保持認(rèn)證證書;不通過的,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書的處理。
4.6 認(rèn)證時限
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對認(rèn)證各環(huán)節(jié)的時限作出明確規(guī)定,并確保相關(guān)工作按時限要求完成。認(rèn)證委托人應(yīng)當(dāng)對認(rèn)證活動予以積極配合。
5 認(rèn)證證書和認(rèn)證標(biāo)志
5.1 認(rèn)證證書
5.1.1 認(rèn)證證書的保持
認(rèn)證證書有效期為3年。在有效期內(nèi),通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督,保持認(rèn)證證書的有效性。
證書到期需延續(xù)使用的,認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前 6個月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式,對符合認(rèn)證要求的委托換發(fā)新證書。
5.1.2 認(rèn)證證書的變更
認(rèn)證證書有效期內(nèi),若獲得認(rèn)證的網(wǎng)絡(luò)運營者名稱、注冊地址,或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時,認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機(jī)構(gòu)提出變更委托。認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容,對變更委托資料進(jìn)行評價,確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗證和/或現(xiàn)場審核,還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗證和/或現(xiàn)場審核。
5.1.3 認(rèn)證證書的注銷、暫停和撤銷
當(dāng)獲得認(rèn)證的網(wǎng)絡(luò)運營者不再符合認(rèn)證要求時,認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時對認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請認(rèn)證證書暫停、注銷。
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對外公布被暫停、注銷和撤銷的網(wǎng)絡(luò)運營者認(rèn)證證書。
5.2 認(rèn)證標(biāo)志
“ABCD”代表認(rèn)證機(jī)構(gòu)識別信息。
5.3 認(rèn)證證書和認(rèn)證標(biāo)志的使用
在認(rèn)證證書有效期內(nèi),獲得認(rèn)證的網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書和認(rèn)證標(biāo)志,不得對公眾產(chǎn)生誤導(dǎo)。
6 認(rèn)證實施細(xì)則
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求,細(xì)化認(rèn)證實施程序,制定科學(xué)、合理、可操作的認(rèn)證實施細(xì)則,并對外公布實施。
7 認(rèn)證責(zé)任
認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對現(xiàn)場審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。
技術(shù)驗證機(jī)構(gòu)應(yīng)當(dāng)對技術(shù)驗證結(jié)論負(fù)責(zé)。
認(rèn)證委托人應(yīng)當(dāng)對認(rèn)證委托資料的真實性、合法性負(fù)責(zé)。
The post 數(shù)據(jù)安全管理認(rèn)證實施規(guī)則 first appeared on ISO27001信息安全咨詢公司.
]]>The post 安賽咨詢?yōu)槟持L(fēng)電企業(yè)提供數(shù)據(jù)安全咨詢服務(wù) first appeared on ISO27001信息安全咨詢公司.
]]>安賽咨詢提供方提供的數(shù)據(jù)安全管理咨詢服務(wù)內(nèi)容包括以下內(nèi)容:
(一)數(shù)據(jù)安全現(xiàn)狀調(diào)研及數(shù)據(jù)分級分類
(二)數(shù)據(jù)安全風(fēng)險評估
(三)數(shù)據(jù)安全管理體系總體設(shè)計
(四) 數(shù)據(jù)安全控制措施制訂
等等
The post 安賽咨詢?yōu)槟持L(fēng)電企業(yè)提供數(shù)據(jù)安全咨詢服務(wù) first appeared on ISO27001信息安全咨詢公司.
]]>