The post 國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》11月1日起實(shí)施 first appeared on ISO27001信息安全咨詢公司.

根據(jù)2022年4月15日國家市場(chǎng)監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)公告（2022年第6號(hào)），全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的10項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項(xiàng)數(shù)據(jù)安全方面的重點(diǎn)標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會(huì)的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專家，針對(duì)該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問題等方面進(jìn)行解讀，并提出應(yīng)用實(shí)施建議，供各界參考：

數(shù)據(jù)安全審計(jì)

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點(diǎn)，國際國內(nèi)均希望通過法律手段加強(qiáng)數(shù)據(jù)安全保障，一方面要保障國家安全，另一方面要保障公眾權(quán)益，同時(shí)還要推動(dòng)數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺(tái)。

為了落實(shí)網(wǎng)絡(luò)運(yùn)營者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時(shí)的法律責(zé)任，特別是落實(shí)《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運(yùn)營者的運(yùn)營數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時(shí)的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識(shí)別是基礎(chǔ)、分類分級(jí)是根本、風(fēng)險(xiǎn)防控是核心、審計(jì)追溯是底線的四項(xiàng)基本原則，即需要完整識(shí)別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄；根據(jù)網(wǎng)絡(luò)運(yùn)營者的實(shí)際在符合法律法規(guī)要求的前提下，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)管理；全面分析安全影響和安全風(fēng)險(xiǎn)，積極采取有效措施保障數(shù)據(jù)安全；在整個(gè)數(shù)據(jù)處理過程保證完整的審計(jì)日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對(duì)應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲(chǔ)、使用、加工、傳輸、提供、公開）活動(dòng)，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對(duì)網(wǎng)絡(luò)運(yùn)營者收集個(gè)人信息提出了安全要求，并在個(gè)人信息保護(hù)政策、征得個(gè)人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對(duì)個(gè)人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運(yùn)營者應(yīng)用標(biāo)準(zhǔn)時(shí)，如通過App收集個(gè)人信息，相關(guān)安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個(gè)人信息基本要求》解讀及實(shí)踐思路

數(shù)據(jù)存儲(chǔ)方面，對(duì)網(wǎng)絡(luò)運(yùn)營者存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲(chǔ)期限及個(gè)人生物特征識(shí)別信息的存儲(chǔ)等；同時(shí)對(duì)于數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對(duì)定向推送及信息合成及第三方應(yīng)用管理二方面對(duì)網(wǎng)絡(luò)運(yùn)營者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運(yùn)營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過程中，知道或者應(yīng)知道可能危害國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。

數(shù)據(jù)傳輸方面，對(duì)網(wǎng)絡(luò)運(yùn)營者傳輸重要數(shù)據(jù)及個(gè)人敏感信息的安全措施提出了要求，同時(shí)對(duì)于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場(chǎng)景提出了數(shù)據(jù)安全要求。在向他人提供場(chǎng)景下，要求提供前進(jìn)行安全影響分析及風(fēng)險(xiǎn)評(píng)估，并針對(duì)提供個(gè)人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開方面，提出公開市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息的場(chǎng)景下，不應(yīng)危害國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對(duì)個(gè)人信息查閱、更正、刪除及用戶賬號(hào)注銷的要求，響應(yīng)了《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報(bào)受理處置的要求，這是平臺(tái)責(zé)任的角度對(duì)網(wǎng)絡(luò)運(yùn)營者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問控制與審計(jì)的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對(duì)數(shù)據(jù)介質(zhì)銷毀及個(gè)人信息的刪除及匿名化等場(chǎng)景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個(gè)方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國際、國家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專門針對(duì)突發(fā)公共衛(wèi)生事件專項(xiàng)預(yù)案啟動(dòng)Ⅰ級(jí)（特別重大）、Ⅱ級(jí)（重大）響應(yīng)的事件時(shí)的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個(gè)人信息服務(wù)協(xié)議、個(gè)人信息收集、個(gè)人信息調(diào)用、人臉識(shí)別驗(yàn)證、信息查閱服務(wù)、公開/向他人提供個(gè)人信息及改變個(gè)人信息用途、應(yīng)對(duì)工作結(jié)束后的個(gè)人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運(yùn)營者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，從而落實(shí)《數(shù)據(jù)安全法》等相關(guān)法律對(duì)數(shù)據(jù)安全保護(hù)的要求，履行社會(huì)責(zé)任。

（二）開展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。

網(wǎng)絡(luò)運(yùn)營者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過第三方認(rèn)證來證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求，從而給予社會(huì)、公眾和客戶信心。

2022年6月5日，國家市場(chǎng)監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵(lì)網(wǎng)絡(luò)運(yùn)營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》實(shí)施認(rèn)證?！稊?shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

The post GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議 first appeared on ISO27001信息安全咨詢公司.

數(shù)據(jù)安全認(rèn)證咨詢

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》制定，規(guī)定了對(duì)網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。

2 認(rèn)證依據(jù)

GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

上述標(biāo)準(zhǔn)原則上應(yīng)當(dāng)執(zhí)行國家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。

3 認(rèn)證模式

數(shù)據(jù)安全管理認(rèn)證的認(rèn)證模式為：

技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督

4 認(rèn)證實(shí)施程序

4.1 認(rèn)證委托

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求，包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書、相關(guān)證明文檔等。

認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料，認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托資料審查后及時(shí)反饋是否受理。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案，包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等，并通知認(rèn)證委托人。

4.2 技術(shù)驗(yàn)證

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證，并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告。

4.3 現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。

4.4 認(rèn)證結(jié)果評(píng)價(jià)和批準(zhǔn)

認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，作出認(rèn)證決定。對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書；對(duì)暫不符合認(rèn)證要求的，可要求認(rèn)證委托人限期整改，整改后仍不符合的，以書面形式通知認(rèn)證委托人終止認(rèn)證。

如發(fā)現(xiàn)認(rèn)證委托人、網(wǎng)絡(luò)運(yùn)營者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實(shí)施的行為時(shí)，認(rèn)證不予通過。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)，對(duì)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄?shí)施獲證后監(jiān)督，確保獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營者持續(xù)符合認(rèn)證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評(píng)價(jià)

認(rèn)證機(jī)構(gòu)對(duì)獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，評(píng)價(jià)通過的，可繼續(xù)保持認(rèn)證證書；不通過的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書的處理。

4.6 認(rèn)證時(shí)限

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)認(rèn)證各環(huán)節(jié)的時(shí)限作出明確規(guī)定，并確保相關(guān)工作按時(shí)限要求完成。認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證活動(dòng)予以積極配合。

5 認(rèn)證證書和認(rèn)證標(biāo)志

5.1 認(rèn)證證書

5.1.1 認(rèn)證證書的保持

認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。

證書到期需延續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前 6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對(duì)符合認(rèn)證要求的委托換發(fā)新證書。

5.1.2 認(rèn)證證書的變更

認(rèn)證證書有效期內(nèi)，若獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營者名稱、注冊(cè)地址，或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時(shí)，認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機(jī)構(gòu)提出變更委托。認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容，對(duì)變更委托資料進(jìn)行評(píng)價(jià)，確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核，還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核。

5.1.3 認(rèn)證證書的注銷、暫停和撤銷

當(dāng)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營者不再符合認(rèn)證要求時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請(qǐng)認(rèn)證證書暫停、注銷。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對(duì)外公布被暫停、注銷和撤銷的網(wǎng)絡(luò)運(yùn)營者認(rèn)證證書。

5.2 認(rèn)證標(biāo)志

“ABCD”代表認(rèn)證機(jī)構(gòu)識(shí)別信息。

5.3 認(rèn)證證書和認(rèn)證標(biāo)志的使用

在認(rèn)證證書有效期內(nèi)，獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書和認(rèn)證標(biāo)志，不得對(duì)公眾產(chǎn)生誤導(dǎo)。

6 認(rèn)證實(shí)施細(xì)則

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求，細(xì)化認(rèn)證實(shí)施程序，制定科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則，并對(duì)外公布實(shí)施。

7 認(rèn)證責(zé)任

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)現(xiàn)場(chǎng)審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)技術(shù)驗(yàn)證結(jié)論負(fù)責(zé)。

認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證委托資料的真實(shí)性、合法性負(fù)責(zé)。

The post 數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則 first appeared on ISO27001信息安全咨詢公司.