The post 國家標準《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》11月1日起實施 first appeared on ISO27001信息安全咨詢公司.

根據(jù)2022年4月15日國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布的中華人民共和國國家標準公告（2022年第6號），全國信息安全標準化技術(shù)委員會歸口的10項國家標準正式發(fā)布。其中包括了一項數(shù)據(jù)安全方面的重點標準：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國家標準的核心標準之一，引起了社會的廣泛關(guān)注。本標準查閱和獲取方式附后！

本文由標準的牽頭編制單位中國網(wǎng)絡安全審查技術(shù)與認證中心的標準參編專家，針對該標準的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問題等方面進行解讀，并提出應用實施建議，供各界參考：

數(shù)據(jù)安全審計

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點，國際國內(nèi)均希望通過法律手段加強數(shù)據(jù)安全保障，一方面要保障國家安全，另一方面要保障公眾權(quán)益，同時還要推動數(shù)據(jù)的應用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺。

為了落實網(wǎng)絡運營者在進行網(wǎng)絡數(shù)據(jù)處理時的法律責任，特別是落實《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡運營者的運營數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國網(wǎng)絡安全審查技術(shù)與認證中心牽頭，聯(lián)合中國電子技術(shù)標準化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》。

02? 標準主要內(nèi)容

標準給出了網(wǎng)絡數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時的數(shù)據(jù)處理安全要求。

1.在標準第4章總體要求中，首先明確了網(wǎng)絡數(shù)據(jù)處理安全的數(shù)據(jù)識別是基礎(chǔ)、分類分級是根本、風險防控是核心、審計追溯是底線的四項基本原則，即需要完整識別需要保護的數(shù)據(jù)形成數(shù)據(jù)保護清單目錄；根據(jù)網(wǎng)絡運營者的實際在符合法律法規(guī)要求的前提下，對數(shù)據(jù)進行分類分級管理；全面分析安全影響和安全風險，積極采取有效措施保障數(shù)據(jù)安全；在整個數(shù)據(jù)處理過程保證完整的審計日志，確保處理可追溯。

2.標準主要要求體現(xiàn)在第5章中，該部分在進行安全影響分析和風險評估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標準5.2至5.8中，對應《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲、使用、加工、傳輸、提供、公開）活動，明確了相應的安全要求：

數(shù)據(jù)收集方面，對網(wǎng)絡運營者收集個人信息提出了安全要求，并在個人信息保護政策、征得個人信息主體同意、不強制誤導收集等方面進行了細化，針對個人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡運營者應用標準時，如通過App收集個人信息，相關(guān)安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標準應用 | （附查閱渠道）GB/T 41391-2022《App收集個人信息基本要求》解讀及實踐思路

數(shù)據(jù)存儲方面，對網(wǎng)絡運營者存儲網(wǎng)絡數(shù)據(jù)提出了安全要求，如安全措施、存儲期限及個人生物特征識別信息的存儲等；同時對于數(shù)據(jù)接收方存儲數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對定向推送及信息合成及第三方應用管理二方面對網(wǎng)絡運營者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡運營者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動的過程中，知道或者應知道可能危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的，應立即停止加工活動。

數(shù)據(jù)傳輸方面，對網(wǎng)絡運營者傳輸重要數(shù)據(jù)及個人敏感信息的安全措施提出了要求，同時對于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場景提出了數(shù)據(jù)安全要求。在向他人提供場景下，要求提供前進行安全影響分析及風險評估，并針對提供個人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購/兼并/重組/破產(chǎn)情況下的具體要求進行了細化；

數(shù)據(jù)公開方面，提出公開市場預測、統(tǒng)計等信息的場景下，不應危害國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定。

（2）標準5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標準5.10中，提出了對個人信息查閱、更正、刪除及用戶賬號注銷的要求，響應了《個人信息保護法》中對個人信息主體權(quán)益進行充分保護的相關(guān)要求；

（4）標準5.11中，提出了投訴、舉報受理處置的要求，這是平臺責任的角度對網(wǎng)絡運營者提出的具體要求；

（5）標準5.12中，提出了訪問控制與審計的要求；

（6）標準5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對數(shù)據(jù)介質(zhì)銷毀及個人信息的刪除及匿名化等場景下的要求進行了明確。

3.標準第6章中，從數(shù)據(jù)安全責任人、人力資源能力保障與考核、事件應急處置等三個方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國際、國家標準完善數(shù)據(jù)安全管理架構(gòu)。

4.本標準專門針對突發(fā)公共衛(wèi)生事件專項預案啟動Ⅰ級（特別重大）、Ⅱ級（重大）響應的事件時的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個人信息服務協(xié)議、個人信息收集、個人信息調(diào)用、人臉識別驗證、信息查閱服務、公開/向他人提供個人信息及改變個人信息用途、應對工作結(jié)束后的個人信息處理、日志留存等方面提出了具體要求。

03? 標準應用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡運營者應用標準規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，從而落實《數(shù)據(jù)安全法》等相關(guān)法律對數(shù)據(jù)安全保護的要求，履行社會責任。

（二）開展數(shù)據(jù)安全管理認證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國家促進數(shù)據(jù)安全檢測評估、認證等服務的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務活動。

網(wǎng)絡運營者應用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過第三方認證來證明其滿足標準中提出的數(shù)據(jù)安全基線要求，從而給予社會、公眾和客戶信心。

2022年6月5日，國家市場監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認證工作的公告》（閱讀原文可查看），鼓勵網(wǎng)絡運營者通過認證方式規(guī)范網(wǎng)絡數(shù)據(jù)處理活動，加強網(wǎng)絡數(shù)據(jù)安全保護。從事數(shù)據(jù)安全管理認證活動的認證機構(gòu)應當依法設(shè)立，并按照《數(shù)據(jù)安全管理認證實施規(guī)則》實施認證。《數(shù)據(jù)安全管理認證實施規(guī)則》中，明確數(shù)據(jù)安全管理認證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》。

The post GB/T 41479—2022《網(wǎng)絡數(shù)據(jù)處理安全要求》解讀及應用建議 first appeared on ISO27001信息安全咨詢公司.

數(shù)據(jù)安全認證咨詢

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國認證認可條例》制定，規(guī)定了對網(wǎng)絡運營者開展網(wǎng)絡數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。

2 認證依據(jù)

GB/T 41479《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》及相關(guān)標準規(guī)范。

上述標準原則上應當執(zhí)行國家標準化行政主管部門發(fā)布的最新版本。

3 認證模式

數(shù)據(jù)安全管理認證的認證模式為：

技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督

4 認證實施程序

4.1 認證委托

認證機構(gòu)應當明確認證委托資料要求，包括但不限于認證委托人基本材料、認證委托書、相關(guān)證明文檔等。

認證委托人應當按認證機構(gòu)要求提交認證委托資料，認證機構(gòu)在對認證委托資料審查后及時反饋是否受理。

認證機構(gòu)應當根據(jù)認證委托資料確定認證方案，包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動范圍、技術(shù)驗證機構(gòu)信息等，并通知認證委托人。

4.2 技術(shù)驗證

技術(shù)驗證機構(gòu)應當按照認證方案實施技術(shù)驗證，并向認證機構(gòu)和認證委托人出具技術(shù)驗證報告。

4.3 現(xiàn)場審核

認證機構(gòu)實施現(xiàn)場審核，并向認證委托人出具現(xiàn)場審核報告。

4.4 認證結(jié)果評價和批準

認證機構(gòu)根據(jù)認證委托資料、技術(shù)驗證報告、現(xiàn)場審核報告和其他相關(guān)資料信息進行綜合評價，作出認證決定。對符合認證要求的，頒發(fā)認證證書；對暫不符合認證要求的，可要求認證委托人限期整改，整改后仍不符合的，以書面形式通知認證委托人終止認證。

如發(fā)現(xiàn)認證委托人、網(wǎng)絡運營者存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為時，認證不予通過。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認證機構(gòu)應當在認證有效期內(nèi)，對獲得認證的網(wǎng)絡運營者進行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認證機構(gòu)應當采取適當?shù)姆绞綄嵤┇@證后監(jiān)督，確保獲得認證的網(wǎng)絡運營者持續(xù)符合認證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評價

認證機構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進行綜合評價，評價通過的，可繼續(xù)保持認證證書；不通過的，認證機構(gòu)應當根據(jù)相應情形作出暫停直至撤銷認證證書的處理。

4.6 認證時限

認證機構(gòu)應當對認證各環(huán)節(jié)的時限作出明確規(guī)定，并確保相關(guān)工作按時限要求完成。認證委托人應當對認證活動予以積極配合。

5 認證證書和認證標志

5.1 認證證書

5.1.1 認證證書的保持

認證證書有效期為3年。在有效期內(nèi)，通過認證機構(gòu)的獲證后監(jiān)督，保持認證證書的有效性。

證書到期需延續(xù)使用的，認證委托人應當在有效期屆滿前 6個月內(nèi)提出認證委托。認證機構(gòu)應當采用獲證后監(jiān)督的方式，對符合認證要求的委托換發(fā)新證書。

5.1.2 認證證書的變更

認證證書有效期內(nèi)，若獲得認證的網(wǎng)絡運營者名稱、注冊地址，或認證要求、認證范圍等發(fā)生變化時，認證委托人應當向認證機構(gòu)提出變更委托。認證機構(gòu)根據(jù)變更的內(nèi)容，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術(shù)驗證和/或現(xiàn)場審核，還應當在批準變更前進行技術(shù)驗證和/或現(xiàn)場審核。

5.1.3 認證證書的注銷、暫停和撤銷

當獲得認證的網(wǎng)絡運營者不再符合認證要求時，認證機構(gòu)應當及時對認證證書予以暫停直至撤銷。認證委托人在認證證書有效期內(nèi)可申請認證證書暫停、注銷。

認證機構(gòu)應當采用適當方式對外公布被暫停、注銷和撤銷的網(wǎng)絡運營者認證證書。

5.2 認證標志

“ABCD”代表認證機構(gòu)識別信息。

5.3 認證證書和認證標志的使用

在認證證書有效期內(nèi)，獲得認證的網(wǎng)絡運營者應當按照有關(guān)規(guī)定在廣告等宣傳中正確使用認證證書和認證標志，不得對公眾產(chǎn)生誤導。

6 認證實施細則

認證機構(gòu)應當依據(jù)本規(guī)則有關(guān)要求，細化認證實施程序，制定科學、合理、可操作的認證實施細則，并對外公布實施。

7 認證責任

認證機構(gòu)應當對現(xiàn)場審核結(jié)論、認證結(jié)論負責。

技術(shù)驗證機構(gòu)應當對技術(shù)驗證結(jié)論負責。

認證委托人應當對認證委托資料的真實性、合法性負責。

The post 數(shù)據(jù)安全管理認證實施規(guī)則 first appeared on ISO27001信息安全咨詢公司.

The post 申請DSMM認證，需要哪些部門參加 first appeared on ISO27001信息安全咨詢公司.

The post DSMM認證的適用范圍有哪些 first appeared on ISO27001信息安全咨詢公司.

DSMM認證評價

The post DSMM認證評價方法 first appeared on ISO27001信息安全咨詢公司.

DSMM認證流程

The post DSMM認證貫標流程 first appeared on ISO27001信息安全咨詢公司.

申請什么級別主要依據(jù)企業(yè)的實際情況來判斷，沒有硬性規(guī)定初次申請級別的限制。
大部分組織適合申請DSMM2級，DSMM3級適合具有較高數(shù)據(jù)安全實踐水平的組織申請，DSMM4級適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請，DSMM5級暫不開放申請。

The post 初次申請DSMM認證可以申請幾級 first appeared on ISO27001信息安全咨詢公司.

The post DSMM認證每個級別有什么區(qū)別 first appeared on ISO27001信息安全咨詢公司.

DSMM認證體系架構(gòu)

The post DSMM認證體系的架構(gòu) first appeared on ISO27001信息安全咨詢公司.