关于开展数据安全管理认证的公告
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《中华人民共和国认证认可条例》的有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证,鼓励网络运营者通过认证规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施细则》实施认证。
特此公告。
附件:数据安全管理认证实施细则
国家市场监督管理总局、国家互联网信息办公室
2022年6月5日
附件
数据安全管理认证实施规则
1适用范围
本规则根据《中华人民共和国认证认可条例》制定,规定了网络运营者在网络数据采集、存储、使用、加工、传输、提供和披露等方面认证的基本原则和要求。
2认证依据
GB/T 41479《信息安全技术网络数据处理安全要求》及相关标准和规范。
上述标准原则上执行国家标准化行政主管部门发布的最新版本。
3认证模式
数据安全管理认证的认证模式为:
技术验证+现场审核+认证后监督
4认证实施程序
4.1认证委托
认证机构应当明确认证委托材料的要求,包括但不限于认证委托人的基本材料、认证委托书、相关认证文件等。
认证委托人应当按照认证机构的要求提交认证委托材料,认证机构对认证委托材料进行审核后,应当及时反馈是否受理。
认证机构应当根据认证委托数据确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等。,并通知认证客户。
4.2技术验证
技术验证机构应当根据认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。
4.3现场审核
认证机构进行现场审核,并向认证委托人出具现场审核报告。
4.4认证结果的评估和批准
认证机构根据委托认证材料、技术核查报告、现场审核报告等相关资料进行综合评价,做出认证决定。对符合认证要求的,颁发认证证书;对暂时不符合认证要求的,可要求认证委托人限期整改。整改仍不合格的,书面通知认证委托人终止认证。
如发现认证委托方和网络运营方有欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为,将不予通过认证。
4.5认证后监督
监督的频率
认证机构应当在认证有效期内,对获得认证的网络经营者进行持续监督,并合理确定监督频率。
4.5.2监督内容
认证机构应当采取适当措施实施认证后监管,确保获得认证的网络运营者持续符合认证要求。
4.5.3认证后监督结果的评价
认证机构在获得证书后,对监管结论和其他相关信息进行综合评价。如果评估通过,认证证书可以维持;不合格的,认证机构应当根据相应情况暂停或者撤销认证。
4.6认证时限
认证机构应当规定认证各环节的时限,并保证按时限完成相关工作。认证委托人应当积极配合认证活动。
5认证证书和认证标志
5.1认证证书
认证证书的维护
证书有效期为3年。在有效期内,将通过认证机构的认证后监督来维持认证的有效性。
证书有效期满需要继续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构在取得证书后应采取监督的方式,对符合认证要求的委托颁发新的证书。
认证证书的变更
在证书有效期内,获证网络经营者的名称、注册地址、认证要求、认证范围等发生变化的,认证委托人应当向认证机构提交变更委托书。认证机构根据变更的内容,对变更的委托数据进行评估,以确定是否可以批准变更。如果需要进行技术验证和/或现场审核,也应在变更批准前进行技术验证和/或现场审核。
5.1.3认证证书的取消、暂停和撤销
当被认证的网络运营者不再符合认证要求时,认证机构应当及时中止认证证书,直至撤销。认证委托人可以在认证有效期内申请暂停或者撤销认证。
认证机构应当以适当方式公布被暂停、注销和吊销的网络运营者认证证书。
5.2认证标志
“ABCD”代表认证机构识别信息。
5.3认证证书和认证标志的使用
在认证证书有效期内,获证网络经营者应当按照有关规定在广告和其他宣传中正确使用认证证书和认证标志,不得误导公众。
6认证实施细则
认证机构应当按照本规则的相关要求,细化认证实施程序,制定科学、合理、可操作的认证实施规则,并公布实施。
7认证责任
认证机构应对现场审核结论和认证结论负责。
技术鉴定机构应当对技术鉴定结论负责。
认证委托人应当对委托认证材料的真实性和合法性负责。
