關于開展(zhan)數據安全(quan)管理(li)認證工作的公告

 

根據《中(zhong)(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)(he)國(guo)(guo)(guo)網絡安全(quan)法》《中(zhong)(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)(he)國(guo)(guo)(guo)數(shu)據安全(quan)法》《中(zhong)(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)(he)國(guo)(guo)(guo)個人(ren)信息保(bao)護法》《中(zhong)(zhong)華(hua)(hua)人(ren)民共(gong)(gong)和(he)(he)國(guo)(guo)(guo)認證認可條例》有關規定，國(guo)家市(shi)場監督管(guan)理(li)總(zong)局、國家互(hu)聯網(wang)信息辦公室決(jue)定開展(zhan)數據安全管理認(ren)證工作，鼓(gu)勵(li)網絡運營者(zhe)通(tong)過認證方式(shi)規范網絡數據處理活動，加(jia)強網絡數據安全(quan)保護。從事數據安全管理認證(zheng)活動的認證(zheng)機構應當依法設立，并按照《數據安全(quan)管理認證(zheng)實施規(gui)則》（見附件(jian)）實施認證。

特此公(gong)告。

 

1 適(shi)用范(fan)圍

本規則依據《中華(hua)人(ren)民(min)共(gong)和國認證(zheng)認可(ke)條例》制(zhi)定，規定了(le)對網絡(luo)運營(ying)者開(kai)展網絡(luo)數據收集、存儲、使(shi)用、加工、傳輸、提供、公開(kai)等處理活動進(jin)行(xing)認證的基本原(yuan)則和要求(qiu)。

2 認證依據

GB/T 41479《信(xin)息安(an)全技術(shu) 網絡(luo)數(shu)據處理安(an)全要求》及相關標準(zhun)規范。

上述(shu)標準(zhun)原則上應當(dang)執行國(guo)家標準(zhun)化行政主管部門發布的最(zui)新版本。

3 認證(zheng)模式(shi)

數據(ju)安全管理認證(zheng)的認證(zheng)模式為(wei)：

技術驗證+現場(chang)審核+獲(huo)證(zheng)后監督(du)

4 認證實施程序(xu)

4.1 認(ren)證委托(tuo)

認(ren)(ren)(ren)證(zheng)機構應當明確認(ren)(ren)(ren)證(zheng)委托(tuo)(tuo)資料要求，包括但(dan)不(bu)限于(yu)認(ren)(ren)(ren)證(zheng)委托(tuo)(tuo)人基(ji)本材料、認(ren)(ren)(ren)證(zheng)委托(tuo)(tuo)書、相關證(zheng)明文檔等。

認證(zheng)委(wei)托(tuo)(tuo)人應(ying)當按認證(zheng)機構要求提交(jiao)認證(zheng)委(wei)托(tuo)(tuo)資料，認證(zheng)機構在對認證(zheng)委(wei)托(tuo)(tuo)資料審查后及時(shi)反饋是否受(shou)理。

認(ren)證(zheng)(zheng)機構應當(dang)根據認(ren)證(zheng)(zheng)委(wei)托(tuo)資料確定認(ren)證(zheng)(zheng)方案，包括數(shu)據類型和數(shu)量(liang)、涉(she)及的數(shu)據處理活(huo)動范圍、技術驗(yan)證(zheng)(zheng)機構信息等，并通知(zhi)認(ren)證(zheng)(zheng)委(wei)托(tuo)人。

4.2 技術(shu)驗證

技術(shu)驗(yan)證(zheng)(zheng)機(ji)構應當(dang)按照認證(zheng)(zheng)方案實施技術(shu)驗(yan)證(zheng)(zheng)，并向認證(zheng)(zheng)機(ji)構和認證(zheng)(zheng)委(wei)托人出(chu)具技術(shu)驗(yan)證(zheng)(zheng)報告。

4.3 現場(chang)審核

認證(zheng)機構實施現(xian)場(chang)審(shen)核，并向(xiang)認(ren)證(zheng)委托人出(chu)具現(xian)場(chang)審(shen)核報告。

4.4 認(ren)證結果評價和批準

認證機構根(gen)據(ju)認證委托(tuo)資料、技術驗證報告、現場審(shen)核報告和其他(ta)相(xiang)關(guan)資(zi)料信息進行綜合(he)評價，作出(chu)認(ren)證(zheng)決定。對符(fu)合(he)認(ren)證(zheng)要求的(de)，頒發認(ren)證(zheng)證(zheng)書(shu)；對(dui)暫不(bu)符合認(ren)證(zheng)要求(qiu)的(de)，可要求(qiu)認(ren)證(zheng)委(wei)托人限期整改，整改后仍不(bu)符合的(de)，以書(shu)面形式通(tong)知認(ren)證(zheng)委(wei)托人終止認(ren)證(zheng)。

如發(fa)現認(ren)(ren)證(zheng)委托人、網絡(luo)運營者存在欺騙、隱瞞信(xin)息、故(gu)意違(wei)反(fan)認(ren)(ren)證(zheng)要求等嚴(yan)重(zhong)影(ying)響(xiang)認(ren)(ren)證(zheng)實施的(de)行(xing)為時(shi)，認(ren)(ren)證(zheng)不予通過。

4.5 獲證后監督(du)

4.5.1 監督的頻(pin)次

認(ren)證機構應當在認(ren)證有效(xiao)期內，對獲得認(ren)證的(de)網絡(luo)運(yun)營者(zhe)進行持續監(jian)督，并合理確定監(jian)督頻次。

4.5.2 監督(du)的(de)內容

認證(zheng)機構應當(dang)采(cai)取適當(dang)的方式(shi)實(shi)施(shi)獲(huo)證(zheng)后(hou)監督，確保獲(huo)得認證(zheng)的網絡運營者持續符合認證(zheng)要求。

4.5.3 獲證后監督結果的評(ping)價

認(ren)證(zheng)機(ji)構(gou)對獲證(zheng)后監督結論和其他相關資料信息進行(xing)綜合評(ping)價，評(ping)價通過的(de)(de)，可繼續保持(chi)認(ren)證(zheng)證(zheng)書；不通過的(de)(de)，認(ren)證(zheng)機(ji)構(gou)應當根據相應情形作出暫停直至撤銷認(ren)證(zheng)證(zheng)書的(de)(de)處理。

4.6 認(ren)證時限(xian)

認證機(ji)構應當(dang)對認(ren)證各環節的時限作(zuo)出(chu)明確(que)規定，并確(que)保相關工作(zuo)按時限要(yao)求完成。認(ren)證委托人應當(dang)對認(ren)證活動予以積(ji)極配(pei)合(he)。

5 認證(zheng)證(zheng)書(shu)和認證(zheng)標志

5.1 認證(zheng)證(zheng)書(shu)

5.1.1 認證(zheng)證(zheng)書的保(bao)持 

認證證書有效期為3年。在有(you)效(xiao)期內，通(tong)過認(ren)證機構的(de)獲證后監督，保持認(ren)證證書的(de)有(you)效(xiao)性。

證書到(dao)期(qi)需延續使用的，認證委托人應當在有效期(qi)屆滿前 6個月內提出(chu)認證(zheng)委托。認證(zheng)機構(gou)應(ying)當采用獲證(zheng)后監(jian)督(du)的(de)方(fang)式，對符合認證(zheng)要求的(de)委托換發新證(zheng)書。

5.1.2 認證(zheng)證(zheng)書(shu)的(de)變更

認證證書有效期內，若獲(huo)得認證的網絡(luo)運營(ying)者名稱、注冊地址(zhi)，或(huo)認(ren)證要(yao)求、認(ren)證范圍等發生變化(hua)時，認證(zheng)委托人應當(dang)向認(ren)證機(ji)構(gou)提出變更委托(tuo)。認(ren)證機(ji)構(gou)根據變更的(de)內容(rong)，對變更委托資料進行評價，確定是否可以批準變更。如需進行技術驗證和(he)/或現(xian)場審核，還應當在(zai)批準(zhun)變(bian)更前進行(xing)技術驗(yan)證和/或現場審核(he)。

5.1.3 認(ren)證(zheng)證(zheng)書的注銷、暫停和撤(che)銷

當獲得認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)的網(wang)絡運營者不再(zai)符(fu)合認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)要求時，認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)機構應(ying)當及(ji)時對認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)書(shu)予以暫(zan)停(ting)直至撤銷。認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)委托人在認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)書(shu)有(you)效期內可申請(qing)認證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)證(zheng)(zheng)(zheng)(zheng)(zheng)(zheng)書(shu)暫(zan)停(ting)、注(zhu)銷。

認(ren)證(zheng)機構應當采(cai)用適當方式對外公布被暫停、注銷(xiao)和撤銷(xiao)的網絡運營者認(ren)證(zheng)證(zheng)書(shu)。

5.2 認證標(biao)志

“ABCD”代表(biao)認(ren)證機構(gou)識別信息。

5.3 認證(zheng)證(zheng)書和認證(zheng)標志的使用

在(zai)認(ren)(ren)證(zheng)證(zheng)書(shu)有效(xiao)期內，獲得(de)認(ren)(ren)證(zheng)的網(wang)絡運營者應當按照有關規定在(zai)廣告等宣傳中(zhong)正確(que)使用認(ren)(ren)證(zheng)證(zheng)書(shu)和認(ren)(ren)證(zheng)標志，不得(de)對公眾產生誤導(dao)。

6 認證(zheng)實(shi)施細則

認(ren)證(zheng)機構應當依據本規(gui)則(ze)有關要(yao)求，細化認(ren)證(zheng)實施(shi)程序，制(zhi)定(ding)科學、合理、可(ke)操(cao)作(zuo)的認(ren)證(zheng)實施(shi)細則(ze)，并(bing)對外公布實施(shi)。

7 認證(zheng)責任

認證(zheng)(zheng)機構應當(dang)對現場審核結(jie)論(lun)、認證(zheng)(zheng)結(jie)論(lun)負(fu)責。

技術驗(yan)證機構應當對技術驗(yan)證結論負責。

認證(zheng)委托(tuo)人應當對認證(zheng)委托(tuo)資料的真(zhen)實(shi)性、合法性負責(ze)。