“数据安全管理认证”是什么?怎么做?
共 5672字,需浏览 12分钟
·
2022-06-20 17:21
2022年6月9日,国家市场监督管理总局、国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》,基于《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479”)等相关标准规范开展数据安全管理认证工作,也可简称DSM认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并发布了《数据安全管理认证实施规则》(以下简称“《规则》”)来指导具体的认证工作。
其实这不是两部门首次联合开展数据安全相关的认证工作,早在2019年3月,两部门曾联合发布《关于开展APP认证工作的公告》,建立了国内第一个由国家推行的APP安全认证。值得注意的是这两个认证采用了相同的认证模式。
一、认证概况
1.认证的范围是什么?
《规则》指出认证范围是网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动。综合来看,所有涉及网络数据服务的运营者均可申请此认证。依据《网络安全法》的规定,网络运营者是指网络的所有者、管理者和网络服务提供者。与之前的APP安全认证不同,数据安全管理认证不是针对某个产品或服务的单独认证,而是对于企业管理体系的综合认证。
2.认证的依据是什么?
《规则》指出认证依据是推荐性国家标准《信息安全技术 网络数据处理安全要求》(GB/T 41479)及相关标准规范的最新版本。但是GB/T 41479的最新版本,即2022版目前还未生效,其将于2022年11月1日生效。此版本规范的主要内容如下:
合规要求 | 核心要点 | |
数据处理安全总体要求 | 数据识别 | 识别数据并形成数据保护目录,及时更新。 |
分类分级 | 按照国家标准、依据国家规定和业务运营需要,分类分级管理。 | |
风险防控 | 建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训。 | |
审计追溯 | 对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。 | |
数据处理安全技术要求 | 通用 | 开展数据处理时应进行影响分析和风险评估,采取必要措施进行控制。 |
收集 | 遵循合法、正当、必要的原则,不收集与其提供的服务无直接或无合理关联的个人信息,不强迫收集个人信息;收集敏感个人信息前应获取单独同意。 | |
存储 | 存储重要数据和个人信息不应超过约定期限或授权同意有效期;存储重要数据和个人信息等敏感网络数据,应采用加密、访问控制、安全审计等安全措施。 | |
使用 | (1)定向推送及信息合成:提供定向推送信息服务的同时应提供非定向推的选项;在提供新闻、博客类信息服务的过程中,利用算法自动合成文字、图片、音视频等信息,应明确告知用户。 (2)第三方应用管理:监督第三方应用运营者加强数据安全管理;通过合同等形式明确双方的责任和义务;宜对接入或嵌入的第三方应用开展技术检测。 | |
加工 | 在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。 | |
传输 | 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。 | |
提供 | (1)向他人提供:进行安全影响分析和风险评估;向他人提供个人信息应履行告知义务并获取同意;委托第三方开展数据处理活动应通过合同等形式明确处理目的、权利义务等相关信息;共享、转让重要数据需签订合同明确数据保护责任并采取保障措施。 (2)数据出境:遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。 | |
公开 | 利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。 | |
私人信息和可转发信息的处理方式 | 即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项,宜对以私人选项发送的信息不提供转发功能;宜对以可转发选项发送的信息或者转发此类信息的,同时发送信息始发者在该平台上的账号名称,该账号名称唯一且不可更改。 | |
个人信息查阅、更正、删除及用户账号注销 | 建立渠道和机制,及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求,不应对请求设置不合理条件。 | |
投诉、举报受理处置 | 建立投诉、举报受理处置制度。 | |
访问控制与审计 | 基于数据分类分级,明确相关人员的访问权限;对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计流程,并严格执行。 | |
数据删除和匿名化 | 符合法定情形时要及时履行删除义务;存储重要数据和个人信息的介质进行报废处理时,应采用物理损毁等方式销毁介质,以确保数据不能被恢复。 | |
数据处理安全管理要求 | 数据安全责任人 | 处理重要数据和敏感个人信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行相关职责。 |
人力资源保障与考核 | 明确数据安全保护岗位及职责,并提供人力资源保障;建立人力资源考核制度,明确数据安全管理考核指标和问责机制。 | |
事件应急处置 | 应建立数据安全事件应急响应机制,配备应急响应所需的资源,制定应急演练计划。 | |
突发公共卫生事件个人信息保护要求 | 影响或者可能影响国家安全的数据处理活动应接受国家安全审查;指定机构在提供信息服务过程中,以人脸识别作为身份验证方式时,宜提供其他身份验证方式供用户选择;指定机构收集掌握的个人信息,未经个人信息主体同意,不得公开或者非法向他人提供,不得改变用途。 | |
3.认证的模式是什么?
数据安全管理认证模式和之前两部门发布的APP安全认证模式是一样的,均为技术验证、现场审核、获证后监督的三步认证模式。具体的评估方式既有技术机构的技术类评估,可能包括使用技术工具进行系统配置检测等,也有认证机构的书面类评估,可能包括访谈、查看制度文件和运行记录等。认证费用目前还未公布。
4.企业必须要通过数据安全管理认证吗?
目前不是。国家市场监督管理总局、国家互联网信息办公室鼓励网络运营者通过认证方式规范网络数据处理活动,这个认证旨在鼓励企业参加相关测评认证来提升自身的数据安全能力。
需要。认证并不能替代测评,即使企业获取了数据安全管理认证也不能取代网络安全等级保护、网络安全审查、个人信息影响评估等相关测评与评估。这些测评与评估都是相互独立的。
二、认证过程
数据安全管理认证和APP安全认证的认证流程大致相同,只是具体的操作细节有所区别。综合来看,APP安全认证的相关实施规则更为具体,申请主体具有更严格的限制,在获证后的监督环节还增加了自评价要求。具体对比如下:
对比项 | 数据安全管理 认证 | APP安全 认证 | ||
认证流程 | 申请 | 可以申请的主体 | 网络运营者 | APP运营者(通过APP向用户提供服务的网络运营者,且取得市场监督管理部门或有关机构注册登记的法人资格) |
不可以申请的主体 | / | APP运营者有下列情形之一的,不得申请认证: (1)违反相关法律法规; (2)在12个月内发生重大信息安全事件; (3)所持同类证书在撤销认证影响期内; (4)认证机构规定的其他情况。 | ||
提交资料 | 按照认证机构的要求提交认证委托资料,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 | 提交的文档资料应至少包含以下内容: (1)认证申请书; (2)法人资格证明材料; (3)APP版本控制说明; (4)对认证要求符合性的自评价结果及相关证明文档; (5)对APP符合相关安全技术标准的证明文件; (6)不同发布渠道的版本差异性声明; (7)其他需要的文件。 | ||
受理 | 受理审核 | 认证机构在对申请资料审查后进行受理反馈。 | ||
制定方案 | 确定受理后,认证机构会根据认证委托资料确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等。 | / | ||
认证依据 | 《信息安全技术 网络数据处理安全要求》及相关标准规范。 | 《信息安全技术个人信息安全规范》及相关标准规范。 | ||
技术验证 | 样品获取 | / | 按照申请书填写的送样方式提交样本。送样副本应反映所有发布渠道APP副本与认证相关的技术特性;不能反映时,还应选送申请单元内其他APP副本。 | |
验证实施 | 技术验证机构应当按照认证方案实施技术验证,并出具技术验证报告。 | 按照技术验证规范,采用实验室检测和现场核查等方式进行技术验证,并出具技术验证报告。 | ||
现场审核 | 认证机构实施现场审核,并出具现场审核报告。 | 制定现场审核规范,确定针对标准要求的现场审核内容、方法和评价准则,并据此实施现场审核,出具现场审核报告。 | ||
认证决定 | 综合评价 | 根据申请资料、技术验证报告、现场审核报告等其他相关资料信息进行综合评价,作出认证决定。 | ||
颁发证书 | 对符合认证要求的,颁发认证证书; 对暂不符合认证要求的,可要求限期整改,整改后仍不符合的,以书面形式通知终止认证。 | 认证决定通过后,颁发认证证书; 认证决定不通过的,终止认证。 | ||
申诉 | / | 可在收到认证结果通知后10个工作日内通过认证机构指定的申诉渠道进行申诉。 | ||
获证后监督 | 自评价 | / | 获证APP运营者应对持续符合认证要求的情况进行自评价。当出现如下情形时,获证APP运营者应向认证机构提交自评价报告: (1)获证APP的分发渠道发生变化; (2)认证标志使用情况发生变化; (3)获证APP发生变更,以及所引起的收集、处理和使用个人信息的目的、类型、方式发生变化; (4)获证APP运营者对所收集个人信息的共享、转让、公开披露的对象、方式和目的发生变化; (5)获证APP运营者收到获证APP个人信息保护相关的投诉举报。 | |
监督执行 | 认证机构应对获得认证的网络运营者进行持续监督,并合理确定监督频次。 | 认证机构应对获证APP和APP运营者实施持续的日常监督和专项监督。 | ||
监督结果 | 监督评价通过的,可继续保持认证证书;不通过的,认证机构会作出暂停直至撤销认证证书的处理。 | 监督中发现不符合时,认证机构应要求限期整改,并对整改结果进行验证。未在规定期限内完成整改或整改结果未通过验证的,会进行暂停、撤销和注销处置。 | ||
认证时限 | 认证机构应当对认证各环节的时限作出明确规定。 | 一般为90个工作日(不包含整改时间)。 | ||
证书有效期 | 认证证书有效期为3年,期满前 6个月内应提出再认证申请。 | 认证机构应对认证证书的有效期做出规定。 | ||
2.哪些机构能开展数据安全管理认证?
目前官方并未对外公布具有认证资格的第三方机构名称。经查阅国家认证认可监督管理委员会官方网站,也未找到“数据安全管理认证”类别。我们通过电话方式联系中国网络安全审查技术与认证中心(CCRC)咨询认证,目前尚未得到回复。
三、总结
继APP安全认证之后,国家市场监督管理总局、国家互联网信息办公室再次联合发布了数据安全管理认证。通过此认证可以在一定程度上作为企业数据安全管理的合规证明,毕竟《个人信息保护法》规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。如果数据处理者能证明自身履行了数据合规义务,对损害不存在过错,将有利于降低损害赔偿责任等法律风险。
此外,公告显示此认证的目的是规范网络数据处理活动,加强网络数据安全保护。数据安全管理认证主要是基于数据全生命周期处理行为进行审核,国内的DSMM与此认证的思路非常相似,二者都是基于技术和管理角度来分析数据全生命周期处理行为的安全与合规。
数据安全管理认证是基于GB/T 41479等相关标准规范开展的认证,GB/T 41479是从数据处理全生命周期的安全技术要求(包括收集、存储、使用、传输、提供、删除、访问控制等),和安全管理要求(包括数据安全负责人、人力保障、事件应急处置)这两个维度来进行评估认证。
DSMM认证也是基于GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》,从数据采集、传输、存储、处理、交换、销毁、通用安全(例如组织人员管理、数据资产管理、安全事件应急等)的技术和管理角度来审核评估数据安全管理机制。此外,这两个认证所依据的国家标准中的重要审核点也具有很大的重合度,只是措辞有所不同,具体总结如下:
重要审核点 | 数据安全管理认证 | DSMM |
技术安全 | 收集 | |
存储 | ||
使用 | 处理 | |
加工 | ||
传输 | ||
提供 | 交换 | |
公开 | ||
删除 | ||
管理安全 | 用户个人信息权利保障 | 合规管理 |
访问控制 | ||
审计 | ||
数据安全负责人 | 组织与人员管理 | |
人力资源保障与考核 | ||
事件应急处置 | 安全事件应急 | |
网络安全等级保护三级;
信息安全管理体系认证ISO 27001;
隐私信息管理体系认证ISO 27701;
质量管理体系认证ISO 9001;
信息技术服务管理体系认证ISO 20000;
卓信大数据计划—大数据平台安全认证;
软件能力成熟度集成模型CMMI(Level3);
中国信息安全测评中心的SDK安全测评证明,安全性满足EAL1级;
中国信通院SDK安全专项行动测评。
与此同时,TalkingData已通过官网发布的《TalkingData SDK合规与安全指南》详细阐述了其合规情况,依次分析了公司内部的数据采集、传输、存储、处理、交换、销毁安全机制,同时TalkingData还建立了数据分类分级、访问控制、安全事件响应与审计、定期培训等管理机制,并设立了信息安全工作小组和个人信息保护专员(DPO),从技术和管理角度建立了内部的数据安全管理体系。
声 明
本文版权归属于TalkingData法务合规部,解读内容仅供公司内部一般参考,不应视为针对特定事件的意见,任何依据本文全部或部分内容做出的判断或决定以及因此造成的法律后果,TalkingData法务合规部不承担任何责任。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注
