The post 國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》11月1日起實(shí)施 first appeared on ISO27001信息安全咨詢公司.

根據(jù)2022年4月15日國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告（2022年第6號(hào)），全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的10項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。其中包括了一項(xiàng)數(shù)據(jù)安全方面的重點(diǎn)標(biāo)準(zhǔn)：GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，是數(shù)據(jù)安全國(guó)家標(biāo)準(zhǔn)的核心標(biāo)準(zhǔn)之一，引起了社會(huì)的廣泛關(guān)注。本標(biāo)準(zhǔn)查閱和獲取方式附后！

本文由標(biāo)準(zhǔn)的牽頭編制單位中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心的標(biāo)準(zhǔn)參編專家，針對(duì)該標(biāo)準(zhǔn)的編制背景、適用范圍、主要內(nèi)容、關(guān)鍵問題等方面進(jìn)行解讀，并提出應(yīng)用實(shí)施建議，供各界參考：

數(shù)據(jù)安全審計(jì)

GB/T 41479-2022 《信息安全技術(shù)?網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》

01? 編制背景

目前，數(shù)據(jù)安全成為熱點(diǎn)，國(guó)際國(guó)內(nèi)均希望通過法律手段加強(qiáng)數(shù)據(jù)安全保障，一方面要保障國(guó)家安全，另一方面要保障公眾權(quán)益，同時(shí)還要推動(dòng)數(shù)據(jù)的應(yīng)用，保障組織的權(quán)益，相關(guān)的法律法規(guī)也相繼出臺(tái)。

為了落實(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者在進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)處理時(shí)的法律責(zé)任，特別是落實(shí)《數(shù)據(jù)安全法》的要求，保障網(wǎng)絡(luò)運(yùn)營(yíng)者的運(yùn)營(yíng)數(shù)據(jù)安全，合法有序利用數(shù)據(jù)，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心牽頭，聯(lián)合中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院等單位，研制了《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

02? 標(biāo)準(zhǔn)主要內(nèi)容

標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)數(shù)據(jù)處理安全的總體要求、技術(shù)要求、管理要求以及突發(fā)公共衛(wèi)生安全事件時(shí)的數(shù)據(jù)處理安全要求。

1.在標(biāo)準(zhǔn)第4章總體要求中，首先明確了網(wǎng)絡(luò)數(shù)據(jù)處理安全的數(shù)據(jù)識(shí)別是基礎(chǔ)、分類分級(jí)是根本、風(fēng)險(xiǎn)防控是核心、審計(jì)追溯是底線的四項(xiàng)基本原則，即需要完整識(shí)別需要保護(hù)的數(shù)據(jù)形成數(shù)據(jù)保護(hù)清單目錄；根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)者的實(shí)際在符合法律法規(guī)要求的前提下，對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)管理；全面分析安全影響和安全風(fēng)險(xiǎn)，積極采取有效措施保障數(shù)據(jù)安全；在整個(gè)數(shù)據(jù)處理過程保證完整的審計(jì)日志，確保處理可追溯。

2.標(biāo)準(zhǔn)主要要求體現(xiàn)在第5章中，該部分在進(jìn)行安全影響分析和風(fēng)險(xiǎn)評(píng)估的通則要求基礎(chǔ)上，提出了數(shù)據(jù)處理安全的技術(shù)要求：

（1）標(biāo)準(zhǔn)5.2至5.8中，對(duì)應(yīng)《數(shù)據(jù)安全法》中提出的數(shù)據(jù)處理（收集、存儲(chǔ)、使用、加工、傳輸、提供、公開）活動(dòng)，明確了相應(yīng)的安全要求：

數(shù)據(jù)收集方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人信息提出了安全要求，并在個(gè)人信息保護(hù)政策、征得個(gè)人信息主體同意、不強(qiáng)制誤導(dǎo)收集等方面進(jìn)行了細(xì)化，針對(duì)個(gè)人信息收集的具體要求，引用了GB/T 35273—2020的具體內(nèi)容。此外，在網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)時(shí)，如通過App收集個(gè)人信息，相關(guān)安全要求見GB/T 41391—2022；

GB/T 41391—2022查閱渠道：標(biāo)準(zhǔn)應(yīng)用 | （附查閱渠道）GB/T 41391-2022《App收集個(gè)人信息基本要求》解讀及實(shí)踐思路

數(shù)據(jù)存儲(chǔ)方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)提出了安全要求，如安全措施、存儲(chǔ)期限及個(gè)人生物特征識(shí)別信息的存儲(chǔ)等；同時(shí)對(duì)于數(shù)據(jù)接收方存儲(chǔ)數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)使用方面，針對(duì)定向推送及信息合成及第三方應(yīng)用管理二方面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了要求；

數(shù)據(jù)加工方面，要求網(wǎng)絡(luò)運(yùn)營(yíng)者在開展轉(zhuǎn)換、匯聚、分析等數(shù)據(jù)加工活動(dòng)的過程中，知道或者應(yīng)知道可能危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的，應(yīng)立即停止加工活動(dòng)。

數(shù)據(jù)傳輸方面，對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者傳輸重要數(shù)據(jù)及個(gè)人敏感信息的安全措施提出了要求，同時(shí)對(duì)于數(shù)據(jù)接收方傳輸數(shù)據(jù)提出以合同約定安全措施的要求；

數(shù)據(jù)提供方面，從向他人提供及數(shù)據(jù)出境二類數(shù)據(jù)提供場(chǎng)景提出了數(shù)據(jù)安全要求。在向他人提供場(chǎng)景下，要求提供前進(jìn)行安全影響分析及風(fēng)險(xiǎn)評(píng)估，并針對(duì)提供個(gè)人信息、共享/轉(zhuǎn)讓重要數(shù)據(jù)、委托第三方處理數(shù)據(jù)，及發(fā)生收購(gòu)/兼并/重組/破產(chǎn)情況下的具體要求進(jìn)行了細(xì)化；

數(shù)據(jù)公開方面，提出公開市場(chǎng)預(yù)測(cè)、統(tǒng)計(jì)等信息的場(chǎng)景下，不應(yīng)危害國(guó)家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定。

（2）標(biāo)準(zhǔn)5.9中，提出了私人信息和可轉(zhuǎn)發(fā)信息的處理方式要求；

（3）標(biāo)準(zhǔn)5.10中，提出了對(duì)個(gè)人信息查閱、更正、刪除及用戶賬號(hào)注銷的要求，響應(yīng)了《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息主體權(quán)益進(jìn)行充分保護(hù)的相關(guān)要求；

（4）標(biāo)準(zhǔn)5.11中，提出了投訴、舉報(bào)受理處置的要求，這是平臺(tái)責(zé)任的角度對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出的具體要求；

（5）標(biāo)準(zhǔn)5.12中，提出了訪問控制與審計(jì)的要求；

（6）標(biāo)準(zhǔn)5.13中，提出了數(shù)據(jù)刪除和匿名化處理，對(duì)數(shù)據(jù)介質(zhì)銷毀及個(gè)人信息的刪除及匿名化等場(chǎng)景下的要求進(jìn)行了明確。

3.標(biāo)準(zhǔn)第6章中，從數(shù)據(jù)安全責(zé)任人、人力資源能力保障與考核、事件應(yīng)急處置等三個(gè)方面提出了數(shù)據(jù)處理安全管理要求。但組織可以參考信息安全管理體系要求等相關(guān)國(guó)際、國(guó)家標(biāo)準(zhǔn)完善數(shù)據(jù)安全管理架構(gòu)。

4.本標(biāo)準(zhǔn)專門針對(duì)突發(fā)公共衛(wèi)生事件專項(xiàng)預(yù)案啟動(dòng)Ⅰ級(jí)（特別重大）、Ⅱ級(jí)（重大）響應(yīng)的事件時(shí)的數(shù)據(jù)處理安全要求，以規(guī)范性附錄的形式提出了要求，效用與正文等同。附錄就個(gè)人信息服務(wù)協(xié)議、個(gè)人信息收集、個(gè)人信息調(diào)用、人臉識(shí)別驗(yàn)證、信息查閱服務(wù)、公開/向他人提供個(gè)人信息及改變個(gè)人信息用途、應(yīng)對(duì)工作結(jié)束后的個(gè)人信息處理、日志留存等方面提出了具體要求。

03? 標(biāo)準(zhǔn)應(yīng)用

（一）提升數(shù)據(jù)處理安全性

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用標(biāo)準(zhǔn)規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，從而落實(shí)《數(shù)據(jù)安全法》等相關(guān)法律對(duì)數(shù)據(jù)安全保護(hù)的要求，履行社會(huì)責(zé)任。

（二）開展數(shù)據(jù)安全管理認(rèn)證（DSM）

《數(shù)據(jù)安全法》第十八條明確指出，國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測(cè)評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)用提升其數(shù)據(jù)處理安全性的基礎(chǔ)上，通過第三方認(rèn)證來證明其滿足標(biāo)準(zhǔn)中提出的數(shù)據(jù)安全基線要求，從而給予社會(huì)、公眾和客戶信心。

2022年6月5日，國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室聯(lián)合發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》（閱讀原文可查看），鼓勵(lì)網(wǎng)絡(luò)運(yùn)營(yíng)者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)。從事數(shù)據(jù)安全管理認(rèn)證活動(dòng)的認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依法設(shè)立，并按照《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》實(shí)施認(rèn)證。《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》中，明確數(shù)據(jù)安全管理認(rèn)證的依據(jù)為GB/T 41479—2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》。

The post GB/T 41479—2022《網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》解讀及應(yīng)用建議 first appeared on ISO27001信息安全咨詢公司.

數(shù)據(jù)安全認(rèn)證咨詢

1 適用范圍

本規(guī)則依據(jù)《中華人民共和國(guó)認(rèn)證認(rèn)可條例》制定，規(guī)定了對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等處理活動(dòng)進(jìn)行認(rèn)證的基本原則和要求。

2 認(rèn)證依據(jù)

GB/T 41479《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》及相關(guān)標(biāo)準(zhǔn)規(guī)范。

上述標(biāo)準(zhǔn)原則上應(yīng)當(dāng)執(zhí)行國(guó)家標(biāo)準(zhǔn)化行政主管部門發(fā)布的最新版本。

3 認(rèn)證模式

數(shù)據(jù)安全管理認(rèn)證的認(rèn)證模式為：

技術(shù)驗(yàn)證+現(xiàn)場(chǎng)審核+獲證后監(jiān)督

4 認(rèn)證實(shí)施程序

4.1 認(rèn)證委托

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)明確認(rèn)證委托資料要求，包括但不限于認(rèn)證委托人基本材料、認(rèn)證委托書、相關(guān)證明文檔等。

認(rèn)證委托人應(yīng)當(dāng)按認(rèn)證機(jī)構(gòu)要求提交認(rèn)證委托資料，認(rèn)證機(jī)構(gòu)在對(duì)認(rèn)證委托資料審查后及時(shí)反饋是否受理。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)認(rèn)證委托資料確定認(rèn)證方案，包括數(shù)據(jù)類型和數(shù)量、涉及的數(shù)據(jù)處理活動(dòng)范圍、技術(shù)驗(yàn)證機(jī)構(gòu)信息等，并通知認(rèn)證委托人。

4.2 技術(shù)驗(yàn)證

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)按照認(rèn)證方案實(shí)施技術(shù)驗(yàn)證，并向認(rèn)證機(jī)構(gòu)和認(rèn)證委托人出具技術(shù)驗(yàn)證報(bào)告。

4.3 現(xiàn)場(chǎng)審核

認(rèn)證機(jī)構(gòu)實(shí)施現(xiàn)場(chǎng)審核，并向認(rèn)證委托人出具現(xiàn)場(chǎng)審核報(bào)告。

4.4 認(rèn)證結(jié)果評(píng)價(jià)和批準(zhǔn)

認(rèn)證機(jī)構(gòu)根據(jù)認(rèn)證委托資料、技術(shù)驗(yàn)證報(bào)告、現(xiàn)場(chǎng)審核報(bào)告和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，作出認(rèn)證決定。對(duì)符合認(rèn)證要求的，頒發(fā)認(rèn)證證書；對(duì)暫不符合認(rèn)證要求的，可要求認(rèn)證委托人限期整改，整改后仍不符合的，以書面形式通知認(rèn)證委托人終止認(rèn)證。

如發(fā)現(xiàn)認(rèn)證委托人、網(wǎng)絡(luò)運(yùn)營(yíng)者存在欺騙、隱瞞信息、故意違反認(rèn)證要求等嚴(yán)重影響認(rèn)證實(shí)施的行為時(shí)，認(rèn)證不予通過。

4.5 獲證后監(jiān)督

4.5.1 監(jiān)督的頻次

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)在認(rèn)證有效期內(nèi)，對(duì)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行持續(xù)監(jiān)督，并合理確定監(jiān)督頻次。

4.5.2 監(jiān)督的內(nèi)容

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞綄?shí)施獲證后監(jiān)督，確保獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者持續(xù)符合認(rèn)證要求。

4.5.3 獲證后監(jiān)督結(jié)果的評(píng)價(jià)

認(rèn)證機(jī)構(gòu)對(duì)獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進(jìn)行綜合評(píng)價(jià)，評(píng)價(jià)通過的，可繼續(xù)保持認(rèn)證證書；不通過的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)根據(jù)相應(yīng)情形作出暫停直至撤銷認(rèn)證證書的處理。

4.6 認(rèn)證時(shí)限

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)認(rèn)證各環(huán)節(jié)的時(shí)限作出明確規(guī)定，并確保相關(guān)工作按時(shí)限要求完成。認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證活動(dòng)予以積極配合。

5 認(rèn)證證書和認(rèn)證標(biāo)志

5.1 認(rèn)證證書

5.1.1 認(rèn)證證書的保持

認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機(jī)構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。

證書到期需延續(xù)使用的，認(rèn)證委托人應(yīng)當(dāng)在有效期屆滿前 6個(gè)月內(nèi)提出認(rèn)證委托。認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用獲證后監(jiān)督的方式，對(duì)符合認(rèn)證要求的委托換發(fā)新證書。

5.1.2 認(rèn)證證書的變更

認(rèn)證證書有效期內(nèi)，若獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者名稱、注冊(cè)地址，或認(rèn)證要求、認(rèn)證范圍等發(fā)生變化時(shí)，認(rèn)證委托人應(yīng)當(dāng)向認(rèn)證機(jī)構(gòu)提出變更委托。認(rèn)證機(jī)構(gòu)根據(jù)變更的內(nèi)容，對(duì)變更委托資料進(jìn)行評(píng)價(jià)，確定是否可以批準(zhǔn)變更。如需進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核，還應(yīng)當(dāng)在批準(zhǔn)變更前進(jìn)行技術(shù)驗(yàn)證和/或現(xiàn)場(chǎng)審核。

5.1.3 認(rèn)證證書的注銷、暫停和撤銷

當(dāng)獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者不再符合認(rèn)證要求時(shí)，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)及時(shí)對(duì)認(rèn)證證書予以暫停直至撤銷。認(rèn)證委托人在認(rèn)證證書有效期內(nèi)可申請(qǐng)認(rèn)證證書暫停、注銷。

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)采用適當(dāng)方式對(duì)外公布被暫停、注銷和撤銷的網(wǎng)絡(luò)運(yùn)營(yíng)者認(rèn)證證書。

5.2 認(rèn)證標(biāo)志

“ABCD”代表認(rèn)證機(jī)構(gòu)識(shí)別信息。

5.3 認(rèn)證證書和認(rèn)證標(biāo)志的使用

在認(rèn)證證書有效期內(nèi)，獲得認(rèn)證的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定在廣告等宣傳中正確使用認(rèn)證證書和認(rèn)證標(biāo)志，不得對(duì)公眾產(chǎn)生誤導(dǎo)。

6 認(rèn)證實(shí)施細(xì)則

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)依據(jù)本規(guī)則有關(guān)要求，細(xì)化認(rèn)證實(shí)施程序，制定科學(xué)、合理、可操作的認(rèn)證實(shí)施細(xì)則，并對(duì)外公布實(shí)施。

7 認(rèn)證責(zé)任

認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)現(xiàn)場(chǎng)審核結(jié)論、認(rèn)證結(jié)論負(fù)責(zé)。

技術(shù)驗(yàn)證機(jī)構(gòu)應(yīng)當(dāng)對(duì)技術(shù)驗(yàn)證結(jié)論負(fù)責(zé)。

認(rèn)證委托人應(yīng)當(dāng)對(duì)認(rèn)證委托資料的真實(shí)性、合法性負(fù)責(zé)。

The post 數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則 first appeared on ISO27001信息安全咨詢公司.

The post 申請(qǐng)DSMM認(rèn)證，需要哪些部門參加 first appeared on ISO27001信息安全咨詢公司.

The post DSMM認(rèn)證的適用范圍有哪些 first appeared on ISO27001信息安全咨詢公司.

DSMM認(rèn)證評(píng)價(jià)

The post DSMM認(rèn)證評(píng)價(jià)方法 first appeared on ISO27001信息安全咨詢公司.

DSMM認(rèn)證流程

The post DSMM認(rèn)證貫標(biāo)流程 first appeared on ISO27001信息安全咨詢公司.

申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來判斷，沒有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。
大部分組織適合申請(qǐng)DSMM2級(jí)，DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng)，DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng)，DSMM5級(jí)暫不開放申請(qǐng)。

The post 初次申請(qǐng)DSMM認(rèn)證可以申請(qǐng)幾級(jí) first appeared on ISO27001信息安全咨詢公司.

The post DSMM認(rèn)證每個(gè)級(jí)別有什么區(qū)別 first appeared on ISO27001信息安全咨詢公司.

DSMM認(rèn)證體系架構(gòu)

The post DSMM認(rèn)證體系的架構(gòu) first appeared on ISO27001信息安全咨詢公司.