根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國認證認可條例》有關(guān)規(guī)定�,國家市場監(jiān)督管理總局����、國家互聯(lián)網(wǎng)信息辦公室決定開展數(shù)據(jù)安全管理認證工作��,鼓勵網(wǎng)絡運營者通過認證方式規(guī)范網(wǎng)絡數(shù)據(jù)處理活動����,加強網(wǎng)絡數(shù)據(jù)安全保護�。從事數(shù)據(jù)安全管理認證活動的認證機構(gòu)應當依法設(shè)立,并按照《數(shù)據(jù)安全管理認證實施規(guī)則》(見附件)實施認證����。
特此公告��。
附件:數(shù)據(jù)安全管理認證實施規(guī)則
國家市場監(jiān)督管理總局 國家互聯(lián)網(wǎng)信息辦公室
2022年6月5日
附件
數(shù)據(jù)安全管理認證實施規(guī)則
1 適用范圍
本規(guī)則依據(jù)《中華人民共和國認證認可條例》制定�,規(guī)定了對網(wǎng)絡運營者開展網(wǎng)絡數(shù)據(jù)收集、存儲��、使用����、加工、傳輸���、提供�����、公開等處理活動進行認證的基本原則和要求�。
2 認證依據(jù)
GB/T 41479《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)處理安全要求》及相關(guān)標準規(guī)范���。
上述標準原則上應當執(zhí)行國家標準化行政主管部門發(fā)布的最新版本����。
3 認證模式
數(shù)據(jù)安全管理認證的認證模式為:
技術(shù)驗證+現(xiàn)場審核+獲證后監(jiān)督
4 認證實施程序
4.1 認證委托
認證機構(gòu)應當明確認證委托資料要求,包括但不限于認證委托人基本材料�����、認證委托書�、相關(guān)證明文檔等。
認證委托人應當按認證機構(gòu)要求提交認證委托資料��,認證機構(gòu)在對認證委托資料審查后及時反饋是否受理�����。
認證機構(gòu)應當根據(jù)認證委托資料確定認證方案�����,包括數(shù)據(jù)類型和數(shù)量����、涉及的數(shù)據(jù)處理活動范圍、技術(shù)驗證機構(gòu)信息等�����,并通知認證委托人����。
4.2 技術(shù)驗證
技術(shù)驗證機構(gòu)應當按照認證方案實施技術(shù)驗證��,并向認證機構(gòu)和認證委托人出具技術(shù)驗證報告���。
4.3 現(xiàn)場審核
認證機構(gòu)實施現(xiàn)場審核,并向認證委托人出具現(xiàn)場審核報告��。
4.4 認證結(jié)果評價和批準
認證機構(gòu)根據(jù)認證委托資料�、技術(shù)驗證報告���、現(xiàn)場審核報告和其他相關(guān)資料信息進行綜合評價����,作出認證決定�。對符合認證要求的,頒發(fā)認證證書���;對暫不符合認證要求的�,可要求認證委托人限期整改��,整改后仍不符合的�����,以書面形式通知認證委托人終止認證。
如發(fā)現(xiàn)認證委托人����、網(wǎng)絡運營者存在欺騙、隱瞞信息��、故意違反認證要求等嚴重影響認證實施的行為時�,認證不予通過�����。
4.5 獲證后監(jiān)督
4.5.1 監(jiān)督的頻次
認證機構(gòu)應當在認證有效期內(nèi)�,對獲得認證的網(wǎng)絡運營者進行持續(xù)監(jiān)督,并合理確定監(jiān)督頻次���。
4.5.2 監(jiān)督的內(nèi)容
認證機構(gòu)應當采取適當?shù)姆绞綄嵤┇@證后監(jiān)督��,確保獲得認證的網(wǎng)絡運營者持續(xù)符合認證要求�����。
4.5.3 獲證后監(jiān)督結(jié)果的評價
認證機構(gòu)對獲證后監(jiān)督結(jié)論和其他相關(guān)資料信息進行綜合評價���,評價通過的����,可繼續(xù)保持認證證書���;不通過的�,認證機構(gòu)應當根據(jù)相應情形作出暫停直至撤銷認證證書的處理�。
4.6 認證時限
認證機構(gòu)應當對認證各環(huán)節(jié)的時限作出明確規(guī)定,并確保相關(guān)工作按時限要求完成�����。認證委托人應當對認證活動予以積極配合�����。
5 認證證書和認證標志
5.1 認證證書
5.1.1 認證證書的保持
認證證書有效期為3年����。在有效期內(nèi)����,通過認證機構(gòu)的獲證后監(jiān)督�,保持認證證書的有效性����。
證書到期需延續(xù)使用的,認證委托人應當在有效期屆滿前 6個月內(nèi)提出認證委托��。認證機構(gòu)應當采用獲證后監(jiān)督的方式���,對符合認證要求的委托換發(fā)新證書����。
5.1.2 認證證書的變更
認證證書有效期內(nèi)��,若獲得認證的網(wǎng)絡運營者名稱����、注冊地址,或認證要求���、認證范圍等發(fā)生變化時,認證委托人應當向認證機構(gòu)提出變更委托����。認證機構(gòu)根據(jù)變更的內(nèi)容��,對變更委托資料進行評價�����,確定是否可以批準變更�����。如需進行技術(shù)驗證和/或現(xiàn)場審核�����,還應當在批準變更前進行技術(shù)驗證和/或現(xiàn)場審核�。
5.1.3 認證證書的注銷���、暫停和撤銷
當獲得認證的網(wǎng)絡運營者不再符合認證要求時,認證機構(gòu)應當及時對認證證書予以暫停直至撤銷���。認證委托人在認證證書有效期內(nèi)可申請認證證書暫停��、注銷����。
認證機構(gòu)應當采用適當方式對外公布被暫停、注銷和撤銷的網(wǎng)絡運營者認證證書�����。
5.2 認證標志
“ABCD”代表認證機構(gòu)識別信息����。
5.3 認證證書和認證標志的使用
在認證證書有效期內(nèi),獲得認證的網(wǎng)絡運營者應當按照有關(guān)規(guī)定在廣告等宣傳中正確使用認證證書和認證標志��,不得對公眾產(chǎn)生誤導����。
6 認證實施細則
認證機構(gòu)應當依據(jù)本規(guī)則有關(guān)要求,細化認證實施程序�,制定科學、合理���、可操作的認證實施細則���,并對外公布實施。
7 認證責任
認證機構(gòu)應當對現(xiàn)場審核結(jié)論�、認證結(jié)論負責。
技術(shù)驗證機構(gòu)應當對技術(shù)驗證結(jié)論負責�����。
認證委托人應當對認證委托資料的真實性、合法性負責���。
