國家市場監督管理總局 國家互聯網信息辦公室
關于(At)開展數據安全管理認證工作(do)的(of)公告
2022年第18号
根據《中華人(people)民共和(and)國網絡安全法》《中華人(people)民共和(and)國數據安全法》《中華人(people)民共和(and)國個(indivual)人(people)信息保護法》《中華人(people)民共和(and)國認證認可條例》有關規定,國家市場監督管理總局、國家互聯網信息辦公室決定開展數據安全管理認證工作(do),鼓勵網絡運營者通過認證方式規範網絡數據處理活動,加強網絡數據安全保護。從事數據安全管理認證活動的(of)認證機構應當依法設立,并按照《數據安全管理認證實施規則》(見附件)實施認證。
國家市場監督管理總局
國家互聯網信息辦公室
2022年6月5日
數據安全管理認證實施規則
本規則依據《中華人(people)民共和(and)國認證認可條例》制定,規定了(Got it)對網絡運營者開展網絡數據收集、存儲、使用(use)、加工、傳輸、提供、公開等處理活動進行認證的(of)基本原則和(and)要(want)求。GB/T 41479《信息安全技術 網絡數據處理安全要(want)求》及相關标準規範。上述标準原則上應當執行國家标準化行政主管部門發布的(of)最新版本。認證機構應當明确認證委托資料要(want)求,包括但不(No)限于(At)認證委托人(people)基本材料、認證委托書、相關證明文檔等。認證委托人(people)應當按認證機構要(want)求提交認證委托資料,認證機構在(exist)對認證委托資料審查後及時(hour)反饋是(yes)否受理。認證機構應當根據認證委托資料确定認證方案,包括數據類型和(and)數量、涉及的(of)數據處理活動範圍、技術驗證機構信息等,并通知認證委托人(people)。技術驗證機構應當按照認證方案實施技術驗證,并向認證機構和(and)認證委托人(people)出(out)具技術驗證報告。認證機構實施現場審核,并向認證委托人(people)出(out)具現場審核報告。認證機構根據認證委托資料、技術驗證報告、現場審核報告和(and)其他(he)相關資料信息進行綜合評價,作(do)出(out)認證決定。對符合認證要(want)求的(of),頒發認證證書;對暫不(No)符合認證要(want)求的(of),可要(want)求認證委托人(people)限期整改,整改後仍不(No)符合的(of),以(by)書面形式通知認證委托人(people)終止認證。如發現認證委托人(people)、網絡運營者存在(exist)欺騙、隐瞞信息、故意違反認證要(want)求等嚴重影響認證實施的(of)行爲(for)時(hour),認證不(No)予通過。認證機構應當在(exist)認證有效期内,對獲得認證的(of)網絡運營者進行持續監督,并合理确定監督頻次。認證機構應當采取适當的(of)方式實施獲證後監督,确保獲得認證的(of)網絡運營者持續符合認證要(want)求。認證機構對獲證後監督結論和(and)其他(he)相關資料信息進行綜合評價,評價通過的(of),可繼續保持認證證書;不(No)通過的(of),認證機構應當根據相應情形作(do)出(out)暫停直至撤銷認證證書的(of)處理。認證機構應當對認證各環節的(of)時(hour)限作(do)出(out)明确規定,并确保相關工作(do)按時(hour)限要(want)求完成。認證委托人(people)應當對認證活動予以(by)積極配合。認證證書有效期爲(for)3年。在(exist)有效期内,通過認證機構的(of)獲證後監督,保持認證證書的(of)有效性。證書到(arrive)期需延續使用(use)的(of),認證委托人(people)應當在(exist)有效期屆滿前6個(indivual)月内提出(out)認證委托。認證機構應當采用(use)獲證後監督的(of)方式,對符合認證要(want)求的(of)委托換發新證書。認證證書有效期内,若獲得認證的(of)網絡運營者名稱、注冊地(land)址,或認證要(want)求、認證範圍等發生(born)變化時(hour),認證委托人(people)應當向認證機構提出(out)變更委托。認證機構根據變更的(of)内容,對變更委托資料進行評價,确定是(yes)否可以(by)批準變更。如需進行技術驗證和(and)/或現場審核,還應當在(exist)批準變更前進行技術驗證和(and)/或現場審核。5.1.3 認證證書的(of)注銷、暫停和(and)撤銷當獲得認證的(of)網絡運營者不(No)再符合認證要(want)求時(hour),認證機構應當及時(hour)對認證證書予以(by)暫停直至撤銷。認證委托人(people)在(exist)認證證書有效期内可申請認證證書暫停、注銷。認證機構應當采用(use)适當方式對外公布被暫停、注銷和(and)撤銷的(of)網絡運營者認證證書。“ABCD”代表認證機構識别信息。
5.3 認證證書和(and)認證标志的(of)使用(use)在(exist)認證證書有效期内,獲得認證的(of)網絡運營者應當按照有關規定在(exist)廣告等宣傳中正确使用(use)認證證書和(and)認證标志,不(No)得對公衆産生(born)誤導。認證機構應當依據本規則有關要(want)求,細化認證實施程序,制定科學、合理、可操作(do)的(of)認證實施細則,并對外公布實施。認證委托人(people)應當對認證委托資料的(of)真實性、合法性負責。(來(Come)源:市場監管總局網站)
