關于開展數據安全管理認證工作的公告

數據安全認證咨詢

國家市場監(jiān)督管理總局 國家互聯(lián)網信息辦公室公告2022年第18號

根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國認證認可條例》有關規(guī)定，國家市場監(jiān)督管理總局、國家互聯(lián)網信息辦公室決定開展數據安全管理認證工作，鼓勵網絡運營者通過認證方式規(guī)范網絡數據處理活動，加強網絡數據安全保護。從事數據安全管理認證活動的認證機構應當依法設立，并按照《數據安全管理認證實施規(guī)則》（見附件）實施認證。

特此公告。

附件：數據安全管理認證實施規(guī)則

國家市場監(jiān)督管理總局 國家互聯(lián)網信息辦公室
2022年6月5日

國家市場監(jiān)督管理總局、中國國家標準化管理委員會發(fā)布《信息安全技術網絡數據處理安全要求（GB/T 41479-2022）》，將于11月1日施行。
標準自2019年立項、2020年8月面向社會公開征求意見至今，經歷多次修改審定，從責任界定、平臺處理等多個角度提出了規(guī)范，更加符合當下網絡數據處理的現實，更加務實。
該項標準規(guī)定了網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求；適用于網絡運營者規(guī)范網絡數據處理，以及監(jiān)管部門、第三方評估機構對網絡數據處理進行監(jiān)督管理和評估。

此次標準的具體內容從數據識別、分級分類、風險防控、審計追溯等方面提出數據處理的總體要求，包括技術要求、管理要求等。

●?數據識別

在標準第4.1條中明確要求，網絡運營者應識別數據處理中涉及的數據，包括個人信息、重要數據和其他數據，形成數據保護目錄并及時更新。

●?分類分級

在標準第4.2條中明確要求，網絡運營者應按照相關國家標準，對所識別的數據進行分類分級管理。

●?訪問控制

在標準第5.12條中提及，網絡運營者開展數據處理活動時，明確相關人員的訪問權限，防止未授權訪問。對重要數據、個人信息的關鍵操作（修改、拷貝、刪除、下載等），涉及內部審批和審計流程。

●?安全審計

在標準第4.2條中明確要求，網絡運營者應對數據處理的全生命周期進行記錄，確保數據處理可審計、可追溯。

●?風險防控

標準第5.7條，網絡運營者在傳輸、提供 重要數據和敏感個人信息時，采取加密、脫敏等技術。

信息安全咨詢公司